翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Security Hub CSPM の概要
<a name="what-is-securityhub"></a>

AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM) は、 のセキュリティ状態を包括的に把握 AWS し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境を評価するのに役立ちます。

AWS Security Hub CSPM は AWS アカウント、 およびサポートされているサードパーティー製品間でセキュリティデータを収集し AWS のサービス、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。

組織のセキュリティ状態を管理しやすくするために、Security Hub CSPM は複数のセキュリティ標準をサポートしています。これには AWS、 によって開発された AWS Foundational Security Best Practices (FSBP) 標準、Center for Internet Security (CIS)、Payment Card Industry Data Security Standard (PCI DSS)、米国国立標準技術研究所 (NIST) などの外部コンプライアンスフレームワークが含まれます。セキュリティ標準ごとに複数のセキュリティ管理が含まれており、それぞれがセキュリティのベストプラクティスを表しています。Security Hub CSPM はセキュリティコントロールに対するチェックを実行し、コントロールの検出結果を生成して、セキュリティのベストプラクティスに対するコンプライアンス評価をサポートします。

Security Hub CSPM は、コントロール検出結果の生成に加えて、Amazon GuardDuty AWS のサービス、Amazon Inspector、Amazon Macie などの他の やサポートされているサードパーティー製品からも検出結果を受け取ります。 Amazon GuardDuty こうして、セキュリティ関連のさまざまな問題を一元的に把握できます。Security Hub CSPM の検出結果を他の AWS のサービス およびサポートされているサードパーティ製品に送信することもできます。

Security Hub CSPM には、セキュリティ問題の分類と修正に役立つ自動化機能が備わっています。たとえば、自動化ルールを使用して、セキュリティチェックが失敗した場合に重要な検出結果を自動的に更新できます。Amazon EventBridge との統合を活用して、特定の検出結果に対する自動応答をトリガーすることもできます。

**Topics**
+ [Security Hub CSPM の利点](#securityhub-benefits)
+ [Security Hub CSPM へのアクセス](#securityhub-get-started)
+ [関連サービス](#securityhub-related-services)
+ [Security Hub CSPM の無料トライアルと料金](#securityhub-free-trial)
+ [Security Hub CSPM の概念と用語](securityhub-concepts.md)
+ [Security Hub CSPM の有効化](securityhub-settingup.md)
+ [Security Hub CSPM での管理者アカウントとメンバーアカウントの管理](securityhub-accounts.md)
+ [Security Hub CSPM でのクロスリージョン集約について](finding-aggregation.md)
+ [Security Hub CSPM のセキュリティ標準を理解する](standards-view-manage.md)
+ [Security Hub CSPM のセキュリティコントロールを理解する](controls-view-manage.md)
+ [Security Hub CSPM 統合について](securityhub-findings-providers.md)
+ [Security Hub CSPM の検出結果を作成および更新する](securityhub-findings.md)
+ [Security Hub CSPM のインサイトの表示](securityhub-insights.md)
+ [Security Hub CSPM の検出結果を自動的に変更して動作を実行する](automations.md)
+ [Security Hub CSPM のダッシュボードでの作業](dashboard.md)
+ [Security Hub CSPM のリージョンの制限](securityhub-regions.md)
+ [CloudFormation を使用した Security Hub CSPM リソースの作成](creating-resources-with-cloudformation.md)
+ [Amazon SNS での Security Hub CSPM の発表のサブスクライブ](securityhub-announcements.md)
+ [Security Hub CSPM の無効化](securityhub-disable.md)
+ [のセキュリティ AWS Security Hub CSPM](security.md)
+ [CloudTrail を使用した Security Hub API コールのログ記録](securityhub-ct.md)

## Security Hub CSPM の利点
<a name="securityhub-benefits"></a>

Security Hub CSPM が AWS 環境全体のコンプライアンスとセキュリティ体制のモニタリングに役立つ主な方法をいくつか紹介します。

**検出結果の収集と優先順位付けの労力を削減**  
Security Hub CSPM は、統合製品と AWS パートナー製品からアカウント全体のセキュリティ結果を収集 AWS のサービス して優先順位付けする労力を削減します。Security Hub CSPM は、標準の検出結果形式である AWS Security Finding Format (ASFF) を使用して検出結果データを処理します。これにより、無数の情報源からの検出結果を複数の形式で管理する必要がなくなります。また、Security Hub CSPM はプロバイダー間で検出結果を関連付け、最重要の検出結果の優先順位付けに役立ちます。

**ベストプラクティスと標準に対する自動セキュリティチェック**  
Security Hub CSPM は、 AWS ベストプラクティスと業界標準に基づいて、アカウントレベルの継続的な設定とセキュリティチェックを自動的に実行します。Security Hub CSPM は、これらのチェックの結果からセキュリティスコアを算出し、注意の必要なアカウントとリソースを特定します。

**アカウントとプロバイダーでの検出結果の統合ビュー**  
Security Hub CSPM は複数のアカウントとプロバイダーの製品間のセキュリティ検出結果を統合して、Security Hub CSPM コンソールに結果を表示します。Security Hub CSPM API AWS CLI、または SDKs を使用して検出結果を取得することもできます。現在のセキュリティ状態を全体的に把握して傾向をとらえ、潜在的な問題を特定し、必要な修復手順を実行することができます。

**検出結果の更新と修復を自動化する機能**  
定義した基準に基づいて検出結果を変更または抑制する自動化ルールを作成できます。Security Hub CSPM は Amazon EventBridge との統合もサポートしています。特定の検出結果の修復を自動化するために、検出結果を生成したときに実行するカスタムアクションを定義できます。たとえば、チケット発行システムや自動修復システムに検出結果を送信するなどのカスタムアクションを設定できます。

## Security Hub CSPM へのアクセス
<a name="securityhub-get-started"></a>

Security Hub CSPM はほとんどの で使用できます AWS リージョン。Security Hub CSPM を現在利用できるリージョンのリストについては、「*AWS 全般のリファレンス*」の「[AWS Security Hub CSPM endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/sechub.html)」を参照してください。の 管理 AWS リージョン の詳細については AWS アカウント、「 *AWS アカウント管理 リファレンスガイド*」の[AWS リージョン 「アカウントで使用できる の指定](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)」を参照してください。

各リージョンでは、次のいずれかの方法で Security Hub CSPM にアクセスして使用できます。

**Security Hub CSPM のコンソール**  
 AWS マネジメントコンソール は、 リソースの作成と管理 AWS に使用できるブラウザベースのインターフェイスです。そのコンソールの一部として、Security Hub CSPM コンソールは Security Hub CSPM アカウント、データ、およびリソースへのアクセスを提供します。Security Hub CSPM コンソールを使用して、検出結果の表示、自動化ルールの作成、集約リージョンの作成といった Security Hub CSPM のタスクを実行できます。

**Security Hub CSPM API**  
Security Hub CSPM API では、Security Hub CSPM のアカウント、データ、およびリソースに対し、プログラムによるアクセスが可能になります。この API を使用すると、HTTPS リクエストを Security Hub CSPM に直接送信できます。API の詳細については、「*[AWS Security Hub API リファレンス](https://docs.aws.amazon.com/securityhub/1.0/APIReference/)*」を参照してください。

**AWS CLI**  
を使用すると AWS CLI、システムのコマンドラインでコマンドを実行して、Security Hub CSPM タスクを実行できます。場合によっては、コマンドラインを使用した方が、コンソールを使用するよりも高速で便利になります。コマンドラインは、タスクを実行するスクリプトを作成する場合にも便利です。のインストールと使用の詳細については AWS CLI、 [AWS Command Line Interface ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)を参照してください。

**AWS SDKs**  
AWS はSDKs を提供します。SDKs は、任意の言語で Security Hub CSPM やその他の への便利なプログラム AWS のサービス によるアクセスを提供します。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。 AWS SDKs」を参照してください。 [AWS](https://aws.amazon.com/developertools/)

**重要**  
Security Hub CSPM は、Security Hub CSPM を有効にした後に生成された検出結果のみを検出して統合します。Security Hub CSPM を有効化する前に生成されたセキュリティ検出結果までさかのぼって、検出したり統合したりすることはありません。  
Security Hub CSPM は、アカウントで Security Hub CSPM を有効にしたリージョンでの検出結果のみを受信し、処理します。  
CIS AWS Foundations Benchmark セキュリティチェックに完全に準拠するには、サポートされているすべての AWS リージョンで Security Hub CSPM を有効にする必要があります。

## 関連サービス
<a name="securityhub-related-services"></a>

 AWS 環境をさらに保護するには、Security Hub CSPM AWS のサービス と組み合わせて他の を使用することを検討してください。一部の は検出結果を Security Hub CSPM AWS のサービス に送信し、Security Hub CSPM は検出結果を標準形式に正規化します。一部の AWS のサービス は、Security Hub CSPM から検出結果を受信することもできます。

Security Hub CSPM の検出結果を送受信 AWS のサービス する他の のリストについては、「」を参照してください[AWS のサービス Security Hub CSPM との統合](securityhub-internal-providers.md)。

Security Hub CSPM は、 のサービスにリンクされたルール AWS Config を使用して、ほとんどのコントロールのセキュリティチェックを実行します。コントロールは、特定の AWS のサービス および AWS リソースを指します。Security Hub CSPM コントロールのリストについては、「[Security Hub CSPM のコントロールリファレンス](securityhub-controls-reference.md)」を参照してください。ほとんどのコントロール結果を生成するには、Security Hub CSPM AWS Config の でリソースを有効に AWS Config して記録する必要があります。詳細については、「[を有効にして設定する前に考慮すべき点 AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config)」を参照してください。

## Security Hub CSPM の無料トライアルと料金
<a name="securityhub-free-trial"></a>

で Security Hub CSPM AWS アカウント を初めて有効にすると、そのアカウントは自動的に 30 日間の Security Hub CSPM 無料トライアルに登録されます。

無料トライアル中に Security Hub CSPM を使用すると、 AWS Config Security Hub CSPM がアイテムなど、操作する他の のサービスの使用に対して課金されます。Security Hub CSPM セキュリティ標準によってのみアクティブ化された AWS Config ルールには課金されません。

無料トライアルが終了するまで、Security Hub CSPM の使用に対して料金は発生しません。

### 使用状況の詳細の表示
<a name="usage-details"></a>

Security Hub CSPM は、アカウントによって処理されたセキュリティチェックや検出結果の数などの使用状況情報を提供します。使用状況の詳細には、無料トライアルの残り時間も含まれます。この情報は、無料トライアル終了後の Security Hub CSPM の使用状況を理解するのに役立ちます。使用状況に関する情報は、無料トライアルの終了後にも確認できます。

**使用状況に関する情報を (コンソール) に表示するには、以下の手順を実行します。**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインの **[設定]** で **[使用状況]** を選択します。

使用状況情報は、現在のアカウントと現在のリージョンのみを対象としています。集約リージョンでは、使用状況情報にリンクされたリージョンは含まれません。リンクされたリージョンの詳細については、「[集計されるデータのタイプ](finding-aggregation.md#finding-aggregation-overview)」を参照してください。

アカウントのコストの詳細を表示するには、[AWS 請求コンソール](https://console.aws.amazon.com/billing/)を使用します。

### 料金詳細
<a name="pricing-details"></a>

取得した検出結果とセキュリティチェックに関する Security Hub CSPM の料金の詳細については、「[Security Hub CSPM の料金](https://aws.amazon.com/security-hub/pricing/)」を参照してください。

# Security Hub CSPM の概念と用語
<a name="securityhub-concepts"></a>

 AWS Security Hub CSPM では、一般的な AWS 概念と用語に基づいて構築し、これらの追加用語を使用します。

**アカウント**  
 AWS リソースを含む標準の Amazon Web Services (AWS) アカウント。アカウント AWS で にサインインし、Security Hub CSPM を有効にできます。  
アカウントは他のアカウントを招待して、Security Hub CSPM を有効にし、Security Hub CSPM 内でそのアカウントと関連付けることができます。メンバーシップの招待の承諾はオプションです。招待が承諾されると、アカウントは管理者アカウントになり、追加されたアカウントはメンバーアカウントになります。管理者アカウントは、メンバーアカウントの結果を表示できます。  
に登録している場合 AWS Organizations、組織は組織の Security Hub CSPM 管理者アカウントを指定します。Security Hub CSPM 管理者アカウントは、他の組織アカウントをメンバーアカウントとして有効にできます。  
アカウントは、同時に管理アカウントとメンバーアカウントの両方になることはできません。アカウントに付与される管理者アカウントは 1 つだけです。  
詳細については、「[Security Hub CSPM での管理者アカウントとメンバーアカウントの管理](securityhub-accounts.md)」を参照してください。

**管理者アカウント**  
Security Hub CSPM のアカウントには、関連付けられたメンバーアカウントの検出結果を表示するためのアクセス権が付与されます。  
アカウントには次のいずれかの方法で管理者アカウントが付与されます:  
+ あるアカウントが他のアカウントを招待し、Security Hub CSPM で関連付けられます。このような招待されたアカウントが招待を承諾すると、そのアカウントはメンバーアカウントになり、招待したアカウントは管理者アカウントになります。
+ あるアカウントが、組織管理アカウントによって Security Hub CSPM 管理者アカウントとして指定されます。Security Hub CSPM 管理者アカウントは、任意の組織アカウントをメンバーアカウントとして有効にできます。また、他のアカウントをメンバーアカウントに招待することもできます。
アカウントに付与される管理者アカウントは 1 つだけです。アカウントは、同時に管理アカウントとメンバーアカウントの両方になることはできません。

**集約リージョン**  
集約リージョンを設定すると、複数の のセキュリティ検出結果を AWS リージョン 1 つの画面で表示できます。  
集約リージョンは、結果の表示と管理を行うリージョンです。結果は、リンクされたリージョンから集約リージョンに集約されます。結果の更新は、リージョン全体で複製されます。  
集約リージョンでは、**[Security standards]** (セキュリティ基準)、**[Insights]** (インサイト)、**[Findings]** (結果) の各ページに、リンクされたすべてのリージョンの結果が表示されます。  
詳細については、「[Security Hub CSPM でのクロスリージョン集約について](finding-aggregation.md)」を参照してください。

**アーカイブ済みの結果**  
レコードの状態 (`RecordState`) の検出結果は `ARCHIVED` です。結果がアーカイブされる場合、結果プロバイダーでは結果の関連性がなくなったとみなしているということを意味します。レコードの状態には、検出結果の調査のステータスを追跡するワークフローステータスは含まれません。  
結果プロバイダーは、Security Hub CSPM API の[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションを使用して、作成した検出結果をアーカイブします。Security Hub CSPM では、特定の基準を満たすコントロールの検出結果が自動的にアーカイブされます。詳細については、「[コントロールの検出結果の生成、更新、アーカイブ](controls-findings-create-update.md#securityhub-standards-results-updating)」を参照してください。  
Security Hub CSPM コンソールでは、デフォルトのフィルター設定により、アーカイブされた検出結果が検出結果リストとテーブルから除外されます。アーカイブされた検出結果を含めるように設定を変更できます。Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) オペレーションを使用して検出結果を取得すると、オペレーションはアーカイブされた検出結果とアクティブな検出結果の両方を取得します。アーカイブされた検出結果を除外するには、結果をフィルタリングします。例えば、次のようになります。  

```
"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
```

**AWS Security Finding 形式 (ASFF)**  
Security Hub CSPM によって集約または生成された検出結果の内容の標準化された形式。 AWS Security Finding 形式を使用すると、Security Hub CSPM を使用して、セキュリティチェックの実行から AWS セキュリティサービス、サードパーティーソリューション、または Security Hub CSPM 自体によって生成された検出結果を表示および分析できます。詳細については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

**コントロール**  
情報の機密性、完全性、可用性を保護し、定義された一連のセキュリティ要件を満たすように設計された、情報システムまたは組織に対して規定された保護または対策。セキュリティ標準はコントロールのコレクションに関連付けられています。  
*セキュリティコントロール*という用語は、標準全体でコントロール ID とタイトルが 1 つしかないコントロールを指します。*標準コントロール*という用語は、標準固有のコントロール ID とタイトルを持つコントロールを指します。現在、Security Hub CSPM は、と中国リージョンと AWS GovCloud (US) Regionsのみ標準コントロールをサポートしています。セキュリティコントロールは、その他すべてのリージョンでサポートされています。

**カスタムアクション**  
選択した検出結果を EventBridge に送信するための Security Hub CSPM のメカニズム。カスタムアクションは Security Hub CSPM で作成されます。その後、EventBridge ルールにリンクされます。このルールでは、カスタムアクション ID に関連付けられた結果を受け取ったときに実行する特定のアクションが定義されています。カスタムアクションを使用すると、例えば特定の結果や少数の一連の結果を応答または修復ワークフローに送信できます。詳細については、「[カスタムアクションを作成する](securityhub-cwe-configure.md)」を参照してください。

**委任管理者アカウント (Organizations)**  
では AWS Organizations、サービスの委任管理者アカウントは、組織のサービスの使用を管理できます。  
Security Hub CSPM では、Security Hub CSPM 管理者アカウントが Security Hub CSPM の委任管理者アカウントとしての役割も担います。組織管理アカウントによって初めて Security Hub CSPM 管理者アカウントが指定されたとき、Security Hub CSPM では Organizations を呼び出して、そのアカウントを委任管理者アカウントに指定します。  
次に、組織管理アカウントは、すべてのリージョンで Security Hub CSPM 管理者アカウントとして委任管理者アカウントを選択する必要があります。

**結果**  
セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコード。Security Hub CSPM は、コントロールのセキュリティチェックが完了した後に検出結果を生成し更新します。これらは*コントロールの検出結果*と呼ばれます。検出結果は、他の AWS のサービス およびサードパーティー製品との統合からも得られます。  
詳細については、「[Security Hub CSPM の検出結果を作成および更新する](securityhub-findings.md)」を参照してください。

**クロスリージョン集約**  
結果、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを、リンクされたリージョンから集約リージョンへ集約。次に、集約リージョンのすべてのデータを表示し、集約リージョンの結果とインサイトを更新できます。  
詳細については、「[Security Hub CSPM でのクロスリージョン集約について](finding-aggregation.md)」を参照してください。

**結果の取り込み**  
他の AWS サービスやサードパーティーパートナープロバイダーから Security Hub CSPM に検出結果をインポートすること。  
結果取り込みイベントには、新しい結果と既存の結果の更新が含まれます。

**インサイト**  
関連する結果のコレクションで、集約ステートメントとオプションのフィルターによって定義されます。インサイトは、注意と介入が必要なセキュリティ領域を特定します。Security Hub CSPM には、変更できないマネージド (デフォルト) インサイトがいくつか用意されています。カスタム Security Hub CSPM インサイトを作成して、 AWS 環境と使用状況に固有のセキュリティ問題を追跡することもできます。詳細については、「[Security Hub CSPM のインサイトの表示](securityhub-insights.md)」を参照してください。

**リンクされたリージョン**  
クロスリージョン集約を有効にすると、リンクされたリージョンは、結果、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを、集約リージョンに集約するリージョンとなります。  
リンクされたリージョンでは、**[Findings]** (結果) および **[Insights]** (インサイト) ページに、そのリージョンの結果のみが表示されます。  
詳細については、「[Security Hub CSPM でのクロスリージョン集約について](finding-aggregation.md)」を参照してください。

**メンバーアカウント**  
結果を確認してアクションを実行する許可を管理者アカウントに付与したアカウント。  
アカウントは次のいずれかの方法でメンバーアカウントになります。  
+ 別のアカウントからの招待を承諾する。
+ 組織アカウントの場合、Security Hub CSPM 管理者アカウントによってメンバーアカウントとして有効にされる。

**関連する要件**  
コントロールにマッピングされる一連の業界または規制要件。

**ルール**  
コントロールが遵守されているかどうかを評価するために使用される一連の自動条件。ルールは、評価されると、合格または不合格が指定されます。ルールは、評価によって合格または不合格を特定できなかった場合、警告状態になります。ルールを評価できない場合、そのルールは使用不可の状態になります。

**セキュリティチェック**  
1 つのリソースに対するルールの特定のポイントインタイム評価。`PASSED`、`FAILED`、`WARNING`、または `NOT_AVAILABLE` の状態を特定します。セキュリティチェックを実行すると、結果が生成されます。

**Security Hub CSPM 管理者アカウント**  
組織の Security Hub CSPM メンバーシップを管理する組織アカウント。  
組織管理アカウントが各リージョンの Security Hub CSPM 管理者アカウントを指定します。組織管理アカウントは、すべてのリージョンで同じ Security Hub CSPM 管理者アカウントを選択する必要があります。  
Security Hub CSPM 管理者アカウントは、Organizations 内の Security Hub CSPM の委任管理者アカウントでもあります。  
Security Hub CSPM 管理者アカウントは、任意の組織アカウントをメンバーアカウントとして有効にできます。また、他のアカウントをメンバーアカウントに招待することもできます。

**セキュリティ標準**  
特性を指定するトピックについてパブリッシュされたステートメント。通常は測定可能で、コントロールの形式であり、コンプライアンスを満たしているか、達成している必要があます。セキュリティ標準は規制の枠組みや、ベストプラクティス、社内のポリシーなどに基づいています。コントロールは、Security Hub CSPM でサポートされている 1 つ以上の標準に関連付けることができます。Security Hub CSPM のセキュリティ標準の詳細については、「[Security Hub CSPM のセキュリティ標準を理解する](standards-view-manage.md)」を参照してください。

**緊急度**  
Security Hub CSPM コントロールに割り当てられる重要度は、コントロールの重要性を特定します。コントロールの重要度は、**[Critical]** (重要)、**[High]** (高)、**[Medium]** (中)、**[Low]** (低) または **[Informational]** (情報) のいずれかです。コントロールの結果に割り当てられる重要度は、そのコントロール自体の重要度と同等です。Security Hub CSPM でコントロールに重要度を割り当てる方法については、「[コントロールの検出結果の重要度](controls-findings-create-update.md#control-findings-severity)」を参照してください。

**ワークフローステータス**  
結果の調査ステータス。`Workflow.Status` 属性を使用して追跡されます。  
ワークフローステータスは、初期状態では `NEW` です。リソース所有者に結果に対するアクションを実行するように通知した場合は、ワークフローステータスを `NOTIFIED` に設定できます。結果に問題がなく、アクションが不要な場合は、ワークフローステータスを `SUPPRESSED` に設定します。結果を確認して修正したら、ワークフローステータスを `RESOLVED` に設定します。  
デフォルトでは、ほとんどの結果リストに含まれている結果のワークフローステータスは、`NEW` または `NOTIFIED` のみです。コントロールの結果リストには、ステータスが `RESOLVED` の結果も含まれます。  
[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) オペレーションでは、ワークフローステータスのフィルターを含めることができます。  

```
"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],
```
Security Hub CSPM コンソールには、検出結果のワークフローステータスを設定するオプションがあります。お客様 (または結果プロバイダーの結果をお客様に代わって更新する SIEM、チケット発行、インシデント管理、または SOAR ツール) は、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) を使用してワークフローステータスを更新することもできます。

# Security Hub CSPM の有効化
<a name="securityhub-settingup"></a>

Security Hub CSPM AWS を有効にするには、 AWS Organizations と統合するか、手動で 2 つの方法があります。

マルチアカウントおよびマルチリージョン環境では、Organizations との統合を強くお勧めします。スタンドアロンアカウントをお持ちの場合は、Security Hub CSPM を手動で設定する必要があります。

## 必要なアクセス許可を確認する
<a name="securityhub-setup-permissions"></a>

Security Hub CSPM の機能を使用するには、Amazon Web Services (AWS) へのサインアップ後に Security Hub CSPM を有効化する必要があります。Security Hub CSPM を有効化にするには、まず Security Hub CSPM コンソールと API オペレーションへのアクセスを可能にするアクセス許可を設定する必要があります。これを行う AWS には、 AWS Identity and Access Management (IAM) を使用して、 というマネージドポリシーを AWS IAM ID `AWSSecurityHubFullAccess`にアタッチします。

Organizations 統合を通じて Security Hub CSPM を有効にして管理するには、 という AWS 管理ポリシーもアタッチする必要があります`AWSSecurityHubOrganizationsAccess`。

詳細については、「[AWS Security Hub の マネージドポリシー](security-iam-awsmanpol.md)」を参照してください。

## Security Hub CSPM と Organizations との統合を有効にする
<a name="securityhub-orgs-setup-overview"></a>

で Security Hub CSPM の使用を開始するには AWS Organizations、組織の AWS Organizations 管理アカウントが、組織の委任 Security Hub CSPM 管理者アカウントとしてアカウントを指定します。Security Hub CSPM は、現在のリージョンの委任管理者アカウントで自動的に有効になります。

ご希望の方法を選択し、手順に従って委任管理者を指定します。

------
#### [ Security Hub CSPM console ]

**オンボーディング時に Security Hub CSPM 委任管理者を指定するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. **[Security Hub CSPM に移動]** を選択します。組織の管理アカウントにサインインするよう求めるメッセージが表示されます。

1. **[委任された管理者アカウント]** セクションの **[委任された管理者を指定]** ページで、委任された管理者アカウントを指定します。委任された管理者には、他の AWS セキュリティおよびコンプライアンスサービスと同一の設定を選択することをお勧めします。

1. **[委任された管理者を設定]** を選択します。

------
#### [ Security Hub CSPM API ]

Organizations 管理アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) API を呼び出します。Security Hub CSPM の委任管理者アカウントの AWS アカウント ID を指定します。

------
#### [ AWS CLI ]

Organizations 管理アカウントから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) コマンドを実行します。Security Hub CSPM の委任管理者アカウントの AWS アカウント ID を指定します。

**コマンドの例:**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

Organizations との統合の詳細については、「[Security Hub CSPM と の統合 AWS Organizations](designate-orgs-admin-account.md)」を参照してください。

### 中央設定
<a name="securityhub-central-config"></a>

Security Hub CSPM と Organizations を統合することで、[中央設定](central-configuration-intro.md)と呼ばれる機能を使用して組織の Security Hub CSPM を設定および管理できます。管理者が組織のセキュリティ範囲をカスタマイズできるため、中央設定を使用することを強くお勧めします。必要に応じて、委任管理者はメンバーアカウントによる独自のセキュリティカバレッジの設定を許可できます。

中央設定により、委任管理者は複数のアカウント、OU、および AWS リージョンに対して Security Hub CSPM を設定できます。委任管理者は、設定ポリシーを作成して Security Hub CSPM を設定します。設定ポリシー内では、以下の設定を指定できます。
+ Security Hub CSPM を有効にするか無効にするか
+ どのセキュリティ標準を有効または無効にするか
+ どのセキュリティコントロールを有効または無効にするか
+ コントロール選択用のパラメータをカスタマイズするかどうか

委任管理者は、組織全体を対象とする単一の設定ポリシーを作成することも、さまざまなアカウントや OU に異なる設定ポリシーを作成することもできます。例えば、テストアカウントと本稼働アカウントでは異なる設定ポリシーを使用できます。

設定ポリシーを使用するメンバーアカウントと OU は*一元管理*され、委任管理者のみが設定を行うことができます。委任管理者は、特定のメンバーアカウントと OU を*セルフマネージド型* として指定し、メンバー自身がリージョン単位で独自の設定を行えるようにすることができます。

中央設定を使用しない場合は、原則的に各アカウントとリージョンについて個別に Security Hub を設定する必要があります。これは[ローカル設定](local-configuration.md)と呼ばれます。ローカル設定の場合、委任管理者は、現在のリージョンの新しい組織アカウントで、Security Hub CSPM および限定された一連のセキュリティ標準を自動的に有効にできます。ローカル設定は、既存の組織アカウントや、現在のリージョン以外のリージョンには適用されません。また、ローカル設定では設定ポリシーの使用もサポートされていません。

## Security Hub CSPM の手動での有効化
<a name="securityhub-manual-setup-overview"></a>

スタンドアロンアカウントがある場合、または と統合していない場合は、Security Hub CSPM を手動で有効にする必要があります AWS Organizations。スタンドアロンアカウントは と統合できず AWS Organizations 、手動有効化を使用する必要があります。

Security Hub CSPM を手動で有効にする場合は、Security Hub CSPM 管理者アカウントを指定し、他のアカウントを招待してメンバーアカウントにします。管理者とメンバーの関係は、メンバーアカウント候補が招待を受け入れたときに確立されます。

ご希望の方法を選択し、手順に従って Security Hub CSPM を有効にします。コンソールから Security Hub CSPM を有効にする場合は、サポートされているセキュリティ標準を有効にするオプションも提供されています。

------
#### [ Security Hub CSPM console ]

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1.  Security Hub CSPM コンソールを初めて開く場合は、**[Security Hub CSPM に移動]** を選択します。

1. ウェルカムページには、Security Hub CSPM でサポートするセキュリティ標準が **[セキュリティ標準]** セクションに一覧表示されます。

   基準のチェックボックスを選択して有効にします。チェックボックスをオフにすると無効になります。

   標準またはその個々のコントロールは、いつでも有効または無効にできます。セキュリティ標準の管理の詳細については、「[Security Hub CSPM のセキュリティ標準を理解する](standards-view-manage.md)」を参照してください。

1. **[Enable Security Hub]** (Security Hub の有効化) を選択します。

------
#### [ Security Hub CSPM API ]

[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html) API を呼び出します。API から Security Hub CSPM を有効にすると、以下のデフォルトのセキュリティ標準が自動的に有効になります。
+ AWS 基本的なセキュリティのベストプラクティス
+ Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

これらの標準を有効にしない場合は、`EnableDefaultStandards` を `false` に設定します。

また `Tags` パラメータを使用して、ハブリソースにタグ値を割り当てることもできます。

------
#### [ AWS CLI ]

[https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html) コマンドを実行します。デフォルトの標準を有効にするには、`--enable-default-standards` を含めます。デフォルトの標準を有効にしない場合は、`--no-enable-default-standards` を含めます。デフォルトのセキュリティ基準は次のとおりです。
+ AWS 基本的なセキュリティのベストプラクティス
+ Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

```
aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]
```

**例**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### マルチアカウント有効化スクリプト
<a name="securityhub-enable-multiaccount-script"></a>

**注記**  
このスクリプトの代わりに、中央設定を使用して複数のアカウントとリージョンに対して Security Hub CSPM を有効にして設定することをお勧めします。

[GitHub の Security Hub CSPM マルチアカウント有効化スクリプト](https://github.com/awslabs/aws-securityhub-multiaccount-scripts)では、複数のアカウントやリージョンに対して Security Hub CSPM を有効化することができます。スクリプトを使用することで、メンバーアカウントへの招待の送信と AWS Configの有効化のプロセスも自動化されます。

このスクリプトは、すべてのリージョンで、グローバル AWS Config リソースを含むすべてのリソースのリソース記録を自動的に有効にします。グローバルリソースの記録を 1 つのリージョンに制限するものではありません。コストを削減するには、グローバルリソースを 1 つのリージョンにのみ記録することを推奨しています。中央設定またはクロスリージョン集約を使用する場合、このリージョンはホームリージョンである必要があります。詳細については、「[でのリソースの記録 AWS Config](securityhub-setup-prereqs.md#config-resource-recording)」を参照してください。

上記に対応するスクリプトとして、複数のアカウントとリージョンで Security Hub CSPM を無効にするスクリプトがあります。

## 次のステップ: 体制管理と統合
<a name="securityhub-enable-next-steps"></a>

Security Hub CSPM を有効にしたら、セキュリティ標準とコントロールを有効にしてセキュリティ体制をモニタリングすることをお勧めします。コントロールを有効にすると、Security Hub CSPM はセキュリティチェックの実行と、 AWS 環境の設定ミスの検出に役立つコントロールの検出結果の生成を開始します。コントロールの検出結果を受け取るには、Security Hub CSPM AWS Config の を有効にして設定する必要があります。詳細については、「[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)」を参照してください。

Security Hub CSPM を有効にした後、Security Hub CSPM と他の AWS のサービス およびサードパーティーソリューションとの統合を活用して、Security Hub CSPM で検出結果を確認することもできます。Security Hub CSPM は、さまざまなソースからの検出結果を集約し、一貫した形式で取り込みます。詳細については、「[Security Hub CSPM 統合について](securityhub-findings-providers.md)」を参照してください。

# Security Hub CSPM AWS Config の有効化と設定
<a name="securityhub-setup-prereqs"></a>

AWS Security Hub CSPM は、 AWS Config ルールを使用してセキュリティチェックを実行し、ほとんどのコントロールの検出結果を生成します。 AWS Config は、 内の AWS リソースの設定の詳細なビューを提供します AWS アカウント。これは、ルールを使用してリソースのベースライン設定を確立し、設定レコーダーを使用して、特定のリソースがルールの条件に違反しているかどうかを検出します。

 AWS Config マネージドルールと呼ばれる一部のルールは、 によって事前定義および開発されています AWS Config。その他のルールは、Security Hub CSPM が開発するカスタム AWS Config ルールです。Security Hub CSPM がコントロールに使用する AWS Config ルールは、*サービスにリンクされたルール*と呼ばれます。Security Hub CSPM AWS のサービス などのサービスにリンクされたルールでは、アカウントに AWS Config ルールを作成できます。

Security Hub CSPM でコントロールの検出結果を受信するには、アカウント AWS Config で を有効にする必要があります。また、有効なコントロールが評価するリソースタイプについて、リソース記録を有効にする必要があります。その後、Security Hub CSPM はコントロールに適切な AWS Config ルールを作成し、セキュリティチェックの実行とコントロールの検出結果の生成を開始できます。

**Topics**
+ [を有効にして設定する前に考慮すべき点 AWS Config](#securityhub-prereq-config)
+ [でのリソースの記録 AWS Config](#config-resource-recording)
+ [を有効にして設定する方法 AWS Config](#config-how-to-enable)
+ [Config.1 コントロールについて](#config-1-overview)
+ [サービスにリンクされたルールの生成](#securityhub-standards-generate-awsconfigrules)
+ [コストに関する考慮事項](#config-cost-considerations)

## を有効にして設定する前に考慮すべき点 AWS Config
<a name="securityhub-prereq-config"></a>

Security Hub CSPM でコントロールの検出結果を受信するには、Security Hub CSPM が有効になってい AWS リージョン る各 でアカウントに対して を有効にする AWS Config 必要があります。マルチアカウント環境で Security Hub CSPM を使用する場合は、管理者アカウントとすべてのメンバーアカウントの各リージョンで AWS Config を有効にする必要があります。

Security Hub CSPM 標準とコントロールを有効にする AWS Config *前に*、 でリソース記録を有効にすることを強くお勧めします。これにより、コントロールの検出結果が正確であることが確認できます。

でリソース記録を有効にするには AWS Config、設定レコーダーにアタッチされている AWS Identity and Access Management (IAM) ロールにリソースを記録するのに十分なアクセス許可が必要です。さらに、IAM ポリシーまたは AWS Organizations ポリシーがリソースを記録するアクセス許可を AWS Config に与えないようにします。Security Hub CSPM コントロールは、リソース設定を直接評価し、 AWS Organizations ポリシーを考慮しません。 AWS Config の記録についての詳細は、「*AWS Config デベロッパーガイド*」の「[Working with the configuration recorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。

Security Hub CSPM で標準を有効にしているが、まだ有効にしていない場合 AWS Config、Security Hub CSPM は、次のスケジュールに従ってサービスにリンクされた AWS Config ルールを作成しようとします。
+ 標準を有効にした当日。
+ 標準を有効にした翌日。
+ 標準を有効にしてから 3 日後。
+ 標準を有効にしてから 7 日後 (その後は 7 日ごとに継続的に)。

中央設定を使用する場合、Security Hub CSPM は、1 つ以上の標準を有効にする設定ポリシーをアカウント、組織単位 (OUs)、またはルートに関連付けるたびに、サービスにリンクされた AWS Config ルールの作成も試みます。

## でのリソースの記録 AWS Config
<a name="config-resource-recording"></a>

を有効にするときは AWS Config、設定レコーダーに記録する AWS AWS Config リソースを指定する必要があります。設定レコーダーは、サービスにリンクされたルールを通じて、Security Hub CSPM がリソース設定の変更を検出できるようにします。

Security Hub CSPM が正確なコントロール検出結果を生成するには、有効化されたコントロールに対応するリソースタイプについて、 AWS Config で記録を有効にする必要があります。リソースの記録が必要なのは、主に*変更トリガー*スケジュールタイプの有効化されたコントロールです。*定期*スケジュールタイプの一部のコントロールでも、リソースの記録が必要です。これらのコントロールとそれに対応するリソースのリストについては、「[コントロールの検出結果に必要な AWS Config リソース](controls-config-resources.md)」を参照してください。

**警告**  
Security Hub CSPM コントロールの記録 AWS Config を正しく設定しないと、特に次のインスタンスで、コントロールの検出結果が不正確になる可能性があります。  
特定のコントロールのリソースを記録したことがない、またはそのタイプのリソースを作成する前にリソースの記録を無効にした。このような場合、記録を無効にした後にコントロールの範囲内でリソースを作成している場合でも、問題のコントロールの `WARNING` 検出結果が表示されます。この `WARNING` 検出結果は、リソースの設定状態を実際に評価しないデフォルトの検出結果です。
特定のコントロールによって評価されるリソースの記録を無効にする。この場合、コントロールが新規または更新されたリソースを評価していない場合でも、Security Hub CSPM は記録を無効にする前に生成されたコントロール検出結果を保持します。Security Hub CSPM は、検出結果のコンプライアンスステータスも `WARNING` に変更します。これらの保持された検出結果は、リソースの現在の設定状態を正確に反映していない可能性があります。

デフォルトでは、 AWS リージョン は、実行中の で検出されたサポートされているすべての*リージョンリソース* AWS Config を記録します。すべての Security Hub CSPM コントロールの検出結果を受信するには、*グローバルリソース*を記録する AWS Config ように も設定する必要があります。コストを削減するには、グローバルリソースを 1 つのリージョンにのみ記録することを推奨しています。中央設定またはクロスリージョン集約を使用する場合、このリージョンはホームリージョンである必要があります。

では AWS Config、リソースの状態の変化を継続的に*記録*するか、*毎日記録*するかを選択できます。日次記録を選択した場合、 はリソース状態に変更があった場合、24 時間ごとにリソース設定データを AWS Config 配信します。変化がなければ、データは配信されません。そのため、変更によってトリガーされるコントロールに関する Security Hub CSPM の検出結果の生成が 24 時間周期の終了まで遅れる可能性があります。

 AWS Config 記録の詳細については、「 *AWS Config デベロッパーガイド*」の[AWS 「リソースの記録](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)」を参照してください。

## を有効にして設定する方法 AWS Config
<a name="config-how-to-enable"></a>

リソース記録は、次のいずれかの方法で有効化 AWS Config および有効化できます。
+ **AWS Config コンソール** – AWS Config コンソールを使用して AWS Config 、アカウントの を有効にできます。手順については、「 *AWS Config デベロッパーガイド*[」の「 コンソール AWS Config でのセットアップ](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)」を参照してください。
+ **AWS CLI または SDKs** – AWS Command Line Interface () を使用して AWS Config 、アカウントの を有効にできますAWS CLI。手順については、「 *AWS Config デベロッパーガイド*」の[「 AWS Config でのセットアップ AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html)」を参照してください。 AWS ソフトウェア開発キット (SDK) は、多くのプログラミング言語でも使用できます。 SDKs
+ **CloudFormation テンプレート** – 多くのアカウント AWS Config で を有効にするには、**Enable AWS Config**という名前の AWS CloudFormation テンプレートを使用することをお勧めします。このテンプレートにアクセスする方法については、「*AWS CloudFormation ユーザーガイド*」の「[AWS CloudFormation StackSets サンプルテンプレート](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html)」を参照してください。

  デフォルトでは、このテンプレートは IAM グローバルリソースの記録を除外します。IAM グローバルリソースの記録は、記録コストを節約するために、1 つの AWS リージョン でのみ有効にしてください。クロスリージョン集約を有効にしている場合、これは [Security Hub CSPM ホームリージョン](finding-aggregation.md)である必要があります。それ以外の場合は、Security Hub CSPM が使用可能で、IAM グローバルリソースの記録をサポートする任意のリージョンでも構いません。ホームリージョンまたはその他の選択したリージョンで、IAM グローバルリソースを含むすべてのリソースを記録する 1 つの StackSet を実行することを推奨します。次に、他のリージョンにある IAM グローバルリソース以外のすべてのリソースを記録する 2 つ目の StackSet を実行します。
+ **GitHub スクリプト** – Security Hub CSPM は、Security Hub CSPM と をリージョン間で複数のアカウント AWS Config に対して有効にする [GitHub スクリプト](https://github.com/awslabs/aws-securityhub-multiaccount-scripts)を提供します。このスクリプトは、 と統合していない場合や AWS Organizations、組織の一部ではないメンバーアカウントがある場合に便利です。

詳細については、 *AWS セキュリティ*ブログのブログ記事[「Optimize AWS Config for AWS Security Hub CSPM to effectively manage your cloud security posture](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/)」を参照してください。

## Config.1 コントロールについて
<a name="config-1-overview"></a>

Security Hub CSPM では、 が無効になっている場合、[Config.1](config-controls.md#config-1) コントロール AWS Config はアカウントに`FAILED`結果を生成します。また、 AWS Config が有効になっていてもリソース記録が有効になっていない場合、アカウントに`FAILED`結果を生成します。

 AWS Config が有効になっていてリソース記録が有効になっているが、有効なコントロールがチェックするタイプのリソースに対してリソース記録が有効になっていない場合、Security Hub CSPM は Config.1 コントロール`FAILED`の結果を生成します。この `FAILED` 検出結果に加えて、Security Hub CSPM は、有効なコントロールと、コントロールがチェックするリソースのタイプに関する `WARNING` 検出結果を生成します。たとえば、[KMS.5](kms-controls.md#kms-5) コントロールを有効にし、リソース記録が有効になっていない場合 AWS KMS keys、Security Hub CSPM は Config.1 コントロール`FAILED`の結果を生成します。Security Hub CSPM は、KMS.5 コントロールと KMS キーの `WARNING` 検出結果も生成します。

Config.1 コントロールの `PASSED` 検出結果を受信するには、有効なコントロールに対応するすべてのリソースタイプのリソース記録を有効にします。また、組織に必要ないコントロールも無効にします。これにより、セキュリティコントロールチェックで設定ギャップがなくなります。また、誤って設定されたリソースに関する正確な検出結果を確実に受け取れるようにします。

お客様が組織の委任された Security Hub CSPM 管理者である場合は、自分のアカウントとメンバーアカウントに対して AWS Config 記録を正しく設定する必要があります。クロスリージョン集約を使用する場合は、ホームリージョンとリンクされたすべてのリージョンで AWS Config 録音を正しく設定する必要があります。リンクされたリージョンでは、グローバルリソースを記録する必要はありません。

## サービスにリンクされたルールの生成
<a name="securityhub-standards-generate-awsconfigrules"></a>

サービスにリンクされた AWS Config ルールを使用するコントロールごとに、Security Hub CSPM は必要なルールのインスタンスを AWS 環境に作成します。

これらのサービスにリンクされたルールは Security Hub CSPM に固有です。同じルールの他のインスタンスが既に存在している場合でも、Security Hub CSPM がこれらのサービスにリンクされたルールを作成します。このサービスにリンクされたルールでは、元のルール名の前に `securityhub` が追加され、ルール名の後に一意の識別子が追加されます。たとえば、 AWS Config マネージドルール の場合`vpc-flow-logs-enabled`、サービスにリンクされたルール名は になります`securityhub-vpc-flow-logs-enabled-12345`。

コントロールの評価に使用できる AWS Config マネージドルールの数にはクォータがあります。Security Hub CSPM が作成する AWS Config ルールは、これらのクォータにはカウントされません。アカウントのマネージドルール AWS Config のクォータにすでに達している場合でも、セキュリティ標準を有効にできます。 AWS Config ルールのクォータの詳細については、「 *AWS Config デベロッパーガイド*」の[「 のサービス制限 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html)」を参照してください。

## コストに関する考慮事項
<a name="config-cost-considerations"></a>

Security Hub CSPM は、 AWS Config 設定項目を更新することで、`AWS::Config::ResourceCompliance`設定レコーダーのコストに影響を与える可能性があります。更新は、 AWS Config ルールに関連付けられた Security Hub CSPM コントロールがコンプライアンス状態を変更する、有効または無効になる、またはパラメータが更新されるたびに発生する可能性があります。Security Hub CSPM にのみ AWS Config 設定レコーダーを使用し、他の目的でこの設定項目を使用しない場合は、その記録をオフにすることをお勧めします AWS Config。これにより、 AWS Config コストを削減できます。Security Hub CSPM でセキュリティチェックを行うために `AWS::Config::ResourceCompliance` を記録する必要はありません。

リソースの記録に関連するコストの詳細については、「[AWS Security Hub CSPM の料金](https://aws.amazon.com/security-hub/pricing/)」と「[AWS Config の料金](https://aws.amazon.com/config/pricing/)」を参照してください。

# Security Hub CSPM でのローカル設定について
<a name="local-configuration"></a>

ローカル設定は、Security Hub CSPM で AWS 組織を設定するデフォルトの方法です。中央設定にオプトインして有効にしない場合、組織はデフォルトでローカル設定を使用します。

ローカル設定では、委任 Security Hub CSPM 管理者アカウントは設定の制御が制限されています。委任管理者が適用できる唯一の設定は、新しい組織アカウントで Security Hub CSPM とデフォルトのセキュリティ標準を自動的に有効にすることです。これらの設定は、委任管理者アカウントを指定したリージョンにのみ適用されます。デフォルトのセキュリティ標準は、 AWS Foundational Security Best Practices (FSBP) と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 です。ローカル設定は、既存の組織アカウントや、委任管理者アカウントが指定されたリージョン以外のリージョンには適用されません。

単一のリージョンの新しい組織アカウントで Security Hub CSPM とデフォルトの標準を有効にする以外に、各リージョンとアカウントで、標準とコントロールを含む他の Security Hub CSPM 設定を個別に設定する必要があります。これは重複するプロセスであるため、次のいずれかに当てはまる場合は、マルチアカウント環境に中央設定を使用することをお勧めします。
+ 組織のさまざまな部分で異なる設定 (例えば、チームごとに異なる有効な標準やコントロール) が必要です。
+ 複数のリージョンで運用しており、これらのリージョン全体でサービスを設定する時間と複雑さを軽減したいと考えています。
+ 新しいアカウントが組織に加わるときに、特定の設定を使用するようにします。
+ 組織アカウントは、親アカウントまたはルートから特定の設定を継承します。

中央設定の詳細については、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

# Security Hub CSPM での中央設定について
<a name="central-configuration-intro"></a>

中央設定は、複数の AWS アカウント と にまたがる AWS Security Hub CSPM のセットアップと管理に役立つ Security Hub CSPM 機能です AWS リージョン。中央設定を使用するには、まず Security Hub CSPM と を統合する必要があります AWS Organizations。組織を作成し、組織に対して Security Hub CSPM の委任管理者アカウントを指定することで、サービスを統合できます。

Security Hub CSPM の委任管理者アカウントから、リージョン間で組織のアカウントと組織単位 (OUs) に対して Security Hub CSPM を有効にできます。また、リージョン間でアカウントと OUs の個々のセキュリティ標準とセキュリティコントロールを有効、設定、無効にすることもできます。これらの設定は、*ホームリージョン*と呼ばれる 1 つのプライマリリージョンから、わずか数ステップで設定できます。

中央設定を使用する場合、委任された管理者が設定するアカウントと OU を選択できます。委任された管理者がメンバーアカウントまたは OU をセルフマネージド型に指定した場合、メンバーは各リージョンで独自の設定を個別に構成できます。委任された管理者がメンバーアカウントまたは OU を一元管理型に指定した場合、委任された管理者のみが複数のリージョンにわたってメンバーアカウントまたは OU を設定できます。組織内のすべてのアカウントと OU を、一元管理型、すべてセルフマネージド型、または両方の組み合わせとして指定できます。

一元管理型アカウントを設定するには、委任管理者が Security Hub CSPM の設定ポリシーを使用します。設定ポリシーにより、委任管理者は Security Hub CSPM を有効にするか無効にするか、またどの標準とコントロールを有効または無効にするかを指定できます。またこのポリシーを使用して、特定のコントロールのパラメータをカスタマイズすることもできます。

設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。委任された管理者は、中央設定の使用を開始する前に、組織のホームリージョンとリンクされたリージョンを指定します。リンクされたリージョンの指定はオプションです。委任された管理者は、組織全体に単一の設定ポリシーを作成することも、複数の設定ポリシーを作成してさまざまなアカウントや OU の変数設定を行うこともできます。

**ヒント**  
中央設定を使用しない場合は、原則的に各アカウントとリージョンについて個別に Security Hub を設定する必要があります。これは*ローカル設定*と呼ばれます。ローカル設定の場合、委任管理者は、現在のリージョンの新しい組織アカウントで、Security Hub CSPM および限定された一連のセキュリティ標準を自動的に有効にできます。ローカル設定は、既存の組織アカウントや、現在のリージョン以外のリージョンには適用されません。また、ローカル設定では設定ポリシーの使用もサポートされていません。

このセクションでは、中央設定の概要について説明します。

## 中央設定を使用する利点
<a name="central-configuration-benefits"></a>

中央設定には、次のような利点があります。

**Security Hub CSPM サービスと機能の設定を簡素化する**  
中央設定を使用する場合、Security Hub CSPM によって組織のセキュリティ上のベストプラクティスを設定するプロセスに誘導されます。また、作成された設定ポリシーは、指定したアカウントと OU に自動的にデプロイされます。新しいセキュリティコントロールを自動的に有効にするなど、Security Hub CSPM の既存の設定がある場合は、それらの設定を設定ポリシーの開始点として使用できます。さらに、Security Hub CSPM コンソールの **[設定]** ページには、設定ポリシーの概要と、各ポリシーを使用するアカウントおよび OU がリアルタイムで表示されます。

**複数のアカウントやリージョンにまたがる設定**  
中央設定を使用すると、Security Hub CSPM を複数のアカウントとリージョンにまたがって設定を行うことができます。これにより、組織の各部署で一貫した設定と適切なセキュリティ対策が確保されます。

**さまざまなアカウントや OU で異なる設定に対応**  
中央設定により、組織のアカウントと OU をさまざまな方法で設定できます。例えば、テストアカウントと本稼働アカウントでは異なる設定が必要になる場合があります。組織に追加する際に新しいアカウントを対象とする設定ポリシーを作成することもできます。

**設定のずれを防ぐ**  
設定のずれは、サービスや機能に対してユーザーが行った変更が、委任された管理者が行った選択と競合する場合に発生します。中央設定によりこのずれを防止します。アカウントまたは OU を一元管理型として指定する場合に設定できるのは、組織の委任管理者のみです。特定のアカウントや OU で独自の設定を行う場合は、セルフマネージド型に指定できます。

## 中央設定をいつ使用するのか?
<a name="central-configuration-audience"></a>

中央設定は、複数の Security Hub CSPM アカウントを含む AWS 環境に最も有益です。複数のアカウントに対して Security Hub CSPM を一元管理できるように設計されています。

中央設定を使用して、Security Hub CSPM サービス、セキュリティ標準、およびセキュリティコントロールを設定できます。また、この設定を使用して特定のコントロールのパラメータをカスタマイズすることもできます。セキュリティ標準の詳細については、「[Security Hub CSPM のセキュリティ標準を理解する](standards-view-manage.md)」を参照してください。セキュリティコントロールの詳細については、「[Security Hub CSPM のセキュリティコントロールを理解する](controls-view-manage.md)」を参照してください。



## 中央設定に関する用語と概念
<a name="central-configuration-concepts"></a>

以下の主要な用語と概念を理解しておくと、Security Hub CSPM の中央設定を使用する際に役立ちます。

**中央設定**  
組織に対してSecurity Hub CSPM の委任管理者アカウントが、複数のアカウントとリージョンにわたって Security Hub CSPM サービス、セキュリティ標準、およびセキュリティコントロールを設定する際に役立つ、Security Hub CSPM の機能。これらの設定を行うには、委任管理者が組織内の一元管理型アカウントに対して Security Hub CSPM 設定ポリシーを作成し、管理します。セルフマネージド型アカウントは、リージョンごとに独自の設定を個別に行うことができます。中央設定を使用するには、Security Hub CSPM と を統合する必要があります AWS Organizations。

**ホームリージョン**  
設定ポリシーを作成および管理することで、委任管理者が Security Hub CSPM を一元的に設定 AWS リージョン する 。設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。  
ホームリージョンは、リンクされたリージョンから検出結果、インサイト、その他のデータを受け取る Security Hub CSPM 集約リージョンとしても機能します。  
2019 年 3 月 20 日以降に AWS 導入されたリージョンは、オプトインリージョンと呼ばれます。オプトインリージョンをホームリージョンにすることはできませんが、リンクされたリージョンにすることはできます。オプトインリージョンのリストについては、「*AWS アカウント管理リファレンスガイド*」の「[Considerations before enabling and disabling Regions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)」を参照してください。

**リンクされたリージョン**  
ホームリージョンから設定 AWS リージョン 可能な 。設定ポリシーは、ホームリージョンの委任管理者によって作成されます。ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。リンクされたリージョンの指定はオプションです。  
また、リンクされたリージョンによって、検出結果、インサイト、その他のデータがホームリージョンに送信されます。  
2019 年 3 月 20 日以降に AWS 導入されたリージョンは、オプトインリージョンと呼ばれます。設定ポリシーを適用する前に、そのようなリージョンをアカウントで有効にする必要があります。Organizations 管理アカウントでは、メンバーアカウントのオプトインリージョンを有効にできます。詳細については、「 [アカウント管理リファレンスガイド」の AWS リージョン 「アカウントで使用できる を指定する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)」を参照してください。 *AWS *

**ターゲット**  
 AWS アカウント、組織単位 (OU)、または組織ルート。

**Security Hub CSPM の設定ポリシー**  
委任管理者が一元管理型ターゲットに設定できる Security Hub CSPM 設定のコレクション。これには、以下が含まれます。  
+ Security Hub CSPM を有効または無効にするかどうか。
+ 1 つ以上の[セキュリティ標準](standards-reference.md)を有効にするかどうか。
+ 有効になっている標準でどの[セキュリティコントロール](securityhub-controls-reference.md)を有効にするか。委任管理者は、有効にする必要のある特定のコントロールのリストを指定することでこれを実行できます。Security Hub CSPM によって、リリース時の新しいコントロールを含め、他のすべてのコントロールが無効になります。または、委任管理者が無効にする必要のある特定のコントロールのリストを指定し、Security Hub CSPM でリリース時の新しいコントロールを含め、他のすべてのコントロールを有効にすることもできます。
+ オプションで、有効な複数の標準で有効になっているコントロールを選択して[パラメータをカスタマイズ](custom-control-parameters.md)できます。
設定ポリシーは、少なくとも 1 つのアカウント、組織単位 (OU)、またはルートに関連付けられると、ホームリージョンとリンクされたすべてのリージョンで有効になります。  
Security Hub CSPM コンソールでは、委任管理者が Security Hub CSPM 推奨設定ポリシーを選択するか、カスタム設定ポリシーを作成できます。Security Hub CSPM API と を使用すると AWS CLI、委任管理者はカスタム設定ポリシーのみを作成できます。委任された管理者は、最大 20 のカスタム設定ポリシーを作成できます。  
推奨される設定ポリシーでは、Security Hub CSPM、 AWS の基本的なセキュリティのベストプラクティス (FSBP) 標準、すべての既存および新規の FSBP コントロールが有効になっています。パラメータを受け入れるコントロールは、デフォルト値を使用します。推奨される設定ポリシーは、組織全体に適用されます。  
組織に異なる設定を適用したり、異なるアカウントや OU に異なる設定ポリシーを適用したりするには、カスタム設定ポリシーを作成します。

**ローカル設定**  
Security Hub CSPM と を統合した後の、組織のデフォルトの設定タイプ AWS Organizations。ローカル設定では、委任管理者が、現在のリージョンの*新しい*組織アカウントで Security Hub CSPM と[デフォルトのセキュリティ標準](securityhub-auto-enabled-standards.md)を自動的に有効にするよう選択できます。委任された管理者がデフォルトの標準を自動的に有効にすると、これらの標準に含まれるすべてのコントロールも、新しい組織アカウントのデフォルトパラメータを使用して自動的に有効になります。これらの設定は既存のアカウントには適用されないため、アカウントを組織に追加した後に設定のずれが生じる可能性があります。デフォルトの標準に含まれる特定のコントロールの無効化、および追加の標準とコントロールの設定は、アカウントやリージョンごとに個別に行う必要があります。  
ローカル設定では、設定ポリシーの使用がサポートされていません。設定ポリシーを使用するには、中央設定に切り替える必要があります。

**手動アカウント管理**  
Security Hub CSPM を と統合しない場合、 AWS Organizations またはスタンドアロンアカウントがある場合は、各リージョンで各アカウントの設定を個別に指定する必要があります。手動によるアカウント管理では、設定ポリシーの使用がサポートされていません。

**中央設定 API**  
一元管理型アカウントの設定ポリシーを管理するために Security Hub CSPM の委任管理者のみがホームリージョンで使用する Security Hub CSPM オペレーション。オペレーションは次のとおりです。  
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`

**アカウント固有の API**  
Security Hub CSPM 、標準、コントロールをアカウントごとに有効または無効にできる、Security Hub CSPM のオペレーション。これらのオペレーションは、個々のリージョンで使用されます。  
セルフマネージド型アカウントは、アカウント固有のオペレーションを使用して独自の設定を行うことができます。一元管理型アカウントは、ホームリージョンとリンクされたリージョンでは以下のアカウント固有のオペレーションを使用することができません。これらのリージョンで中央設定オペレーションと設定ポリシーによって一元管理型アカウントを設定できるのは、委任された管理者のみです。  
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
アカウントのステータスを確認するために、一元管理型アカウントの所有者が Security Hub CSPM API の `Get` または `Describe` オペレーションを使用することは*可能です*。  
中央設定の代わりにローカル設定または手動アカウント管理を使用する場合は、これらのアカウント固有のオペレーションを使用できます。  
セルフマネージドアカウントは、 `*Invitations` および `*Members` オペレーションを使用することもできます。ただし、セルフマネージド型アカウントではこれらのオペレーションを使用しないことをお勧めします。メンバーアカウントに、委任管理者とは異なる組織に属する独自のメンバーがある場合、ポリシーの関連付けが失敗する可能性があります。

**組織単位 (OU)**  
 AWS Organizations および Security Hub CSPM では、 グループのコンテナ AWS アカウント。また、組織単位 (OU) は他の OU に含めることもでき、上下反転したツリーのような階層を作成できます。最上部には親 OU があり、下に向かって OU の枝が広がり、先端にはツリーの葉であるアカウントがあります。OU は、厳密に親を 1 つ持つことができ、各組織アカウントを厳密に 1 つの OU のメンバーにすることができます。  
OUs は AWS Organizations または で管理できます AWS Control Tower。詳細については、「*AWS Organizations ユーザーガイド*」の「[Managing organizational units](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html)」または「*AWS Control Tower ユーザーガイド*」の「[Govern organizations and accounts with AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html)」を参照してください。  
委任された管理者は、設定ポリシーを特定のアカウントや OU に関連付けたり、組織内のすべてのアカウントや OU を対象とするルートに関連付けたりできます。

**一元管理型**  
委任管理者のみが設定ポリシーを使用して複数のリージョンにわたり設定できるターゲット。  
委任管理者アカウントで、ターゲットが一元管理型かどうかを指定します。委任された管理者は、ターゲットのステータスを一元管理型からセルフマネージド型に、またはその逆に変更することもできます。

**セルフマネージド型**  
独自の Security Hub CSPM 設定を管理するターゲット。セルフマネージド型ターゲットは、アカウント固有のオペレーションを使用して、各リージョンで個別に Security Hub CSPM を設定します。これとは対照的に、一元管理型ターゲットは、設定ポリシーによって複数のリージョンにわたり委任された管理者のみが設定できます。  
委任管理者アカウントで、ターゲットがセルフマネージド型かどうかを指定します。委任管理者は、ターゲットにセルフマネージド型の動作を適用できます。また、アカウントや OU は親からセルフマネージド型の動作を継承することもできます。  
委任管理者アカウントは、それ自体がセルフマネージド型アカウントである可能性があります。委任管理者アカウントは、ターゲットのステータスをセルフマネージド型から一元管理型、または逆に変更できます。  


**設定ポリシーの関連付け**  
設定ポリシーとアカウント、組織単位 (OU)、またはルートとの間のリンク。ポリシーが関連付けられている場合、アカウント、OU、またはルートでは設定ポリシーで定義された設定を使用します。関連付けは次のいずれかの場合に発生します。  
+ 委任された管理者が設定ポリシーをアカウント、OU、またはルートに直接適用する場合
+ アカウントまたは OU が親 OU またはルートから設定ポリシーを継承する場合
関連付けは、別の設定が適用または継承されるまで発生します。

**適用された設定ポリシー**  
委任された管理者が設定ポリシーをターゲットアカウント、OU、またはルートに直接適用する、設定ポリシーの関連付けタイプ。ターゲットは設定ポリシーで定義されている方法で設定され、委任された管理者のみが設定を変更できます。ルートに適用した場合、設定ポリシーは、アプリケーションまたは最も近い親からの継承によって異なる設定を使用していない、組織内のすべてのアカウントと OU に影響します。  
委任された管理者は、特定のアカウント、OU、またはルートにセルフマネージド型の設定を適用することもできます。

**継承された設定ポリシー**  
アカウントまたは OU が最も近い親 OU またはルートの設定を採用する、設定ポリシーの関連付けタイプ。設定ポリシーがアカウントや OU に直接適用されない場合、最も近い親 OU の設定が継承されます。ポリシーのすべての要素は継承されます。つまり、アカウントや OU はポリシーの一部だけを選択的に継承することはできません。最も近い親がセルフマネージド型の場合、子アカウントまたは OU は親のセルフマネージド型の動作を継承します。  
継承によって適用された設定を上書きすることはできません。つまり、設定ポリシーまたはセルフマネージド型の設定がアカウントまたは OU に直接適用された場合、その設定が使用され、親の設定は継承されません。

**ルート**  
 AWS Organizations および Security Hub CSPM では、組織内の最上位の親ノード。委任された管理者が設定ポリシーをルートに適用すると、そのポリシーは組織内のすべてのアカウントと OU に関連付けられます。ただし、アプリケーションまたは継承によって別のポリシーが使用されている場合や、セルフマネージド型として指定されている場合は除きます。管理者がルートをセルフマネージド型として指定した場合、アプリケーションまたは継承で設定ポリシーを使用する場合を除き、組織内のすべてのアカウントと OU はセルフマネージド型になります。ルートがセルフマネージド型で、現在設定ポリシーが存在しない場合、組織内のすべての新規アカウントで現在の設定が保持されます。  
組織に追加した新しいアカウントは、特定の OU に割り当てられるまではルートに属します。新しいアカウントが OU に割り当てられない場合、委任された管理者がセルフマネージド型アカウントとして指定しない限り、そのアカウントはルート設定を継承します。

# Security Hub CSPM の中央設定の有効化
<a name="start-central-configuration"></a>

委任 AWS Security Hub CSPM 管理者アカウントは、中央設定を使用して、複数のアカウントと組織単位 (OUs) の Security Hub CSPM、標準、コントロールを設定できます AWS リージョン。

中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

このセクションでは、中央設定の前提条件と使用開始方法について説明します。

## 中央設定の前提条件
<a name="prerequisites-central-configuration"></a>

中央設定の使用を開始する前に、Security Hub CSPM を と統合 AWS Organizations し、ホームリージョンを指定する必要があります。Security Hub CSPM コンソールを使用する場合、これらの前提条件は中央設定のオプトインワークフローに含まれています。

### Organizations との統合
<a name="orgs-integration-prereq"></a>

中央設定を使用するには、Security Hub CSPM と Organizations を統合する必要があります。

これらのサービスを統合するには、まず Organizations で組織を作成します。次に Organizations 管理アカウントから Security Hub CSPM の委任管理者アカウントを指定します。手順については、「[Security Hub CSPM と の統合 AWS Organizations](designate-orgs-admin-account.md)」を参照してください。

必ず、**目的のホームリージョン**で委任管理者を指定してください。中央設定の使用を開始すると、すべてのリンクされたリージョンにも同じ委任管理者が自動的に設定されます。Organizations 管理アカウントは、委任管理者アカウントとして設定することは*できません*。

**重要**  
中央設定を使用する場合、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用して委任管理者アカウントを変更または削除することはできません。Organizations 管理アカウントが AWS Organizations APIs を使用して Security Hub CSPM 委任管理者を変更または削除する場合、Security Hub CSPM は自動的に中央設定を停止します。設定ポリシーの関連付けも解除され、削除されます。メンバーアカウントには、委任管理者が変更または削除される前の設定が保持されます。

### ホームリージョンの指定
<a name="home-region-prereq"></a>

中央設定を使用するにはホームリージョンを指定する必要があります。ホームリージョンは、委任管理者が組織を設定するリージョンです。

**注記**  
ホームリージョンは、 AWS をオプトインリージョンとして指定したリージョンにすることはできません。オプトインリージョンは、デフォルトでは無効となっています。オプトインリージョンのリストについては、「AWS アカウント管理リファレンスガイド」の「[Considerations before enabling and disabling Regions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)」を参照してください。

必要に応じて、ホームリージョンから設定可能なリンクされたリージョンを 1 つ以上指定できます。

委任管理者は、ホームリージョンからのみ設定ポリシーを作成および管理できます。設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。これらのリージョンのサブセットにのみ適用され、他のリージョンには適用されない設定ポリシーは作成できません。ただし、グローバルリソースが関与するコントロールは例外です。中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。詳細については、「[グローバルリソースを使用するコントロール](controls-to-disable.md#controls-to-disable-global-resources)」を参照してください。

ホームリージョンは、リンクされたリージョンから検出結果、インサイト、その他のデータを受け取る Security Hub CSPM 集約リージョンでもあります。

クロスリージョン集約の集約リージョンを既に設定している場合、それが中央設定のデフォルトのホームリージョンになります。現在の検出結果アグリゲータを削除し、目的のホームリージョンに新しいアグリゲータを作成することで、中央設定の使用を開始する前にホームリージョンを変更できます。検出結果アグリゲータは、ホームリージョンとリンクされたリージョンを指定する Security Hub CSPM リソースです。

ホームリージョンを指定する場合は、[集約リージョンを設定する手順](finding-aggregation-enable.md)を参照してください。ホームリージョンを既に指定している場合は、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) API を呼び出して、現在どのリージョンがリンクされているかなどの詳細を確認できます。

## 中央設定を有効にする手順
<a name="central-configuration-get-started"></a>

ご希望の方法を選択し、手順に従って組織の中央設定を有効化します。

------
#### [ Security Hub CSPM console ]

**中央設定を有効化するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。次に、**[中央設定を開始]** を選択します。

   Security Hub CSPM にオンボーディングする場合は、**[Security Hub CSPM に移動]** を選択します。

1. **[委任された管理者を指定]** ページで、委任管理者アカウントを選択するか、アカウント ID を入力します。該当する場合は、他の AWS セキュリティおよびコンプライアンスサービスに設定したのと同じ委任管理者を選択することをお勧めします。**[委任された管理者を設定]** を選択します。

1. **[組織を一元化]** ページの **[リージョン]** セクションで、ホームリージョンを選択します。続行するには、ホームリージョンにサインインする必要があります。クロスリージョン集約の集約リージョンを既に設定している場合、そのリージョンがホームリージョンとして表示されます。ホームリージョンを変更するには、**[リージョンの設定を編集]** を選択します。これにより、ご希望のホームリージョンを選択して、このワークフローに戻ることができます。

1. ホームリージョンにリンクするリージョンを少なくとも 1 つ選択してください。必要に応じて、将来サポートされるリージョンをホームリージョンに自動的にリンクするかどうかを選択します。ここで選択したリージョンは、委任管理者がホームリージョンから設定できます。設定ポリシーは、ホームリージョンとすべてのリンクされたリージョンで有効になります。

1. **[確認して続行]** を選択します。

1.  中央設定を使用できるようになりました。続けてコンソールのプロンプトに従い、最初の設定ポリシーを作成します。設定ポリシーを作成する準備がまだ整っていない場合は、**[まだ設定する準備ができていません]** を選択します。ポリシーは、後でナビゲーションペインで **[設定]**、**[設定]** の順に選択して作成できます。設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

------
#### [ Security Hub CSPM API ]

**中央設定を有効化するには (API)**

1. 委任管理者アカウントの認証情報を使用して、ホームリージョンから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API を呼び出します。

1. `AutoEnable` フィールドは `false` に設定されます。

1. `OrganizationConfiguration` オブジェクト内の `ConfigurationType` フィールドを `CENTRAL` に設定します。このアクションには以下の影響があります。
   + すべてのリンクされたリージョンで、呼び出しアカウントを Security Hub CSPM の委任管理者として指定します。
   + すべてのリンクされたリージョンの委任管理者アカウントで Security Hub CSPM を有効にします。
   + Security Hub CSPM を使用する、組織に属している新規および既存のアカウントについて、呼び出しアカウントを Security Hub CSPM の委任管理者として指定します。これはホームリージョンとすべてのリンクされたリージョンで発生します。呼び出しアカウントは、新しい組織アカウントが Security Hub CSPM が有効になっている設定ポリシーに関連付けられている場合にのみ、その委任管理者として設定されます。呼び出しアカウントは、既存の組織アカウントで Security Hub CSPM が既に有効になっている場合のみ、その委任管理者として設定されます。
   + すべてのリンクされたリージョンで [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable) を `false` に設定し、ホームリージョンとすべてのリンクされたリージョンで [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards) を `NONE` に設定します。中央設定を使用する場合、これらのパラメータはホームリージョンやリンクされたリージョンには関係ありませんが、設定ポリシーを使用すると、Security Hub CSPM とデフォルトのセキュリティ基準を組織アカウントで自動的に有効にできます。

1. 中央設定を使用できるようになりました。委任管理者は、組織で Security Hub CSPM を設定するための設定ポリシーを作成できます。設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

**API リクエストの例**:

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**中央設定を有効化するには (AWS CLI)**

1. 委任管理者アカウントの認証情報を使用して、ホームリージョンから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) コマンドを実行します。

1. `no-auto-enable` パラメータを指定します。

1. `organization-configuration` オブジェクト内の `ConfigurationType` フィールドを `CENTRAL` に設定します。このアクションには以下の影響があります。
   + すべてのリンクされたリージョンで、呼び出しアカウントを Security Hub CSPM の委任管理者として指定します。
   + すべてのリンクされたリージョンの委任管理者アカウントで Security Hub CSPM を有効にします。
   + Security Hub CSPM を使用する、組織に属している新規および既存のアカウントについて、呼び出しアカウントを Security Hub CSPM の委任管理者として指定します。これはホームリージョンとすべてのリンクされたリージョンで発生します。呼び出しアカウントは、新しい組織アカウントが Security Hub が有効になっている設定ポリシーに関連付けられている場合にのみ、その委任管理者として設定されます。呼び出しアカウントは、既存の組織アカウントで Security Hub CSPM が既に有効になっている場合のみ、その委任管理者として設定されます。
   + すべてのリンクされたリージョンで自動有効化オプションを [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) に設定し、ホームリージョンとすべてのリンクされたリージョンで [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) を `NONE` に設定します。中央設定を使用する場合、これらのパラメータはホームリージョンやリンクされたリージョンには関係ありませんが、設定ポリシーを使用すると、Security Hub CSPM とデフォルトのセキュリティ基準を組織アカウントで自動的に有効にできます。

1. 中央設定を使用できるようになりました。委任管理者は、組織で Security Hub CSPM を設定するための設定ポリシーを作成できます。設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

**コマンドの例:**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------

# 一元管理とセルフマネージドターゲット
<a name="central-configuration-management-type"></a>

中央設定を有効にすると、委任 AWS Security Hub CSPM 管理者は、各組織アカウント、組織単位 (OU)、ルートを*一元管理*型または*セルフマネージド*型として指定できます。ターゲットの管理タイプによって、Security Hub CSPM の設定を指定する方法が決まります。

中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

このセクションでは、一元管理型とセルフマネージド型の指定の違いと、アカウント、OU、またはルートの管理タイプを選択する方法について説明します。

**セルフマネージド型**  
セルフマネージドアカウント、OU、またはルートの所有者は、それぞれの設定を個別に設定する必要があります AWS リージョン。委任管理者は、セルフマネージドターゲットの設定ポリシーを作成できません。

**一元管理型**  
ホームリージョンとリンクされたリージョンの一元管理型アカウントおよび OU に対しては、Security Hub CSPM の委任管理者のみが設定することができます。設定ポリシーは、一元管理型アカウントおよび OU に関連付けることができます。

委任管理者は、ターゲットのステータスをセルフマネージド型と一元管理型の間で切り替えることができます。デフォルトでは、Security Hub CSPM API を使用して中央設定を開始する場合、すべてのアカウントと OU がセルフマネージド型になります。コンソールでは、管理タイプは最初の設定ポリシーによって異なります。最初のポリシーに関連付けられるアカウントと OU は、一元管理型です。その他のアカウントと OU は、デフォルトではセルフマネージド型になります。

設定ポリシーを以前のセルフマネージドアカウントに関連付けると、ポリシー設定はセルフマネージド指定を上書きします。アカウントは一元管理され、設定ポリシーに反映された設定を採用します。

一元管理型アカウントをセルフマネージド型アカウントに変更した場合、設定ポリシーを通じて以前アカウントに適用された設定は、そのまま残ります。たとえば、一元管理アカウントは、最初は Security Hub CSPM を有効にし、 AWS Foundational Security Best Practices を有効にし、CloudTrail.1. その後、アカウントをセルフマネージド型に指定してもすべての設定はそのままになります。ただし、その後アカウント所有者はアカウントの設定を個別に変更できます。

子アカウントと OU は、セルフマネージド型の親からセルフマネージド型の動作を継承でき、同様に一元管理型の親から設定ポリシーを継承できます。詳細については、「[アプリケーションと継承によるポリシーの関連付け](configuration-policies-overview.md#policy-association)」を参照してください。

セルフマネージドアカウントまたは OU は、親ノードまたはルートから設定ポリシーを継承できません。例えば、組織内のすべてのアカウントと OU がルートから設定ポリシーを継承する場合は、セルフマネージド型ノードの管理タイプを一元管理型に変更する必要があります。

## セルフマネージドアカウントで設定を行うオプション
<a name="self-managed-settings"></a>

セルフマネージド型アカウントは、リージョンごとに独自の設定を行う必要があります。

セルフマネージド型アカウントの所有者は、各リージョンで Security Hub CSPM API の次のオペレーションを呼び出し、設定できます。
+ `EnableSecurityHub` および `DisableSecurityHub` を使用して、Security Hub CSPM サービスを有効または無効にします (セルフマネージドアカウントに Security Hub CSPM の委任管理者がいる場合、管理者は、アカウントの所有者が Security Hub CSPM を無効にする前に[アカウントの関連付けを解除](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)する必要があります)。
+ 標準を有効または無効にする `BatchEnableStandards` または `BatchDisableStandards`
+ コントロールを有効または無効にする `BatchUpdateStandardsControlAssociations` または `UpdateStandardsControl`

セルフマネージドアカウントは、 `*Invitations` および `*Members` オペレーションを使用することもできます。ただし、セルフマネージド型アカウントではこれらのオペレーションを使用しないことをお勧めします。メンバーアカウントに、委任管理者とは異なる組織に属する独自のメンバーがある場合、ポリシーの関連付けが失敗する可能性があります。

Security Hub CSPM API アクションの説明については、「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html)」を参照してください。

セルフマネージドアカウントは、Security Hub CSPM コンソールまたは を使用して AWS CLI 、各リージョンで設定を構成することもできます。

セルフマネージド型アカウントでは、Security Hub CSPM の設定ポリシーおよびポリシーの関連付けに関連する API を呼び出すことはできません。中央設定 API を呼び出し、設定ポリシーを使用して一元管理型アカウントを設定できるのは、委任された管理者のみです。

## ターゲットの管理タイプの選択
<a name="choose-management-type"></a>

任意の方法を選択し、手順に従って、 AWS Security Hub CSPM でアカウントまたは OU を一元管理またはセルフマネージドとして指定します。

------
#### [ Security Hub CSPM console ]

**アカウントまたは OU の管理タイプを選択するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. **[設定]** を選択します。

1. **[組織]** タブで、ターゲットアカウントまたは OU を選択します。**[編集]** を選択します。

1. 委任された管理者がターゲットアカウントまたは OU の設定を行う場合は、**[設定を定義]** ページの **[管理タイプ]** で、**[一元管理]** を選択します。次に、既存の設定ポリシーをターゲットと関連付ける場合は、**[特定のポリシーを適用]** を選択します。ターゲットに最も近い親の設定を継承させる場合は、**[自分の組織から継承]** を選択します。アカウントまたは OU で独自の設定を行う場合は、**[セルフマネージド]** を選択します。

1. [**次へ**] を選択します。変更内容を見直して、**[保存]** を選択します。

------
#### [ Security Hub CSPM API ]

**アカウントまたは OU の管理タイプを選択するには**

1. ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API を呼び出します。

1. アカウントまたは OU で独自の設定を制御する場合は、`ConfigurationPolicyIdentifier` フィールドに `SELF_MANAGED_SECURITY_HUB` と入力します。委任された管理者がアカウントまたは OU の設定を制御する場合は、関連する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

1. `Target` フィールドに、管理タイプを変更するターゲットの AWS アカウント ID、OU ID、またはルート ID を指定します。これにより、セルフマネージド型の動作または指定した設定ポリシーがターゲットに関連付けられます。ターゲットの子アカウントは、セルフマネージド型の動作または設定ポリシーを継承できます。

**セルフマネージド型アカウントを指定する API リクエストの例:**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**アカウントまたは OU の管理タイプを選択するには**

1. ホームリージョンの Security Hub CSPM 委任管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) コマンドを実行します。

1. アカウントまたは OU で独自の設定を制御するには、`configuration-policy-identifier` フィールドに `SELF_MANAGED_SECURITY_HUB` と指定します。委任された管理者がアカウントまたは OU の設定を制御する場合は、関連する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

1. `target` フィールドに、管理タイプを変更するターゲットの AWS アカウント ID、OU ID、またはルート ID を指定します。これにより、セルフマネージド型の動作または指定した設定ポリシーがターゲットに関連付けられます。ターゲットの子アカウントは、セルフマネージド型の動作または設定ポリシーを継承できます。

**セルフマネージド型アカウントを指定するコマンドの例:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------

# Security Hub CSPM の設定ポリシーの仕組み
<a name="configuration-policies-overview"></a>

委任 AWS Security Hub CSPM 管理者は、組織の Security Hub CSPM、セキュリティ標準、セキュリティコントロールを設定する設定ポリシーを作成できます。設定ポリシーを作成した後に、委任管理者はそれを特定のアカウント、組織単位 (OU)、またはルートに関連付けることができます。その後、ポリシーは、指定されたアカウント、OU またはルートで有効になります。

中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

このセクションでは、設定ポリシーの詳細な概要を示します。

## ポリシーに関する考慮事項
<a name="configuration-policies-considerations"></a>

Security Hub CSPM で設定ポリシーを作成する前に、次の点について考えます。
+ **設定ポリシーを有効にするには関連付ける必要がある** — 設定ポリシーを作成した後に、1 つ以上のアカウント、組織単位 (OU)、またはルートに関連付けることができます。設定ポリシーは、直接適用するか、親 OU からの継承によってアカウントまたは OU に関連付けることができます。
+ **アカウントまたは OU は 1 つの設定ポリシーにのみ関連付けることができる** — 設定の競合を防ぐため、アカウントまたは OU は常に 1 つの設定ポリシーにのみ関連付けることができます。または、アカウントまたは OU をセルフマネージドすることもできます。
+ **設定ポリシーが完全である** — 設定ポリシーには設定の完全な仕様が記載されています。例えば、子アカウントでは、あるポリシーの一部のコントロールの設定と、別のポリシーのその他のコントロールの設定を受け入れることはできません。ポリシーを子アカウントに関連付けるときは、その子アカウントで使用したい設定のすべてがポリシーで指定されていることを確認します。
+ **設定ポリシーを元に戻すことはできない** – アカウントまたは OU に関連付けると、設定ポリシーを元に戻すオプションはありません。例えば、CloudWatch コントロールを無効にする設定ポリシーを特定のアカウントに関連付けると、そのポリシーの関連付けを解除しても、そのアカウントでは CloudWatch コントロールは引き続き無効になります。CloudWatch コントロールを再度有効にするには、コントロールを有効にする新しいポリシーをアカウントに関連付けることができます。または、アカウントをセルフマネージドに変更し、アカウント内の各 CloudWatch コントロールを有効にすることもできます。
+ **設定ポリシーが、ホームリージョンとリンクされているすべてのリージョンで有効になっている** — 設定ポリシーは、ホームリージョンとリンクされているすべてのリージョンの関連付けられているアカウントのすべてに影響します。これらのリージョンの一部でのみ有効で、他のリージョンでは有効にならない設定ポリシーを作成することはできません。ただし、[グローバルリソースが使用するコントロール](controls-to-disable.md#controls-to-disable-global-resources)は例外です。Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれる定期的なコントロールを自動的に無効にします。

  2019 年 3 月 20 日以降に AWS 導入されたリージョンは、オプトインリージョンと呼ばれます。設定ポリシーを有効にする前に、アカウントでこのようなリージョンを有効にする必要があります。Organizations 管理アカウントでは、メンバーアカウントのオプトインリージョンを有効にできます。オプトインリージョンを有効にする手順については、[「 アカウント管理リファレンスガイド」の AWS リージョン 「アカウントで使用できる を指定する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)」を参照してください。 *AWS *

  ポリシーでホームリージョンまたは 1 つ以上のリンクされたリージョンでは使用できないコントロールが設定されている場合、Security Hub CSPM は使用できないリージョンのコントロール設定をスキップし、コントロールが利用可能なリージョンの設定を適用します。ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。
+ **設定ポリシーがリソースである** — リソースとして、設定ポリシーには、Amazon リソースネーム (ARN) と一意識別子 (UUID) があります。ARN は次の形式を使用します: `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID`。セルフマネージド設定には ARN または UUID はありません。セルフマネージド設定の識別子は、`SELF_MANAGED_SECURITY_HUB` です。

## 設定ポリシーのタイプ
<a name="policy-types"></a>

各設定ポリシーでは、次の設定を指定します。
+ Security Hub CSPM を有効または無効にします。
+ 1 つ以上の[セキュリティ標準](standards-reference.md)を有効にします。
+ 有効な標準でどの[セキュリティコントロール](securityhub-controls-reference.md)が有効になっているかを示します。そのためには、有効にすべき特定のコントロールのリストを指定します。Security Hub CSPM は、リリース時に新しいコントロールを含め、他のすべてのコントロールを無効にします。または、無効にすべき特定のコントロールのリストを指定して、Security Hub CSPM がリリースされた時点の新しいコントロールを含め、他のすべてのコントロールを有効化することもできます。
+ オプションで、有効な標準全体で有効になっているコントロールを選択して[パラメータをカスタマイズ](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)できます。

中央設定ポリシーには AWS Config レコーダー設定は含まれません。Security Hub CSPM がコントロール結果を生成するには、必要なリソースの記録を個別に有効に AWS Config して有効にする必要があります。詳細については、「[を有効にして設定する前に考慮すべき点 AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config)」を参照してください。

中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。

グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。

グローバルリソースを含むコントロールのリストについては、「[グローバルリソースを使用するコントロール](controls-to-disable.md#controls-to-disable-global-resources)」を参照してください。

### 推奨される設定ポリシー
<a name="recommended-policy"></a>

*Security Hub CSPM コンソールで初めて*設定ポリシーを作成する場合、Security Hub CSPM の推奨されるポリシーを選択するオプションもあります。

推奨ポリシーにより、Security Hub CSPM、 AWS Foundational Security Best Practices (FSBP) 標準、および既存および新規のすべての FSBP コントロールが有効になります。パラメータを受け入れるコントロールは、デフォルト値を使用します。推奨されるポリシーはルート (新規および既存のすべてのアカウントと OU) に適用されます。組織用の推奨されるポリシーを作成した後に、委任管理者アカウントから変更できます。例えば、追加の標準やコントロールを有効にしたり、特定の FSBP コントロールを無効にしたりできます。設定ポリシーを変更する手順については、「[設定ポリシーの更新](update-policy.md)」を参照してください。

### カスタム設定ポリシー
<a name="custom-policy"></a>

委任管理者は、推奨されるポリシーの代わりに最大 20 件のカスタム設定ポリシーを作成できます。1 つのカスタムポリシーを組織全体に関連付けることも、別のカスタムポリシーをさまざまなアカウントや OU に関連付けることもできます。カスタム設定ポリシーの場合は、必要な設定を指定します。例えば、FSBP、Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0、および Amazon Redshift のコントロールを除くこれらの標準のすべてのコントロールを有効にするカスタムポリシーを作成できます。カスタム設定ポリシーで使用する細分性のレベルは、組織全体で想定された範囲のセキュリティカバレッジによって異なります。

**注記**  
Security Hub CSPM を無効にする設定ポリシーを、委任管理者アカウントに関連付けることはできません。このようなポリシーは他のアカウントと関連付けることはできますが、委任管理者との関連付けはスキップされます。委任管理者アカウントは現在の設定を保持します。

カスタム設定ポリシーを作成した後に、推奨される設定を反映するように設定ポリシーを更新することで、推奨される設定ポリシーに切り替えることができます。ただし、最初のポリシーを作成した後は、Security Hub CSPM コンソールに推奨される設定ポリシーを作成する選択肢は表示されません。

## アプリケーションと継承によるポリシーの関連付け
<a name="policy-association"></a>

最初に中央設定にオプトインした時点では、組織は関連付けられておらず、オプトイン前と同じように動作します。その後、委任管理者は設定ポリシーまたはセルフマネージド型の動作とアカウント、OU、またはルートとの関連付けを確立できます。関連付けは、*アプリケーション*または*継承*によって確立できます。

委任管理者アカウントから、設定ポリシーをアカウント、OU、またはルートに直接適用できます。または、委任管理者がアカウント、OU、またはルートをセルフマネージド型指定を直接適用することもできます。

ダイレクトアプリケーションが適用されない場合、アカウントまたは OU は、設定ポリシーまたはセルフマネージド型の動作を持つ最も近い親の設定を継承します。最も近い親が設定ポリシーに関連付けられている場合、子はそのポリシーを継承し、設定できるのはホームリージョンの委任管理者のみです。最も近い親がセルフマネージド型である場合、子はセルフマネージド型の動作を継承し、それぞれに独自の設定を指定できます AWS リージョン。

適用は継承よりも優先されます。つまり、委任管理者がアカウントまたは OU に直接適用した設定ポリシーまたはセルフマネージド型指定を継承によって上書きされることはありません。

設定ポリシーをセルフマネージドアカウントに直接適用すると、ポリシーはセルフマネージド指定を上書きします。アカウントは一元管理され、設定ポリシーに反映された設定を採用します。

設定ポリシーをルートに直接適用することをお勧めします。ルートにポリシーを適用すると、組織に参加する新しいアカウントは、別のポリシーに関連付けたり、セルフマネージド型として指定したりしない限り、自動的にルートポリシーを継承します。

アプリケーションまたは継承によって、一度に 1 つのアカウントまたは OU に関連付けることができる設定ポリシーは 1 つだけです。これは設定の競合を防ぐためのものです。

次の図は、中央設定におけるポリシーの適用と継承の仕組みを示しています。

![\[Security Hub CSPM 設定ポリシーの適用と継承\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)


この例では、緑色で強調表示されているノードには設定ポリシーが適用されています。青色で強調表示されているノードには、設定ポリシーが適用されていません。黄色で強調表示されているノードは、セルフマネージド型として指定されています。各アカウントと OU は以下の設定を使用します。
+ **OU:Root (緑)** — この OU は、適用されている設定ポリシーを使用します。
+ **OU:Prod (青)** — この OU は OU:Root から設定ポリシーを継承します。
+ **OU:Applications (緑)** — この OU は、適用されている設定ポリシーを使用します。
+ **Account 1 (緑)** — このアカウントは、適用されている設定ポリシーを使用します。
+ **Account 2 (青)** — このアカウントは OU:Applications の設定ポリシーを継承します。
+ **OU:Dev (黄)** — この OU はセルフマネージド型です。
+ **Account 3 (緑)** — このアカウントは、適用されている設定ポリシーを使用します。
+ **Account 4 (青)** — このアカウントは OU:Dev のセルフマネージド型の動作を継承します。
+ **OU:Test (青)** — このアカウントは OU:Root の設定ポリシーを継承します。
+ **Account 5 (青)** — このアカウントは OU:Root の設定ポリシーを継承します。これは、その直接の親である OU:Test には設定ポリシーが関連付けられていないためです。

## 設定ポリシーのテスト
<a name="test-policy"></a>

設定ポリシーの仕組みを確実に理解するには、1 つのポリシーを作成し、テストアカウントまたは OU に関連付けることをお勧めします。

**設定ポリシーをテストするには**

1. カスタム設定ポリシーを作成し、Security Hub CSPM の有効化、標準、およびコントロールに指定されている設定が正しいことを確認します。手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

1. 子アカウントや OU を持たないテストアカウントまたは OU に設定ポリシーを適用します。

1. テストアカウントまたは OU が、ホームリージョンとリンクされているすべてのリージョンで設定ポリシーを想定どおりに使用していることを確認します。また、組織内の他のすべてのアカウントと OU が引き続きセルフマネージドされ、各地域で独自の設定を変更できることを確認できます。

1 つのアカウントまたは OU で設定ポリシーをテストした後に、その設定ポリシーを他のアカウントや OU に関連付けることができます。

# 設定ポリシーの作成と関連付け
<a name="create-associate-policy"></a>

委任 AWS Security Hub CSPM 管理者アカウントは、指定されたアカウントと組織単位 (OUs) で Security Hub CSPM、標準、コントロールを設定する方法を指定する設定ポリシーを作成できます。設定ポリシーは、委任管理者が少なくとも 1 つのアカウントまたは組織単位 (OU)、またはルートに関連付けた後にのみ有効になります。委任管理者は、アカウント、OU、またはルートにセルフマネージド型の設定を関連付けることもできます。

初めて設定ポリシーを作成する場合は、最初に「[Security Hub CSPM の設定ポリシーの仕組み](configuration-policies-overview.md)」を確認することをお勧めします。

お好みのアクセス方法を選択し、手順に従って設定ポリシーまたはセルフマネージド設定を作成し、関連付けます。Security Hub CSPMコンソールを使用する場合、設定を複数のアカウントまたは OU に同時に関連付けることができます。Security Hub CSPM API または を使用する場合 AWS CLI、各リクエストで設定を関連付けることができるアカウントまたは OU は 1 つだけです。

**注記**  
中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。  
グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。  
グローバルリソースを含むコントロールのリストについては、「[グローバルリソースを使用するコントロール](controls-to-disable.md#controls-to-disable-global-resources)」を参照してください。

------
#### [ Security Hub CSPM console ]

**設定ポリシーを作成して関連付けるには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[設定]** および **[ポリシー]** タブを選択します。次に、**[ポリシーの作成]** を選択します。

1. 設定ポリシーを初めて作成する場合は、**[組織を設定]** ページの **[設定タイプ]** に 3 つのオプションが表示されます。既に 1 つ以上の設定ポリシーを作成している場合は、**[カスタムポリシー]** オプションのみが表示されます。
   + ** AWS 推奨ポリシーを使用するには、組織全体で推奨される Security Hub CSPM 設定**を使用するを選択します。推奨ポリシーは、すべての組織アカウントで Security Hub CSPM を有効にし、 AWS Foundational Security Best Practices (FSBP) 標準を有効にし、すべての新規および既存の FSBP コントロールを有効にします。コントロールはデフォルトのパラメータ値を使用します。
   + 設定ポリシーを後で作成するには、**[まだ設定する準備ができていません]** を選択します。
   + **[カスタムポリシー]** を選択して、カスタム設定ポリシーを作成します。Security Hub CSPM を有効にするか無効にするか、どの標準を有効にするか、それらの標準でどのコントロールを有効にするかを指定します。オプションで、カスタムパラメータをサポートする 1 つ以上の有効になっているコントロールに[カスタムパラメータ値](custom-control-parameters.md)を指定します。

1. **[アカウント]** セクションで、設定ポリシーを適用するターゲットアカウント、OU、またはルートを選択します。
   + 設定ポリシーをルートに適用する場合は、**[すべてのアカウント]** を選択します。これには、別のポリシーが適用されていない、または継承されていない組織内のすべてのアカウントと OU が含まれます。
   + 設定ポリシーを特定のアカウントまたは OU に適用する場合は、**[特定のアカウント]** を選択します。アカウント ID を入力するか、組織構造からアカウントと OU を選択します。ポリシーは、作成時に最大 15 個のターゲット (アカウント、OU、またはルート) に適用できます。さらに多く指定するには、作成後にポリシーを編集し、他のターゲットに適用します。
   + **[委任された管理者のみ]** を選択すると、現在の委任管理者アカウントに設定ポリシーが適用されます。

1. [**次へ**] を選択します。

1. **[確認と適用]** ページで、設定ポリシーの詳細を確認します。次に、**[ポリシーを作成して適用]** を選択します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承して設定ポリシーに関連付けることもできます。適用されたターゲットの子アカウントと OU は、特に除外されたり、セルフマネージド型であったり、別の設定ポリシーを使用したりしない限り、この設定ポリシーを自動的に継承します。

------
#### [ Security Hub CSPM API ]

**設定ポリシーを作成して関連付けるには**

1. ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API を呼び出します。

1. `Name` には、設定ポリシーの一意の名前を入力します。オプションで、`Description` に設定ポリシーの説明を入力します。

1. `ServiceEnabled` フィールドで、Security Hub CSPM をこの設定ポリシーで有効にするか無効にするかを指定します。

1. `EnabledStandardIdentifiers` フィールドで、この設定ポリシーで有効にする Security Hub CSPM 標準を指定します。

1. `SecurityControlsConfiguration` オブジェクトで、この設定ポリシーで有効または無効にするコントロールを指定します。`EnabledSecurityControlIdentifiers` を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。`DisabledSecurityControlIdentifiers` を選択すると、指定したコントロールが無効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

1. オプションで、`SecurityControlCustomParameters` フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。`ValueType` フィールドに `CUSTOM` を指定し、`Value` フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub CSPM で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「[Security Hub CSPM のコントロールパラメータについて](custom-control-parameters.md)」を参照してください。

1. 設定ポリシーをアカウントまたは OU に適用するには、ホームリージョン内の Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API を呼び出します。

1. `ConfigurationPolicyIdentifier` フィールドに、ポリシーの Amazon リソースネーム (ARN) または 一意識別子 (UUID) を入力します。ARN と UUID は `CreateConfigurationPolicy` API によって返されます。セルフマネージド設定の場合、 `ConfigurationPolicyIdentifier` フィールドは `SELF_MANAGED_SECURITY_HUB` に等しくなります。

1. `Target` フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。各 API リクエストに指定できるターゲットは 1 つのみです。選択したターゲットの子アカウントと OU は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、自動的にこの設定ポリシーを継承します。

**設定ポリシーを作成する API リクエストの例:**

```
{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**設定ポリシーを関連付ける API リクエストの例:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```

------
#### [ AWS CLI ]

**設定ポリシーを作成して関連付けるには**

1. ホームリージョンの Security Hub CSPM 委任管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) コマンドを実行します。

1. `name` には、設定ポリシーの一意の名前を入力します。オプションで、`description` に設定ポリシーの説明を入力します。

1. `ServiceEnabled` フィールドで、Security Hub CSPM をこの設定ポリシーで有効にするか無効にするかを指定します。

1. `EnabledStandardIdentifiers` フィールドで、この設定ポリシーで有効にする Security Hub CSPM 標準を指定します。

1. `SecurityControlsConfiguration` フィールドで、この設定ポリシーで有効または無効にするコントロールを指定します。`EnabledSecurityControlIdentifiers` を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。`DisabledSecurityControlIdentifiers` を選択すると、指定したコントロールが無効になります。有効になっている標準に適用されるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

1. オプションで、`SecurityControlCustomParameters` フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。`ValueType` フィールドに `CUSTOM` を指定し、`Value` フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub CSPM で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「[Security Hub CSPM のコントロールパラメータについて](custom-control-parameters.md)」を参照してください。

1. 設定ポリシーをアカウントまたは OU に適用するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントで [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) コマンドを実行します。

1. `configuration-policy-identifier` フィールドに、設定ポリシーの Amazon リソースネーム (ARN) または ID を入力します。この ARN と ID は、`create-configuration-policy` コマンドによって返されます。

1. `target` フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。コマンドを実行するたびに指定できるターゲットは 1 つのみです。選択したターゲットの子は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、この設定ポリシーを自動的に継承します。

**設定ポリシーを作成するコマンドの例:**

```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

**設定ポリシーを関連付けるコマンドの例:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```

------

`StartConfigurationPolicyAssociation` API は、`AssociationStatus` というフィールドを返します。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが `PENDING` から `SUCCESS` または `FAILURE` に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「[設定ポリシーの関連付けステータスの確認](view-policy.md#configuration-association-status)」を参照してください。

# 設定ポリシーのステータスと詳細の確認
<a name="view-policy"></a>

委任 AWS Security Hub CSPM 管理者は、組織の設定ポリシーとその詳細を表示できます。これには、ポリシーが関連付けられているアカウントと組織単位 (OU) が含まれます。

中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

任意の方法を選択し、その手順に従って設定ポリシーを表示します。

------
#### [ Security Hub CSPM console ]

**設定ポリシーを表示するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。

1. 設定ポリシーの概要については、**[ポリシー]** タブを選択します。

1. 設定ポリシーを選択し、**[詳細を表示]** を選択すると、関連付けられているアカウントや OU など、そのポリシーに関するその他の詳細が表示されます。

------
#### [ Security Hub CSPM API ]

すべての設定ポリシーの概要リストを表示するには、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html) コマンドを実行します。委任 Security Hub CSPM 管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

特定の設定ポリシーの詳細を表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) オペレーションを使用します。を使用する場合は AWS CLI、 を実行します[https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html)。委任管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。詳細を表示する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

すべての設定ポリシーとそのアカウント関連付けの概要リストを表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html) オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html) コマンドを実行します。委任管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。オプションで、ページ分割パラメータを指定したり、特定のポリシー ID、関連付けタイプ、または関連付けステータスで結果をフィルタリングしたりできます。

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

特定のアカウントの関連付けを表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html) コマンドを実行します。委任管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。`target` の場合、アカウント番号、OU ID、またはルート ID を指定します。

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## 設定ポリシーの関連付けステータスの確認
<a name="configuration-association-status"></a>

以下の中央設定 API オペレーションは、`AssociationStatus` というフィールドを返します。
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

このフィールドは、基礎となる設定が設定ポリシーの場合とセルフマネージド型の動作の場合の両方で返されます。

`AssociationStatus` の値は、特定のアカウントにおけるポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが `PENDING` から `SUCCESS` または `FAILED` に変わるまで、最大 24 時間かかることがあります。ステータスが `SUCCESS` の場合、設定ポリシーで指定されたすべての設定がアカウントに関連付けられていることを意味します。ステータスが `FAILED` の場合、設定ポリシーで指定された 1 つ以上の設定がアカウントとの関連付けに失敗したことを意味します。`FAILED` ステータスにかかわらず、アカウントはポリシーに従って部分的に設定できます。たとえば、Security Hub CSPM を有効にし、 AWS 基本的なセキュリティのベストプラクティスを有効にし、CloudTrail.1. 最初の 2 つの設定は成功し、CloudTrail.1 の設定は失敗した場合、一部の設定が正しく設定されていても、関連付けステータスは `FAILED` になります。

親 OU またはルートの関連付けステータスは、子のステータスによって異なります。すべての子の関連付けステータスが `SUCCESS` の場合、親の関連付けステータスは `SUCCESS` です。1 人以上の子の関連付けステータスが `FAILED` の場合、親の関連付けステータスは `FAILED` です。

`AssociationStatus` の値は、関連するすべてのリージョンのポリシーの関連付けステータスによって異なります。ホームリージョンとリンクされているすべてのリージョンで関連付けが成功すると、`AssociationStatus` の値は `SUCCESS` になります。これらの 1 つ以上のリージョンで関連付けに失敗すると、`AssociationStatus` の値は `FAILED` になります。

以下の動作は、`AssociationStatus` の値にも影響します。
+ ターゲットが親 OU またはルートの場合、すべての子が `SUCCESS` または `FAILED` ステータスの場合にのみ `SUCCESS` または `FAILED` の `AssociationStatus` が含まれます。最初に親を設定に関連付けた後に、子アカウントまたは OU の関連付けステータスが変更された場合 (リンクされたリージョンが追加または削除された場合など)、`StartConfigurationPolicyAssociation` API を再度呼び出さない限り、その変更によって親の関連付けステータスは更新されません。
+ ターゲットがアカウントの場合、関連付けにホームリージョンとすべてのリンクされたリージョンの `SUCCESS` または `FAILED` の結果がある場合に限り、そのアカウントには `SUCCESS` または `FAILED` の `AssociationStatus` があります。ターゲットアカウントを初めて設定に関連付けた後に、ターゲットアカウントの関連付けステータスが変更された場合 (リンクされたリージョンが追加または削除された場合など)、その関連付けステータスは更新されます。ただし、`StartConfigurationPolicyAssociation` API を再度呼び出さない限り、変更によって親の関連付けステータスは更新されません。

リンクされた新しいリージョンを追加すると、Security Hub CSPM は、新しいリージョンの `PENDING`、`SUCCESS`、`FAILED` ステータスにある既存の関連付けをレプリケートします。

関連付けステータスが `SUCCESS` であっても、ポリシーの一部である標準の有効化ステータスは不完全な状態に移行する可能性があります。その場合、Security Hub CSPM は標準コントロールの検出結果を生成できません。詳細については、「[標準のステータスをチェックする](enable-standards.md#standard-subscription-status)」を参照してください。

## 関連付けの失敗のトラブルシューティング
<a name="failed-association-reasons"></a>

 AWS Security Hub CSPM では、以下の一般的な理由で設定ポリシーの関連付けが失敗することがあります。
+ **Organizations 管理アカウントはメンバーではありません** – 設定ポリシーを Organizations 管理アカウントに関連付ける場合は、そのアカウントで AWS Security Hub CSPM が有効になっている必要があります。これにより、管理アカウントが組織内のメンバーアカウントになります。
+ **AWS Config が有効になっていないか、正しく設定**されていない – 設定ポリシーで標準を有効にする AWS Config には、関連するリソースを記録するように有効化および設定する必要があります。
+ **委任管理者アカウントから関連付ける必要がある** – Security Hub CSPM 委任管理者アカウントにサインインすると、ポリシーをターゲットアカウントと OU にのみ関連付けることができます。
+ **ホームリージョンから関連付ける必要がある** — ホームリージョンにサインインすると、ポリシーをターゲットアカウントと OU にのみ関連付けることができます。
+ **オプトイン地域が有効化されていない** — 委任管理者が有効化していないオプトインリージョンの場合、リンクされたリージョンのメンバーアカウントまたは OU に対するポリシーの関連付けが失敗します。委任管理者アカウントからリージョンを有効化した後で再試行できます。
+ **メンバーアカウントが一時停止している** — 一時停止されたメンバーアカウントにポリシーを関連付けようとすると、ポリシーの関連付けが失敗します。

# 設定ポリシーの更新
<a name="update-policy"></a>

設定ポリシーを作成した後、委任 AWS Security Hub CSPM 管理者アカウントはポリシーの詳細とポリシーの関連付けを更新できます。ポリシーの詳細が更新されると、設定ポリシーに関連付けられているアカウントは、更新されたポリシーの使用を自動的に開始します。

中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

委任管理者は、次のポリシー設定を更新できます。
+ Security Hub CSPM を有効または無効にします。
+ 1 つ以上の[セキュリティ標準](standards-reference.md)を有効にします。
+ 有効な標準でどの[セキュリティコントロール](securityhub-controls-reference.md)が有効になっているかを示します。そのためには、有効にすべき特定のコントロールのリストを指定します。Security Hub CSPM は、リリース時に新しいコントロールを含め、他のすべてのコントロールを無効にします。または、無効にすべき特定のコントロールのリストを指定して、Security Hub CSPM がリリースされた時点の新しいコントロールを含め、他のすべてのコントロールを有効化することもできます。
+ オプションで、有効な標準全体で有効になっているコントロールを選択して[パラメータをカスタマイズ](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)できます。

任意の方法を選択し、その手順に従って設定ポリシーを更新します。

**注記**  
中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。  
グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。  
グローバルリソースを含むコントロールのリストについては、「[グローバルリソースを使用するコントロール](controls-to-disable.md#controls-to-disable-global-resources)」を参照してください。

------
#### [ Console ]

**設定ポリシーを更新するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。

1. **[Policies]** タブを選択します。

1. 編集する設定ポリシーを選択したら、**[編集]** を選択します。必要に応じて、ポリシーの設定を編集します。ポリシーの設定を変更せずにそのまま維持する場合は、このセクションはそのままにします。

1. **[次へ]** を選択します。必要に応じて、ポリシーの関連付けを編集します。ポリシーの関連付けを変更せずにそのまま維持する場合は、このセクションはそのままにします。更新時に、ポリシーを最大 15 個のターゲット (アカウント、OU、またはルート) に関連付けるか、関連付けを解除できます。

1. [**次へ**] を選択します。

1. 更新内容を確認して **[保存]** を選択して適用します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承することもできます。

------
#### [ API ]

**設定ポリシーを更新するには**

1. 設定ポリシーの設定を更新するには、ホームリージョンの Security Hub CSPM の委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API を呼び出します。

1. 更新する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

1. `ConfigurationPolicy` の下のフィールドに、更新された値を入力します。オプションで、更新の理由も指定できます。

1. この設定ポリシーに新しい関連付けを追加するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API を呼び出します。1 つ以上の現在の関連付けを削除するには、ホームリージョンの Security Hub CSPM の委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API を呼び出します。

1. `ConfigurationPolicyIdentifier` フィールドには、関連付けを更新する設定ポリシーの ARN または ID を指定します。

1. `Target` フィールドには、関連付けるまたは関連付けを解除するアカウント、OU、またはルート ID を指定します。このアクションは、指定した OU またはアカウントに対する以前のポリシー関連付けを上書きします。

**注記**  
`UpdateConfigurationPolicy` API を呼び出すと、Security Hub CSPM は、`EnabledStandardIdentifiers`、`EnabledSecurityControlIdentifiers`、`DisabledSecurityControlIdentifiers`、`SecurityControlCustomParameters` のフィールドの完全なリスト置換を実行します。この API を呼び出すたびに、有効にする標準の全リストと、有効または無効にしてパラメータをカスタマイズするコントロールの全リストを指定します。

**設定ポリシーを更新する API リクエストの例:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

------
#### [ AWS CLI ]

**設定ポリシーを更新するには**

1. 設定ポリシーの設定を更新するには、ホームリージョンの Security Hub CSPM の委任管理者アカウントから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html) コマンドを実行します。

1.  更新する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

1. `configuration-policy` の下のフィールドに、更新された値を入力します。オプションで、更新の理由も指定できます。

1. この設定ポリシーに新しい関連付けを追加するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) コマンドを実行します。1 つ以上の現在の関連付けを削除するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) コマンドを実行します。

1. `configuration-policy-identifier` フィールドには、関連付けを更新する設定ポリシーの ARN または ID を指定します。

1. `target` フィールドには、関連付けるまたは関連付けを解除するアカウント、OU、またはルート ID を指定します。このアクションは、指定した OU またはアカウントに対する以前のポリシー関連付けを上書きします。

**注記**  
`update-configuration-policy` コマンドを実行すると、Security Hub CSPM は、`EnabledStandardIdentifiers`、`EnabledSecurityControlIdentifiers`、`DisabledSecurityControlIdentifiers`、`SecurityControlCustomParameters` のフィールドの完全なリスト置換を実行します。このコマンドを実行するたびに、有効にする標準の全リストと、有効または無効にしてパラメータをカスタマイズするコントロールの全リストを指定します。

**設定ポリシーを更新するコマンドの例:**

```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

------

`StartConfigurationPolicyAssociation` API は、`AssociationStatus` というフィールドを返します。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが `PENDING` から `SUCCESS` または `FAILURE` に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「[設定ポリシーの関連付けステータスの確認](view-policy.md#configuration-association-status)」を参照してください。

# 設定ポリシーの削除
<a name="delete-policy"></a>

設定ポリシーを作成した後、委任 AWS Security Hub CSPM 管理者はそのポリシーを削除できます。また、委任管理者はポリシーを保持したまま、特定のアカウントや組織単位 (OU) またはルートとの関連付けを解除することもできます。ポリシーの関連付けを解除する手順については、「[ターゲットから設定の関連付けを解除する](disassociate-policy.md)」を参照してください。

中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

このセクションでは、設定ポリシーを削除する方法について説明します。

設定ポリシーを削除すると、組織には存在しなくなります。ターゲットアカウント、OU、および組織ルートは設定ポリシーを使用できなくなります。削除された設定ポリシーに関連付けられていたターゲットは、最も近い親の設定ポリシーを継承するか、最も近い親がセルフマネージド型の場合はセルフマネージド型になります。ターゲットに別の設定を使用する場合は、そのターゲットを新しい設定ポリシーに関連付けることができます。詳細については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

適切なセキュリティカバレッジを確保するために、少なくとも 1 つの設定ポリシーを作成して組織に関連付けることをお勧めします。

設定ポリシーを削除する前に、現在適用されているアカウント、OU、またはルートからポリシーの関連付けを解除する必要があります。

任意の方法を選択し、その手順に従って設定ポリシーを削除します。

------
#### [ Console ]

**設定ポリシーを削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。

1. **[Policies]** タブを選択します。削除する設定ポリシーを選択し、**[削除]** を選択します。設定ポリシーがまだアカウントまたは OU に関連付けられている場合は、削除する前にポリシーとそれらのターゲットとの関連付けを解除するように求められます。

1. 確認メッセージを確認します。「**confirm**」と入力し、**[削除]** を選択します。

------
#### [ API ]

**設定ポリシーを削除するには**

ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html) API を呼び出します。

削除する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。`ConflictException` エラーを受け取った場合でも、設定ポリシーは組織内のアカウントまたは OU に適用されます。このエラーを解決するには、削除する前に、設定ポリシーとこれらのアカウントまたは OU との関連付けを解除します。

**設定ポリシーを削除する API リクエストの例:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```

------
#### [ AWS CLI ]

**設定ポリシーを削除するには**

ホームリージョンの Security Hub CSPM 委任管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html) コマンドを実行します。

 削除する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。`ConflictException` エラーを受け取った場合でも、設定ポリシーは組織内のアカウントまたは OU に適用されます。このエラーを解決するには、削除する前に、設定ポリシーとこれらのアカウントまたは OU との関連付けを解除します。

```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# ターゲットから設定の関連付けを解除する
<a name="disassociate-policy"></a>

委任 AWS Security Hub CSPM 管理者アカウントから、アカウント、OU、またはルートから設定ポリシーまたはセルフマネージド設定の関連付けを解除できます。関連付けを解除すると、ポリシーは将来の使用のために保持されますが、特定のアカウント、OU、またはルートからの既存の関連付けは削除されます。関連付けを解除できるのは、継承された設定ではなく、直接適用された設定のみです。継承された設定を変更するには、影響を受けるアカウントまたは OU に設定ポリシーまたはセルフマネージド型の動作を適用します。また、必要な変更を含む新しい設定ポリシーを、最も近い親に適用することもできます。

関連付けを解除しても設定ポリシーは削除*されません*。ポリシーはアカウントに保持されるため、組織内の他のターゲットと関連付けることができます。設定ポリシーの削除手順については、「[設定ポリシーの削除](delete-policy.md)」を参照してください。関連付けの解除が完了すると、影響を受けるターゲットは、設定ポリシーまたは最も近い親のセルフマネージド型の動作を継承します。継承が可能な設定がない場合、ターゲットは関連付け解除前の設定を保持しますが、セルフマネージド型になります。

任意の方法を選択し、その手順に従って、アカウント、OU、またはルートと現在の設定との関連付けを解除します。

------
#### [ Console ]

**アカウントまたは OU と現在の設定との関連付けを解除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。

1. **[組織]** タブで、現在の設定との関連付けを解除したいアカウント、OU、またはルートを選択します。**[編集]** を選択します。

1. 委任管理者がターゲットに直接ポリシーを適用できるようにするには、**[構成を定義]** ページの **[管理]** で、適用される **[ポリシー]** を選択します。ターゲットに最も近い親の設定を継承する場合は、**[継承済み]** を選択します。いずれの場合も、委任管理者がターゲットの設定をコントロールします。アカウントまたは OU に独自の設定を管理する場合は、**[セルフマネージド]** を選択します。

1. 変更を確認したら、**[次へ]** と **[適用]** を選択します。このアクションは、対象範囲内のアカウントまたは OU の既存の設定が現在の選択内容と矛盾する場合、それらの設定を上書きします。

------
#### [ API ]

**アカウントまたは OU と現在の設定との関連付けを解除するには**

1. ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API を呼び出します。

1.  `ConfigurationPolicyIdentifier` の場合、関連付けを解除する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。セルフマネージド型の動作との関連付けを解除するには、このフィールドに `SELF_MANAGED_SECURITY_HUB` を指定します。

1.  `Target` の場合、この設定ポリシーとの関連付けを解除するアカウント、OU、またはルートを指定します。

**設定ポリシーの関連付けを解除する API リクエストの例:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
```

------
#### [ AWS CLI ]

**アカウントまたは OU と現在の設定との関連付けを解除するには**

1. ホームリージョンの Security Hub CSPM 委任管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html) コマンドを実行します。

1.  `configuration-policy-identifier` の場合、関連付けを解除する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。セルフマネージド型の動作との関連付けを解除するには、このフィールドに `SELF_MANAGED_SECURITY_HUB` を指定します。

1.  `target` の場合、この設定ポリシーとの関連付けを解除するアカウント、OU、またはルートを指定します。

**設定ポリシーの関連付けを解除するコマンドの例:**

```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```

------

# 状況に応じた標準またはコントロールの設定
<a name="central-configuration-in-context"></a>

 AWS Security Hub CSPM で[中央設定](central-configuration-intro.md)を使用する場合、委任 Security Hub CSPM 管理者は、Security Hub CSPM、セキュリティ標準、およびセキュリティコントロールを組織に対して設定する方法を指定する設定ポリシーを作成できます。委任管理者は、ポリシーを特定のアカウントと組織単位 (OU) に関連付けることができます。ポリシーは、ホームリージョンとすべてのリンクされたリージョンで有効になります。委任管理者は、必要に応じて設定ポリシーを更新できます。

Security Hub CSPM コンソールでは、委任管理者は**[設定]**ページから、または既存のワークフローのコンテキスト内からの 2 つの方法で設定ポリシーを更新できます。後者は、セキュリティの検出結果を確認しながら、どの標準とコントロールが自分の環境に最も関連性があるかを見出し、同時に設定することができるため、有益です。

コンテキスト内の設定は、Security Hub CSPM コンソールでのみ実行できます。プログラムによって委任管理者は、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) オペレーションを呼び出し、特定の標準やコントロールの組織内での設定方法を変更する必要があります。

コンテキスト内の Security Hub CSPM 標準またはコントロールを設定するには、次の手順に従います。

**コンテキストの標準またはコントロールを設定する (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、次のオプションのいずれかを選択します。
   + 標準を設定するには、**[セキュリティ標準]** を選択し、標準を指定します。
   + コントロールを設定するには、**[コントロール]** を選択し、コントロールを指定します。

1. コンソールには、既存の Security Hub CSPM 設定ポリシーと各ポリシーにおける選択した標準とコントロールのステータスが一覧表示されます。既存の各設定ポリシーの標準、またはコントロールを有効または無効にするオプションを選択します。コントロールでは、[コントロールパラメータ](custom-control-parameters.md)をカスタマイズすることもできます。コンテキスト内設定中に新しいポリシーを作成することはできません。新しいポリシーを作成するには、**[設定]**ページに移動し、**[ポリシー]**タブを選択し、**[ポリシーの作成]** を選択する必要があります。

1. 変更を加えたら、**[次へ]** を選択します。

1. 変更内容を確認したら、**[適用]** を選択します。変更内容は、変更した設定ポリシーに関連付けられているすべてのアカウントと OU に影響します。また、ホームリージョンとリンクされたすべてのリージョンで有効になります。

# Security Hub CSPM の中央設定を無効化する
<a name="stop-central-configuration"></a>

 AWS Security Hub CSPM で中央設定を無効にすると、委任された管理者は、複数の組織単位 (OUs) および で Security Hub CSPM AWS アカウント、セキュリティ標準、セキュリティコントロールを設定できなくなります AWS リージョン。代わりに、各リージョンでその設定のほとんどをアカウントごとに設定する必要があります。

**重要**  
中央設定を無効化する前に、まず[アカウントと OU](disassociate-policy.md) を現在の設定から切り離す必要があります (それが設定ポリシーか、セルフマネージド型動作であるかは関係ありません)。  
中央設定の使用を無効化する前に、[既存の設定ポリシーも削除する](delete-policy.md)必要があります。

中央設定を無効化すると、次の変更が行われます。
+ 委任管理者は、組織の設定ポリシーを作成できなくなります。
+ 設定ポリシーが適用または継承されたアカウントは、現在の設定を保持しますが、セルフマネージド型になります。
+ 組織は*ローカル設定*に切り替わります。ローカル設定では、Security Hub CSPM 設定の大部分を組織アカウントとリージョンごとに個別に設定する必要があります。委任管理者は、Security Hub CSPM、[デフォルトのセキュリティ基準](securityhub-auto-enabled-standards.md)、および新しい組織アカウントのデフォルト標準に含まれるすべてのコントロールを自動的に有効にすることを選択できます。デフォルトの標準は、 AWS Foundational Security Best Practices (FSBP) と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 です。これらの設定は現在のリージョンでのみ有効で、新しい組織アカウントにのみ影響します。委任管理者は、どの標準がデフォルトになるかを変更できません。ローカル設定では、設定ポリシーの使用や OU レベルでの設定はサポートされていません。

中央設定の使用を停止しても、委任管理者アカウントの ID は変わりません。ホームリージョンとリンクされたリージョンも変更されません (ホームリージョンは集約リージョンと呼ばれることになり、検出結果の集約に使用できます)。

お好みの方法を選択し、手順に従って中央設定の使用を停止し、ローカル設定に切り替えます。

------
#### [ Security Hub CSPM console ]

**中央設定を無効化するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。

1. **[概要]** セクションで **[編集]** を選択します。

1. **[組織設定を編集]** ボックスで、**[ローカル設定]** を選択します。まだ行っていない場合は、中央設定を停止する前に、現在の設定ポリシーの関連付けを解除して削除するよう求められます。セルフマネージド型として指定されているアカウントまたは OU は、セルフマネージド型設定との関連付けを解除する必要があります。これをコンソールで行うには、各セルフマネージド型アカウントまたは OU の[管理タイプ](central-configuration-management-type.md#choose-management-type)を **[一元管理]** と **[自分の組織から継承]** に変更します。

1. 必要に応じて、新しい組織アカウントのローカル設定のデフォルト設定を選択します。

1. **[確認]** を選択します。

------
#### [ Security Hub CSPM API ]

**中央設定 (API) を無効にするには**

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API を呼び出します。

1. `OrganizationConfiguration` オブジェクト内の `ConfigurationType` フィールドを `LOCAL` に設定します。既存の設定ポリシーまたはポリシーの関連付けがある場合、API はエラーを返します。設定ポリシーの関連付けを解除するには、`StartConfigurationPolicyDisassociation` API を呼び出します。設定ポリシーを削除するには、`DeleteConfigurationPolicy` API を呼び出します。

1. 新しい組織アカウントで Security Hub CSPM を自動的に有効にする場合は、`AutoEnable` フィールドを `true` に設定します。デフォルトでは、このフィールドの値は `false` で、Security Hub CSPM は新しい組織アカウントで自動的には有効になりません。必要に応じて、新しい組織アカウントでデフォルトのセキュリティ基準を自動的に有効にする場合は、`AutoEnableStandards` フィールドを `DEFAULT` に設定します。これは、デフォルト値です。新しい組織アカウントでデフォルトのセキュリティ基準を自動的に有効化しない場合は、`AutoEnableStandards` フィールドを `NONE` に設定します。

**API リクエストの例**:

```
{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
```

------
#### [ AWS CLI ]

**中央設定を無効にするには (AWS CLI)**

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) コマンドを実行します。

1. `organization-configuration` オブジェクト内の `ConfigurationType` フィールドを `LOCAL` に設定します。既存の設定ポリシーまたはポリシーの関連付けがある場合、このコマンドはエラーを返します。設定ポリシーの関連付けを解除するには、`start-configuration-policy-disassociation` コマンドを実行します。設定ポリシーを削除するには、`delete-configuration-policy` コマンドを実行します。

1. 新しい組織アカウントで Security Hub CSPM を自動的に有効にする場合は、`auto-enable` パラメータを使用します。デフォルトでは、このパラメータの値は `no-auto-enable` で、Security Hub CSPM は新しい組織アカウントで自動的には有効になりません。必要に応じて、新しい組織アカウントでデフォルトのセキュリティ基準を自動的に有効にする場合は、`auto-enable-standards` フィールドを `DEFAULT` に設定します。これは、デフォルト値です。新しい組織アカウントでデフォルトのセキュリティ基準を自動的に有効化しない場合は、`auto-enable-standards` フィールドを `NONE` に設定します。

```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```

------

# Security Hub CSPM での管理者アカウントとメンバーアカウントの管理
<a name="securityhub-accounts"></a>

 AWS 環境に複数のアカウントがある場合は、 AWS Security Hub CSPM を使用するアカウントをメンバーアカウントとして扱い、単一の管理者アカウントに関連付けることができます。管理者は全体的なセキュリティ状況を監視し、メンバーアカウントに対して[許可されたアクション](securityhub-accounts-allowed-actions.md)を実行できます。管理者は、推定使用コストのモニタリングやアカウントクォータの評価など、さまざまなアカウント管理および管理タスクも大規模に実行できます。

メンバーアカウントを管理者に関連付けるには、Security Hub CSPM を と統合 AWS Organizations するか、Security Hub CSPM でメンバーシップの招待を手動で送受信します。

## を使用したアカウントの管理 AWS Organizations
<a name="securityhub-orgs-account-management-overview"></a>

AWS Organizations は、 AWS 管理者が複数の を統合して管理できるようにするグローバルアカウント管理サービスです AWS アカウント。予算、セキュリティ、コンプライアンスのニーズをサポートするように設計されたアカウント管理および一括請求 (コンソリデーティッドビリング) 機能が備わっています。追加料金なしで提供され、 AWS Security Hub CSPM AWS のサービス、Amazon Macie、Amazon GuardDuty などの複数の と統合されます。詳細については、「[https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)」を参照してください。

Security Hub CSPM と を統合すると AWS Organizations、Organizations 管理アカウントは Security Hub CSPM 委任管理者を指定します。Security Hub CSPM は、指定された の委任管理者アカウントで自動的に有効 AWS リージョン になります。

委任管理者を指定した後は、[中央設定](central-configuration-intro.md)を使用して Security Hub CSPM でアカウントを管理することをお勧めします。これは、Security Hub CSPM をカスタマイズし、組織の適切なセキュリティカバレッジを確保するための最も効率的な方法です。

中央設定により、委任管理者は Security Hub CSPM をリージョンごとに設定するのではなく、複数の組織アカウントとリージョンにわたってカスタマイズできます。組織全体の設定ポリシーを作成することも、アカウントや OU ごとに異なる設定ポリシーを作成することもできます。ポリシーでは、関連するアカウントで Security Hub CSPM を有効にするか無効にするか、およびどのセキュリティ標準とコントロールを有効にするかを指定します。

委任された管理者は、アカウントを一元管理型またはセルフマネージド型として指定できます。一元管理型アカウントは、委任された管理者のみが設定できます。セルフマネージド型アカウントは、独自の設定を指定できます。

中央設定にオプトインしない場合、委任管理者が Security Hub CSPM を設定できる権限は、*ローカル設定*と呼ばれるより限定的な権限に制限されます。ローカル設定では、委任管理者は、現在のリージョンの新しい組織アカウントで Security Hub CSPM と[デフォルトのセキュリティ標準](securityhub-auto-enabled-standards.md)を自動的に有効にできます。ただし、既存のアカウントではこれらの設定を使用しないため、アカウントを組織に追加した後に設定のずれが生じる可能性があります。

これらの新しいアカウント設定に加え、ローカル設定もアカウントおよびリージョンに固有です。各組織のアカウントで、Security Hub CSPM のサービス、標準、コントロールをリージョンごとに個別に設定する必要があります。また、ローカル設定では設定ポリシーの使用もサポートされていません。

## 招待によるアカウントの手動での管理
<a name="securityhub-manual-account-management-overview"></a>

スタンドアロンアカウントをお持ちの場合、または Organizations と統合していない場合は、Security Hub CSPM で招待によってメンバーアカウントを手動で管理する必要があります。スタンドアロンアカウントは Organizations と統合できないため、手動で管理する必要があります。今後アカウントを追加する場合は、 と統合 AWS Organizations し、中央設定を使用することをお勧めします。

手動によるアカウント管理を使用する場合は、アカウントを Security Hub CSPM 管理者として指定します。管理者アカウントは、メンバーアカウントのデータを表示したり、メンバーアカウントの検出結果に基づいて特定のアクションを実行したりできます。メンバー候補アカウントが招待を承諾すると、Security Hub CSPM 管理者は他のアカウントをメンバーアカウントに招待し、管理者とメンバーの関係が確立されます。

手動によるアカウント管理では、設定ポリシーの使用がサポートされていません。設定ポリシーがない場合、管理者はアカウントごとに変数設定を行うことになり Security Hub CSPM を一元的にカスタマイズすることができません。代わりに、各組織アカウントが各リージョンで個別に Security Hub CSPM を有効にして設定する必要があります。これにより、Security Hub CSPM を使用するすべてのアカウントとリージョンで適切なセキュリティカバレッジを確保することがより困難になり、時間もかかります。また、メンバーアカウントが管理者の入力なしに独自の設定を指定できるため、設定のずれが生じる可能性もあります。

招待によってアカウントを管理する方法については、「[Security Hub CSPM での招待によるアカウントの管理](account-management-manual.md)」を参照してください。

# Security Hub CSPM で複数のアカウントを管理する際の推奨事項
<a name="securityhub-account-restrictions-recommendations"></a>

次のセクションでは、 AWS Security Hub CSPM でメンバーアカウントを管理する際に注意すべき制限と推奨事項をまとめます。

## メンバーアカウントの最大数
<a name="admin-maximum-member-accounts"></a>

との統合を使用する場合 AWS Organizations、Security Hub CSPM は、各 の委任管理者アカウントあたり最大 10,000 のメンバーアカウントをサポートします AWS リージョン。Security Hub CSPM を手動で有効にして管理する場合、Security Hub CSPM では各リージョンの管理者アカウントにつき、最大 1,000 のメンバーアカウント招待をサポートします。

## 管理者とメンバーの関係の作成
<a name="securityhub-accounts-regions"></a>

**注記**  
Security Hub CSPM 統合を使用していて AWS Organizations、メンバーアカウントを手動で招待していない場合、このセクションは適用されません。

アカウントを、管理者アカウントとメンバーアカウントの両方のアカウントとして同時に設定することはできません。

メンバーアカウントは、一度に 1 つの管理者アカウントのみと関連付けることができます。Security Hub CSPM 管理者アカウントによって組織アカウントが有効になっている場合、そのアカウントは別のアカウントからの招待を承諾することができません。アカウントが既に招待を承諾している場合、組織の Security Hub CSPM 管理者アカウントでそのアカウントを有効にすることはできません。また、他のアカウントからの招待を受信することはできません。

手動の招待プロセスでは、メンバーシップの招待の承諾はオプションです。

### によるメンバーシップ AWS Organizations
<a name="accounts-regions-orgs"></a>

Security Hub CSPM を と統合する場合 AWS Organizations、Organizations 管理アカウントは Security Hub CSPM の委任管理者 (DA) アカウントを指定できます。Organizations 管理アカウントを組織の DA として設定することはできません。これは Security Hub CSPM では許可されていますが、Organizations 管理アカウントを DA に*しない*ことをお勧めします。

すべてのリージョンで、同一の DA を選択することが推奨されます。[中央設定](central-configuration-intro.md)を使用する場合、Security Hub CSPM は組織の Security Hub CSPM を設定したすべてのリージョンに同じ DA アカウントを設定します。

また、 AWS セキュリティ関連の問題を 1 つの画面で管理できるように、セキュリティおよびコンプライアンスサービス全体で同じ DA アカウントを選択することをお勧めします。

### 招待によるメンバーシップ
<a name="accounts-regions-invitation"></a>

招待によって作成されたメンバーアカウントの場合、管理者アカウントとメンバーのアカウントの関連付けは、招待の送信元の 1 つのリージョンでのみ作成されます。管理者アカウントでは、使用する各リージョンの Security Hub CSPM を有効にする必要があります。次に、管理者アカウントは各アカウントをそのリージョンのメンバーアカウントに招待します。

**注記**  
メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。

## サービス間の管理者アカウントの調整
<a name="securityhub-coordinate-admins"></a>

Security Hub CSPM は、Amazon GuardDuty、Amazon Inspector、Amazon Macie などのさまざまな AWS サービスの結果を集計します。Security Hub CSPM では、ユーザーは GuardDuty の検出結果からピボットして Amazon Detective で調査を開始することもできます。

ただし、これらの他のサービスで設定した管理者とメンバーの関係が、Security Hub CSPM に自動的に適用されることはありません。Security Hub CSPM ではこれらすべてのサービスで、管理者アカウントと同じアカウントを使用することを推奨しています。この管理者アカウントは、セキュリティツールを担当するアカウントである必要があります。また、 AWS Configの集約アカウントもこのアカウントが担う必要があります。

例えば、GuardDuty 管理アカウント A のユーザーは、GuardDuty コンソールで GuardDuty メンバーアカウント B と C の結果を表示できます。アカウント A が Security Hub CSPM を有効にした場合、アカウント A のユーザーは Security Hub CSPM でアカウント B と C の GuardDuty の検出結果を自動的には確認*できません*。これらのアカウントには、Security Hub CSPM 管理者とメンバーの関係も必要になります。

これを行うには、アカウント A をSecurity Hub CSPM 管理者アカウントにし、アカウント B と C がSecurity Hub CSPM のメンバーアカウントになるようにします。

# を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations
<a name="securityhub-accounts-orgs"></a>

 AWS Security Hub CSPM を と統合し AWS Organizations、組織内のアカウントの Security Hub CSPM を管理できます。

Security Hub CSPM を と統合するには AWS Organizations、 で組織を作成します AWS Organizations。組織における Security Hub CSPM の委任管理者は、Organizations の管理アカウントによって指定されます。その後、委任管理者は組織内の他のアカウントに対して Security Hub CSPM を有効にし、それらのアカウントを Security Hub CSPM のメンバーアカウントとして追加して、メンバーアカウントに対して許可されたアクションを実行できるようにします。Security Hub CSPM の委任管理者は、最大 10,000 のメンバーアカウントに対して Security Hub CSPM を有効にし、管理できます。

委任された管理者が設定できる範囲は、[中央設定](central-configuration-intro.md)を使用するかどうかによって異なります。中央設定を有効にすると、各メンバーアカウントや AWS リージョンで個別に Security Hub CSPM を設定する必要がなくなります。委任管理者は、特定のメンバーアカウントや複数のリージョンの組織単位 (OU) に特定の Security Hub CSPM 設定を適用できます。

Security Hub CSPM の委任管理者アカウントは、メンバーアカウントに対して次のアクションを実行できます。
+ 中央設定を使用する場合は、Security Hub CSPM の設定ポリシーを作成し、メンバーアカウントと OU に対して Security Hub CSPM を一元的に設定する。設定ポリシーを使用して、Security Hub CSPM、標準、コントロールを有効または無効にできます。
+ 組織に追加された*新しい*アカウントを Security Hub CSPM メンバーアカウントとして自動的に処理する。中央設定を使用する場合、OU に関連付けられた設定ポリシーには、その OU に含まれる既存のアカウントと新しいアカウントが含まれます。
+ *既存*の組織アカウントを Security Hub CSPM メンバーアカウントとして処理する。中央設定を使用すると、この処理は自動的に行われます。
+ 組織に属するメンバーアカウントの関連付けを解除します。中央設定を使用している場合は、メンバーアカウントをセルフマネージド型として指定してからでないと、そのアカウントの関連付けを解除できません。または、Security Hub CSPM を無効にする設定ポリシーを、特定の一元管理型メンバーアカウントに関連付けることもできます。

中央設定にオプトインしない場合、組織はローカル設定と呼ばれるデフォルトの設定タイプを使用します。ローカル設定では、委任管理者は、メンバーアカウントで設定を強制する機能が制限されます。詳細については、「[Security Hub CSPM でのローカル設定について](local-configuration.md)」を参照してください。

委任された管理者がメンバーアカウントに対して実行できるアクションの完全なリストについては、「[Security Hub CSPM で管理者アカウントとメンバーアカウントが許可するアクション](securityhub-accounts-allowed-actions.md)」を参照してください。

このセクションのトピックでは、Security Hub CSPM を と統合する方法 AWS Organizations と、組織内のアカウントの Security Hub CSPM を管理する方法について説明します。該当する場合は、各セクションで、中央設定を使用するユーザーにとっての管理上の利点と相違点について説明します。

**Topics**
+ [Security Hub CSPM と の統合 AWS Organizations](designate-orgs-admin-account.md)
+ [新しい組織アカウントで Security Hub CSPM を自動的に有効にする](accounts-orgs-auto-enable.md)
+ [新しい組織アカウントで Security Hub CSPM を手動で有効にする](orgs-accounts-enable.md)
+ [組織から Security Hub CSPM メンバーアカウントの関連付けを解除する](accounts-orgs-disassociate.md)

# Security Hub CSPM と の統合 AWS Organizations
<a name="designate-orgs-admin-account"></a>

 AWS Security Hub CSPM と を統合するには AWS Organizations、Organizations で組織を作成し、組織管理アカウントを使用して委任 Security Hub CSPM 管理者アカウントを指定します。これにより、Security Hub CSPM は Organizations の信頼されたサービスとして有効になります。また、委任管理者アカウントの現在の AWS リージョン に対して Security Hub CSPM が有効になり、委任管理者がメンバーアカウントの Security Hub CSPM を有効にしたり、メンバーアカウントのデータを表示したり、メンバーアカウントで[許可されているその他のアクション](securityhub-accounts-allowed-actions.md)を実行したりできるようになります。

[中央設定](central-configuration-intro.md)を使用する場合、委任管理者は組織のアカウントで Security Hub CSPM サービス、標準、およびコントロールを設定する方法を指定する Security Hub CSPM 設定ポリシーを作成することもできます。

## 組織の作成
<a name="create-organization"></a>

組織は、単一のユニットとして管理 AWS アカウント できるように を統合するために作成するエンティティです。

組織を作成するには、 AWS Organizations コンソールを使用するか、 AWS CLI または SDK APIs のいずれかのコマンドを使用します。詳細の手順については、「*AWS Organizations ユーザーガイド*」の「[組織の作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)」を参照してください。

を使用して AWS Organizations 、組織内のすべてのアカウントを一元的に表示および管理できます。組織には、1 つの管理アカウントと、ゼロ以上のメンバーアカウントを含みます。アカウントを階層ツリーのような構造に編成し、ルートを最上部に置いて組織単位 (OU) をその下にネストすることができます。各アカウントは、ルートの下に直接置くか、階層内の OU のいずれかに配置できます。OU は特定のアカウントのコンテナです。例えば、財務運用に関連するアカウントをすべて含めた財務 OU を作成できます。

## Security Hub CSPM の委任管理者を選ぶ際の推奨事項
<a name="designate-admin-recommendations"></a>

手動の招待プロセスから管理者アカウントがあり、アカウント管理に移行する場合は AWS Organizations、そのアカウントを委任 Security Hub CSPM 管理者として指定することをお勧めします。

Security Hub CSPM API とコンソールでは、組織管理アカウントを Security Hub CSPM の委任管理者にすることができますが、2 つの異なるアカウントを選択することをお勧めします。これは、請求管理のために組織の管理アカウントにアクセスできるユーザーと、セキュリティ管理のために Security Hub CSPM にアクセスする必要があるユーザーが異なる可能性があるためです。

複数のリージョンで、同一の委任管理者を使用することが推奨されます。中央設定にオプトインすると、Security Hub CSPM によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に指定されます。

## 委任管理者を設定するために必要なアクセス許可の検証
<a name="designate-admin-permissions"></a>

Security Hub CSPM の委任管理者アカウントの指定と削除を実行するには、Security Hub CSPM で `EnableOrganizationAdminAccount` および `DisableOrganizationAdminAccount` アクションのアクセス許可が組織の管理アカウントに付与されている必要があります。Organizations の管理アカウントには、Organizations の管理権限も必要です。

必要な許可をすべて付与するには、組織の管理アカウントの IAM プリンシパルに次の Security Hub CSPM マネージドポリシーをアタッチします。
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## 委任管理者を指定する
<a name="designate-admin-instructions"></a>

Security Hub CSPM の委任管理者アカウントの指定は、Security Hub コンソール、Security Hub API、または AWS CLIを使用して実行できます。Security Hub CSPM は、委任された管理者を現在の AWS リージョン のみに設定し、他のリージョンでアクションを繰り返す必要があります。中央設定の使用を開始すると、Security Hub CSPM によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に設定されます。

組織の管理アカウントは、Security Hub CSPM の委任管理者アカウントを指定するために Security Hub CSPM を有効にする必要はありません。

組織の管理アカウントを Security Hub CSPM の委任管理者アカウントとして指定しないことをお勧めします。ただし、Security Hub CSPM の委任管理者アカウントとして組織の管理アカウントを選択する場合は、管理アカウントの Security Hub CSPM を有効にする必要があります。管理アカウントの Security Hub CSPM が有効になっていない場合は、Security Hub CSPM を手動で有効にする必要があります。組織の管理アカウントの Security Hub CSPM を自動的に有効にすることはできません。

次のいずれかの方法で Security Hub CSPM の委任管理者を指定する必要があります。Organizations API で Security Hub CSPM の委任管理者を指定しても、Security Hub CSPM には反映されません。

お好みの方法を選択し、手順に従って Security Hub CSPM の委任管理者アカウントを指定します。

------
#### [ Security Hub CSPM console ]

**委任 Security Hub 管理者をオンボーディング中に削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. **[Security Hub CSPM に移動]** を選択します。組織の管理アカウントにサインインするよう求めるメッセージが表示されます。

1. **[委任された管理者アカウント]** セクションの **[委任された管理者を指定]** ページで、委任された管理者アカウントを指定します。委任された管理者には、他の AWS セキュリティおよびコンプライアンスサービスと同一の設定を選択することをお勧めします。

1. **[委任された管理者を設定]** を選択します。中央設定でオンボーディングを続行するには、委任された管理者アカウントにサインインするよう求められます (まだサインインしていない場合)。中央設定を開始しない場合は、**[キャンセル]** を選択します。委任された管理者は設定されますが、中央設定はまだ使用しません。

****[設定]** ページから 委任管理者の委任を解除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. Security Hub CSPM ナビゲーションペインで、**[Settings]** (設定) を選択します。次に **[Generate]** (生成) を選択します。

1. Security Hub CSPM 管理者アカウントが現在割り当てられている場合は、新しいアカウントを指定する前に、現在のアカウントを削除する必要があります。

   現在のアカウントを削除するには、**[Delegated Administrator]** (代理管理者) で、**[Remove]** (削除) を選択します。

1. **Security Hub CSPM** 管理者アカウントとして指定するアカウントのアカウント ID を入力します。

   すべてのリージョンで同じ Security Hub CSPM 管理者アカウントを指定する必要があります。他のリージョンで指定したアカウントとは異なるアカウントを指定すると、コンソールはエラーを返します。

1. **[委任]** を選択します。

------
#### [ Security Hub CSPM API, AWS CLI ]

組織管理アカウントから、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) オペレーションを使用します。 AWS CLIを使用している場合は、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) コマンドを実行します。Security Hub CSPM の委任管理者アカウントの AWS アカウント ID を指定します。

次の例では、Security Hub CSPM の委任管理者を指定します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# 委任管理者の削除または変更
<a name="remove-admin-overview"></a>

Security Hub CSPM の委任管理者アカウントは、組織の管理アカウントでのみ削除することができます。

Security Hub CSPM の委任管理者アカウントを変更するには、まず現在の委任管理者アカウントを削除してから、新しいアカウントを指定する必要があります。

**警告**  
[中央設定](central-configuration-intro.md)を使用する場合、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用して委任管理者アカウントを変更または削除することはできません。組織管理アカウントが AWS Organizations コンソールまたは AWS Organizations APIs を使用して委任 Security Hub CSPM 管理者を変更または削除する場合、Security Hub CSPM は自動的に中央設定を停止し、設定ポリシーとポリシーの関連付けを削除します。メンバーアカウントには、委任された管理者が変更または削除される前の設定が保持されます。

Security Hub CSPM コンソールを使用して、あるリージョンの委任管理者を削除すると、その管理者はすべてのリージョンから自動的に削除されます。

Security Hub CSPM API は、API コールまたはコマンドが発行されたリージョンでのみ Security Hub CSPM の委任管理者アカウントを削除します。他のリージョンでもこの操作を繰り返す必要があります。

Organizations API を使用して Security Hub CSPM の委任管理者アカウントを削除すると、すべてのリージョンで自動的に削除されます。

## 委任管理者の削除 (Organizations API、 AWS CLI)
<a name="remove-admin-orgs"></a>

Organizations を使用して、すべてのリージョンの Security Hub CSPM の委任管理者を削除できます。

中央設定を使用してアカウントを管理している場合、委任された管理者アカウントを削除すると、設定ポリシーとポリシーの関連付けも削除されます。メンバーアカウントには、委任された管理者が変更または削除される前の設定が保持されます。ただし、削除済みの委任管理者からは、これらのアカウントを管理できなくなります。これらはリージョンごとに個別に設定する必要があるセルフマネージド型アカウントになります。

任意の方法を選択し、手順に従って委任 Security Hub CSPM 管理者アカウントを削除します AWS Organizations。

------
#### [ Organizations API, AWS CLI ]

**Security Hub CSPM の委任管理者を削除するには**

組織管理アカウントから、Organizations API の [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) オペレーションを使用します。 AWS CLIを使用している場合は、[deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) コマンドを実行します。委任管理者のアカウント ID と、Security Hub CSPM のサービスプリンシパル (`securityhub.amazonaws.com`) を指定します。

次の例では、Security Hub CSPM の委任管理者を削除します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Security Hub CSPM の委任管理者の削除 (Security Hub コンソール)
<a name="remove-admin-console"></a>

Security Hub CSPM コンソールを使用して、すべてのリージョンで Security Hub CSPM の委任管理者を削除できます。

Security Hub CSPM の委任管理者アカウントが削除されると、削除される Security Hub CSPM の委任管理者アカウントとメンバーアカウントの関連付けが解除されます。

ただし、Security Hub CSPM はメンバーアカウントで引き続き有効になっています。新しい Security Hub CSPM 管理者がメンバーアカウントとして有効にするまで、これらのアカウントはスタンドアロンアカウントになります。

組織の管理アカウントが Security Hub CSPM で有効なアカウントでない場合は、**[Security Hub CSPM へようこそ]** ページのオプションを使用します。

****[Security Hub CSPM へようこそ]** ページから Security Hub CSPM の委任管理者アカウントを削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. **[Go to Security Hub]** (Security Hub に移動) を選択します。

1. **[代理管理者]** で、**[削除]** を選択します。

組織管理アカウントが **Security Hub** で有効なアカウントである場合、**[Settings]** (設定) ページの **[General]** (全般) タブのオプションを使用します。

****[設定]** ページから Security Hub CSPM の委任管理者を削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. Security Hub CSPM ナビゲーションペインで、**[Settings]** (設定) を選択します。次に **[Generate]** (生成) を選択します。

1. **[Delegated Administrator]** (代理管理者) で、**[Remove]** (削除) を選択します。

## 委任管理者の削除 (Security Hub CSPM API、 AWS CLI)
<a name="remove-admin-api"></a>

の Security Hub CSPM API または Security Hub CSPM オペレーションを使用して AWS CLI 、委任 Security Hub CSPM 管理者を削除できます。上記のいずれかの方法で委任された管理者を削除する場合、API コールまたはコマンドが発行されたリージョンでのみ削除されます。Security Hub CSPM は他のリージョンを更新せず、委任管理者アカウントも削除しません AWS Organizations。

お好みの方法を選択し、手順に従って Security Hub CSPM で Security Hub CSPM の委任管理者アカウントを指定します。

------
#### [ Security Hub CSPM API, AWS CLI ]

**Security Hub CSPM の委任管理者を削除するには**

組織管理アカウントから、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html) オペレーションを使用します。を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html) コマンドを実行します。Security Hub CSPM の委任管理者のアカウントの ID を指定します。

次の例では、Security Hub CSPM の委任管理者を削除します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# と Security Hub CSPM の統合を無効にする AWS Organizations
<a name="disable-orgs-integration"></a>

 AWS Organizations 組織が AWS Security Hub CSPM と統合されると、Organizations 管理アカウントはその後統合を無効にすることができます。Organizations 管理アカウントのユーザーは、 AWS Organizationsの Security Hub CSPM に対する信頼されたアクセスを無効にすることができます。

Security Hub CSPM の信頼されたアクセスを無効化すると、以下が起こります。
+ Security Hub CSPM は、信頼されたサービスとしてのステータスを失います AWS Organizations。
+ Security Hub CSPM の委任管理者アカウントは、すべての AWS リージョンですべての Security Hub CSPM メンバーアカウントの Security Hub CSPM の設定、データ、およびリソースにアクセスできなくなります。
+ [中央設定](central-configuration-intro.md)を使用していた場合、Security Hub CSPM は組織での中央設定の使用を自動的に停止します。設定ポリシーとポリシーの関連付けは削除されます。アカウントでは、信頼されたアクセスを無効にする前の設定が保持されます。
+ Security Hub CSPM のすべてのメンバーアカウントがスタンドアロンアカウントになり、現在の設定が保持されます。Security Hub CSPM が 1 つ以上のリージョン内のメンバーアカウントに対して有効化されている場合、Security Hub CSPM はそのリージョン内のアカウントに対して有効化された状態が継続します。有効になっている標準とコントロールも変わりません。これらの設定は、アカウントやリージョンごとに個別に変更できます。ただし、そのアカウントはどのリージョンの委任管理者とも関連付けられなくなります。

信頼されたサービスアクセスを無効にする結果の詳細については、「 *AWS Organizations ユーザーガイド*」の[「他の AWS Organizations で AWS のサービス](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)を使用する」を参照してください。

信頼されたアクセスを無効にするには、 AWS Organizations コンソール、Organizations API、または を使用できます AWS CLI。Security Hub CSPM の信頼されたサービスへのアクセスを無効にできるのは、Organizations 管理アカウントのユーザーのみです。必要なアクセス許可に関する詳細は、AWS Organizations ユーザーガイドの[信頼できるアクセスを無効にするために必要なアクセス許可](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)を参照してください。

信頼されたアクセスを無効にする前に、必要に応じて組織の委任管理者に連絡して、メンバーアカウントの Security Hub CSPM を無効にし、それらのアカウントの Security Hub CSPM リソースをクリーンアップしてください。

お好みの方法を選択し、手順に従って、Security Hub CSPM の信頼されたアクセスを無効にします。

------
#### [ Organizations console ]

**Security Hub CSPM の信頼されたアクセスを無効にするには**

1.  AWS Organizations 管理アカウントの認証情報 AWS マネジメントコンソール を使用して にサインインします。

1. Organizations コンソール ([https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)) を開きます。

1. ナビゲーションペインで [**Services (サービス)**] を選択します。

1. **[統合サービス]** で、**[AWS Security Hub CSPM]** を選択します。

1. **Disable trusted access** (信頼されたアクセスを無効にする) を選択します。

1. 信頼されたアクセスを無効化することを確認します。

------
#### [ Organizations API ]

**Security Hub CSPM の信頼されたアクセスを無効にするには**

 AWS Organizations API の [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) オペレーションを呼び出します。`ServicePrincipal` パラメータで、Security Hub CSPM サービスプリンシパル (`securityhub.amazonaws.com`) を指定します。

------
#### [ AWS CLI ]

**Security Hub CSPM の信頼されたアクセスを無効にするには**

 AWS Organizations API の [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) コマンドを実行します。`service-principal` パラメータで、Security Hub CSPM サービスプリンシパル (`securityhub.amazonaws.com`) を指定します。

**例**:

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# 新しい組織アカウントで Security Hub CSPM を自動的に有効にする
<a name="accounts-orgs-auto-enable"></a>

新しいアカウントが組織に参加すると、 AWS Security Hub CSPM コンソールの**アカウント**ページのリストに追加されます。組織アカウントの場合、**[Type]** (タイプ) は **[By organization]** (組織別) になります。デフォルトでは、組織を追加しても新しいアカウントが Security Hub CSPM メンバーになることはありません。ステータスは、**[Not a member]** (メンバーではない) です。委任管理者アカウントは、新しいアカウントを自動的にメンバーとして加え、新しいアカウントを組織に追加したときに、これらのアカウントでSecurity Hub CSPM が有効にすることができます。

**注記**  
多くの AWS リージョン はデフォルトで に対してアクティブですが AWS アカウント、特定のリージョンを手動でアクティブ化する必要があります。これらのリージョンは、このドキュメントではオプトインリージョンと呼ばれます。オプトインリージョンの新しいアカウントで Security Hub CSPM を自動的に有効にするには、アカウントでそのリージョンを最初にアクティブ化する必要があります。アカウント所有者のみがオプトインリージョンをアクティブ化できます。オプトインリージョンの詳細については、[AWS リージョン 「アカウントで使用できる を指定する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)」を参照してください。

このプロセスは、中央設定 (推奨) を使用するかローカル設定を使用するかによって異なります。

## 新しい組織アカウントを自動的に有効にする (中央設定)
<a name="central-configuration-auto-enable"></a>

[中央設定](central-configuration-intro.md)を使用する場合、Security Hub CSPM が有効になっている設定ポリシーを作成することで、新規および既存の組織アカウントで Security Hub CSPM を自動的に有効にできます。そして、ポリシーを組織ルートや特定の組織単位 (OU) に関連付けることができます。

Security Hub CSPM が有効になっている設定ポリシーを特定の OU に関連付けると、その OU に属するすべてのアカウント (既存および新規) で Security Hub CSPM が自動的に有効になります。OU に属さない新しいアカウントはセルフマネージド型で、Security Hub CSPM が自動的に有効になることはありません。Security Hub CSPM が有効になっている設定ポリシーをルートに関連付けると、組織に追加するすべてのアカウント (既存および新規) で Security Hub CSPM が自動的に有効になります。例外は、アカウントがアプリケーションまたは継承によって異なるポリシーを使用している場合や、セルフマネージド型である場合です。

設定ポリシーでは、OU で有効にするセキュリティ標準とコントロールを定義することもできます。有効な標準のコントロール結果を生成するには、OU のアカウントで必要なリソースを記録するように AWS Config を有効にして設定する必要があります。 AWS Config 記録の詳細については、[「有効化と設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)」を参照してください。

設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

## 新しい組織アカウントを自動的に有効にする (ローカル設定)
<a name="limited-configuration-auto-enable"></a>

ローカル設定を使用してデフォルト標準の自動有効化をオンにすると、Security Hub CSPM で*新しい*組織アカウントがメンバーとして追加され、現在のリージョンでそのアカウントの Security Hub CSPM が有効になります。他のリージョンは影響を受けません。また、自動有効化をオンにしても、既にメンバーアカウントとして追加されていない限り、*既存*の組織アカウントで Security Hub CSPM が有効になることはありません。

自動有効化をオンにしてから現在のリージョンで新しいメンバーアカウントが組織に追加されると、そのアカウントのデフォルトのセキュリティ標準は有効になります。デフォルトの標準は、 AWS Foundational Security Best Practices (FSBP) と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 です。デフォルトの標準を変更することはできません。組織全体で他の標準を有効にする場合や、特定のアカウントや OU の標準を有効にする場合は、中央設定を使用することをお勧めします。

デフォルトの標準 (および他の有効な標準) のコントロール結果を生成するには、組織内のアカウントが、必要なリソースを記録するように AWS Config 有効化および設定されている必要があります。 AWS Config 記録の詳細については、[「有効化と設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)」を参照してください。

お好みの方法を選択し、手順に従って、新しい組織アカウントの Security Hub CSPM を自動的に有効にします。これらの手順は、ローカル設定を使用する場合にのみ適用されます。

------
#### [ Security Hub CSPM console ]

**新しい組織アカウントを Security Hub CSPM メンバーとして自動的に有効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   委任された管理者アカウントの認証情報を使用してサインインします。

1. Security Hub CSPM のナビゲーションペインの **[設定]** で、**[設定]** を選択します。

1. **[アカウント]** セクションで、**[アカウントの自動有効化]** をオンにします。

------
#### [ Security Hub CSPM API ]

**新しい組織アカウントを Security Hub CSPM メンバーとして自動的に有効にするには**

委任管理者のアカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API を呼び出します。`AutoEnable` フィールドを `true` に設定すると、新しい組織アカウントで Security Hub CSPM が自動的に有効になります。

------
#### [ AWS CLI ]

**新しい組織アカウントを Security Hub CSPM メンバーとして自動的に有効にするには**

委任管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) コマンドを実行します。新しい組織アカウントで Security Hub CSPM を自動的に有効にするには、`auto-enable` パラメータを追加します。

```
aws securityhub update-organization-configuration --auto-enable
```

------

# 新しい組織アカウントで Security Hub CSPM を手動で有効にする
<a name="orgs-accounts-enable"></a>

新しい組織アカウントを組織に追加したときにそのアカウントで Security Hub CSPM を自動的に有効にしない場合は、そのアカウントをメンバーとして追加し、組織に参加した後に手動で Security Hub CSPM を有効にすることができます。また、以前に組織との関連付けを解除 AWS アカウント した で Security Hub CSPM を手動で有効にする必要があります。

**注記**  
[中央設定](central-configuration-intro.md)を使用している場合、このセクションの内容は適用されません。中央設定を使用する場合は、指定したメンバーアカウントや組織単位 (OU) で Security Hub CSPM を有効にする設定ポリシーを作成できます。また、それらのアカウントや OU で特定の標準やコントロールを有効にすることもできます。

アカウントが既に別の組織内のメンバーアカウントである場合、アカウントの Security Hub CSPM を有効にすることはできません。

また、現在一時停止されているアカウントの Security Hub CSPM を有効にすることもできません。一時停止中のアカウントでサービスを有効にしようとすると、アカウントのステータスが **[アカウント停止]** に変更されます。
+ アカウントで Security Hub CSPM が有効になっていない場合、そのアカウントに対して Security Hub CSPM が有効になります。 AWS Foundational Security Best Practices (FSBP) 標準と CIS AWS Foundations Benchmark v1.2.0 も、デフォルトのセキュリティ標準をオフにしない限り、アカウントで有効になります。

  Organizations 管理アカウントは例外です。Organizations 管理アカウントに対して Security Hub CSPM を自動的に有効にすることはできません。Organizations 管理アカウントで Security Hub CSPM をメンバーアカウントとして追加する前に、Security Hub CSPM を手動で有効にする必要があります。
+ アカウントで Security Hub CSPM が既に有効になっている場合、Security Hub CSPM はアカウントに対して変更を加えません。メンバーシップのみが有効になります。

Security Hub CSPM がコントロールの検出結果を生成するには、メンバーアカウントが、必要なリソースを記録するように AWS Config 有効化および設定されている必要があります。詳細については、[「 AWS Configの有効化と設定」](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)を参照してください。

お好みの方法を選択し、手順に従って、Security Hub CSPM メンバーアカウントとして組織アカウントを有効にします。

------
#### [ Security Hub CSPM console ]

**Security Hub CSPM メンバーとして組織アカウントを手動で有効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   委任管理者アカウントの認証情報を使用してサインインします。

1. Security Hub CSPM のナビゲーションペインの **[設定]** で、**[設定]** を選択します。

1. **[アカウント]** リストで、有効にする各組織アカウントを選択します。

1. **[アクション]**、**[メンバーを追加]** の順に選択します。

------
#### [ Security Hub CSPM API ]

**Security Hub CSPM メンバーとして組織アカウントを手動で有効にするには**

委任された管理者のアカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) API を呼び出します。有効にするアカウントごとに、アカウント ID を指定します。

手動による招待プロセスとは異なり、`CreateMembers` を呼び出して組織アカウントを有効にする場合、招待を送信する必要はありません。

------
#### [ AWS CLI ]

**Security Hub CSPM メンバーとして組織アカウントを手動で有効にするには**

委任された管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) コマンドを実行します。有効にするアカウントごとに、アカウント ID を指定します。

手動による招待プロセスとは異なり、`create-members` を実行して組織アカウントを有効にする場合、招待を送信する必要はありません。

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**例**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# 組織から Security Hub CSPM メンバーアカウントの関連付けを解除する
<a name="accounts-orgs-disassociate"></a>

 AWS Security Hub CSPM メンバーアカウントからの検出結果の受信と表示を停止するには、組織からメンバーアカウントの関連付けを解除します。

**注記**  
[中央設定](central-configuration-intro.md)を使用する場合、関連付け解除の仕組みが異なります。1 つ以上の一元管理型メンバーアカウントで、Security Hub CSPM を無効にする設定ポリシーを作成できます。それ以降もこれらのアカウントは引き続き組織に含まれますが、Security Hub CSPM の検出結果は生成されません。中央設定を使用しているが、手動で招待したメンバーアカウントも含まれている場合は、手動で招待した 1 つ以上のアカウントの関連付けを解除できます。

を使用して管理されているメンバーアカウント AWS Organizations は、管理者アカウントからアカウントの関連付けを解除できません。メンバーアカウントの関連付けを解除できるのは管理者アカウントのみです。

メンバーアカウントの関連付けを解除しても、アカウントは削除されません。その代わり、組織からメンバーアカウントが削除されます。関連付けが解除され AWS アカウント たメンバーアカウントはスタンドアロンになり、Security Hub CSPM との統合によって管理されなくなります AWS Organizations。

お好みの方法を選択し、手順に従って、組織とのメンバーアカウントの関連付けを解除します。

------
#### [ Security Hub CSPM console ]

**組織とのメンバーアカウントの関連付けを解除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   委任管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインの **[設定]** で **[設定]** を選択します。

1. **[アカウント]** セクションで、関連付けを解除するアカウントを選択します。中央設定を使用している場合は、手動で招待したアカウントを [`Invitation accounts`] タブから選択して関連付けを解除できます。このタブは、中央設定を使用する場合にのみ表示されます。

1. **[アクション]** を選択してから、**[アカウントの関連付けを解除する]** を選択します。

------
#### [ Security Hub CSPM API ]

**組織とのメンバーアカウントの関連付けを解除するには**

委任された管理者のアカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) API を呼び出します。関連付けを解除するには、メンバーアカウントの AWS アカウント IDs を指定する必要があります。メンバーアカウントのリストを表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) API を呼び出します。

------
#### [ AWS CLI ]

**組織とのメンバーアカウントの関連付けを解除するには**

委任された管理者アカウントで、[ >`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) コマンドを実行します。関連付けを解除するには、メンバーアカウントの AWS アカウント IDs を指定する必要があります。メンバーアカウントのリストを表示するには、[> `list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) コマンドを実行します。

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**例**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 AWS Organizations コンソール AWS CLI、または AWS SDKs を使用して、組織からメンバーアカウントの関連付けを解除することもできます。詳細については、「*AWS Organizations ユーザーガイド*」の「[組織からのメンバーアカウントの削除](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)」を参照してください。

# Security Hub CSPM での招待によるアカウントの管理
<a name="account-management-manual"></a>

Security AWS Hub CSPM を と統合 AWS Organizations するか、メンバーシップの招待を手動で送受信することで、複数の Security Hub CSPM アカウントを 2 つの方法で一元管理できます。スタンドアロンアカウントを持っている場合、または と統合していない場合は、手動プロセスを使用する必要があります AWS Organizations。手動によるアカウント管理では、Security Hub CSPM 管理者がアカウントをメンバーに招待します。管理者とメンバーの関係は、候補となるメンバーが招待を承諾したときに確立されます。Security Hub CSPM の管理者アカウントは、最大 1,000 件の招待ベースのメンバーアカウントに対応する Security Hub CSPM を管理できます。

**注記**  
Security Hub CSPM で招待ベースの組織を作成する場合は、代わりに後で [AWS Organizationsの使用に移行](accounts-transition-to-orgs.md)できます。複数のメンバーアカウントがある場合は、Security Hub CSPM の招待 AWS Organizations の代わりに を使用してメンバーアカウントを管理することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

手動による招待プロセスで招待したアカウントについては、検出結果やその他のデータのクロスリージョン集約を使用できます。ただし、クロスリージョン集約が機能するには、管理者は集約リージョンとすべてのリンクされたリージョンからメンバーアカウントを招待する必要があります。さらに、管理者にメンバーアカウントの検出結果を表示できるようにするには、メンバーアカウントで集約リージョンとすべてのリンクされたリージョンで Security Hub CSPM が有効になっている必要があります。

手動で招待されたメンバーアカウントでは、設定ポリシーはサポートされていません。代わりに、各メンバーアカウントと手動招待プロセスを使用する AWS リージョン ときに、Security Hub CSPM 設定を個別に設定する必要があります。

また、自分の組織に属していないアカウントについては、手動による招待ベースのプロセスを使用する必要があります。たとえば、組織にテストアカウントを含めない場合もあります。あるいは、複数の組織のアカウントを 1 つの Security Hub CSPM 管理者アカウントに統合することもあります。Security Hub CSPM 管理者アカウントは、他の組織に属するアカウントに招待を送信する必要があります。

Security Hub CSPM コンソールの **[設定]** ページでは、招待によって追加されたアカウントが **[招待アカウント]** タブに表示されます。[中央設定](central-configuration-intro.md) を使用しており、組織外のアカウントも招待している場合は、このタブで招待ベースのアカウントの検出結果を確認できます。ただし、Security Hub CSPM 管理者は、設定ポリシーを使用して複数のリージョンに招待ベースのアカウントを設定することはできません。

このセクションのトピックでは、招待を使用してメンバーアカウントを管理する方法について説明します。

**Topics**
+ [Security Hub CSPM でのメンバーアカウントの追加と招待](securityhub-accounts-add-invite.md)
+ [Security Hub CSPM メンバーアカウントへの招待を承諾する](securityhub-invitation-respond.md)
+ [Security Hub CSPM でメンバーアカウントの関連付けを解除する](securityhub-disassociate-members.md)
+ [Security Hub CSPM でのメンバーアカウントの削除](securityhub-delete-member-accounts.md)
+ [Security Hub CSPM 管理者アカウントとの関連付けを解除する](securityhub-disassociate-from-admin.md)
+ [Security Hub CSPM でアカウントを管理するための Organizations への移行](accounts-transition-to-orgs.md)

# Security Hub CSPM でのメンバーアカウントの追加と招待
<a name="securityhub-accounts-add-invite"></a>

**注記**  
メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

アカウントは、 AWS Security Hub CSPM メンバーアカウントへの招待を受け入れるアカウントの Security Hub CSPM 管理者になります。

別のアカウントからの招待を承諾すると、自分のアカウントはメンバーアカウントになり、招待したアカウントが自分の管理者になります。

自分のアカウントが管理者アカウントである場合、メンバーアカウントになるための招待を承諾することはできません。

メンバーアカウントの追加は、以下のステップで構成されています。

1. 管理者アカウントで、メンバーアカウントをメンバーアカウントのリストに追加します。

1. 管理者アカウントから、メンバーアカウントに招待を送信します。

1. メンバーアカウントは招待を承諾します。

## メンバーアカウントを組織に追加する
<a name="securityhub-add-accounts"></a>

Security Hub CSPM コンソールから、メンバーアカウントのリストにアカウントを追加することができます。Security Hub CSPM コンソールでアカウントを個別に選択するか、アカウント情報を含む `.csv` ファイルをアップロードします。

各アカウントについて、アカウント ID と E メールアドレスを指定する必要があります。メールアドレスは、アカウントのセキュリティ問題について連絡する E メールアドレスである必要があります。アカウントの検証には使用されません。

お好みの方法を選択し、手順に従ってメンバーアカウントを追加します。

------
#### [ Security Hub CSPM console ]

**メンバーアカウントのリストにアカウントを追加するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   管理者アカウントの認証情報を使用してサインインします。

1. 左側のペインで、**[Settings]** (設定) を選択します。

1. **[Settings]** (設定) ページで **[Accounts]** (アカウント) を選択してから、**[Add accounts]** (アカウントの追加) を選択します。その後、アカウントを個別に追加するか、アカウントのリストを含む `.csv` ファイルをアップロードできます。

1. アカウントを選択するには、次のいずれかを実行します。
   + アカウントを個別に追加するには、**[Enter accounts]** (アカウントを入力) に、追加するアカウントのアカウント ID と E メールアドレスを入力して **[Add]** (追加) を選択します。

     アカウントごとにこのプロセスを繰り返します。
   + カンマ区切り値 (.csv) ファイルを使用して複数のアカウントを追加するには、まずファイルを作成します。ファイルには、追加する各アカウントのアカウント ID と E メールアドレスを含める必要があります。

     `.csv` リストには 1 行に 1 つのアカウントが入力されている必要があります。`.csv` ファイルの 1 行目には、ヘッダーが含まれている必要があります。ヘッダーの、一列目は **Account ID** で二列目は **Email** です。

     続く各行には、追加するアカウントの有効なアカウント ID および E メールアドレスが含まれている必要があります。

     `.csv` ファイルをテキストエディタで表示した場合、次のようになります。

     ```
     Account ID,Email
     111111111111,user@example.com
     ```

     スプレッドシートプログラムでは、フィールドは別々の列に表示されます。基になる形式はコンマで区切られています。アカウント ID の書式設定は 10 進数以外の数値にする必要があります。たとえば、アカウント ID 444455556666 の場合、書式設定を 444455556666.0 とすることはできません。また、数値の書式設定によってアカウント ID の先頭のゼロが削除されないようにしてください。

     ファイルを選択するには、コンソールで **[Upload list (.csv)]** (リストのアップロード (.csv)) を選択します。次に **[Browse]** (参照) を選択します。

     ファイルを選択したら、**[Add accounts]** (アカウントの追加) を選択します。

1. アカウントの追加が完了したら、**[Accounts to be added]** (追加するアカウント) で **[Next]** (次) を選択します。

------
#### [ Security Hub CSPM API ]

**メンバーアカウントのリストにアカウントを追加するには**

管理者アカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) API を呼び出します。追加するメンバーアカウントごとに、 AWS アカウント ID を指定する必要があります。

------
#### [ AWS CLI ]

**メンバーアカウントのリストにアカウントを追加するには**

管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) コマンドを実行します。追加するメンバーアカウントごとに、 AWS アカウント ID を指定する必要があります。

```
aws securityhub create-members --account-details '[{"AccountId": "<accountID1>"}]'
```

**例**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

## メンバーアカウントの招待
<a name="securityhub-invite-accounts"></a>

メンバーアカウントを追加した後、メンバーアカウントに招待を送信します。管理者が関連付けを解除したアカウントに招待を再送信することもできます。

------
#### [ Security Hub CSPM console ]

**メンバー候補アカウントを招待するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[Settings]** (設定) を選択し、**[Accounts]** (アカウント) を選択します。

1. 招待するアカウントの **[Status]** (ステータス) 列の **[Invite]** (招待) を選択します。

1. 確認を求められたら **[Invite]** (招待) を選択します。

**注記**  
関連付けを解除されたアカウントに招待を再送信するには、**[アカウント]** ページで関連付けを解除された各アカウントを選択します。**[アクション]** で、**[招待の再送信]** を選択します。

------
#### [ Security Hub CSPM API ]

**メンバー候補アカウントを招待するには**

管理者アカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html) API を呼び出します。招待するアカウントごとに、 AWS アカウント ID を指定する必要があります。

------
#### [ AWS CLI ]

**メンバー候補アカウントを招待するには**

管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html) コマンドを実行します。招待するアカウントごとに、 AWS アカウント ID を指定する必要があります。

```
aws securityhub invite-members --account-ids <accountIDs>
```

**例**

```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```

------

# Security Hub CSPM メンバーアカウントへの招待を承諾する
<a name="securityhub-invitation-respond"></a>

**注記**  
メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

 AWS Security Hub CSPM メンバーアカウントへの招待を承諾または拒否できます。

招待を承諾すると、アカウントが Security Hub CSPM メンバーアカウントになります。招待を送信したアカウントは、Security Hub CSPM 管理者アカウントになります。管理者アカウントのユーザーは、Security Hub CSPM でメンバーアカウントの検出結果を表示できます。

招待を拒否すると、アカウントは管理者アカウントのメンバーアカウントのリストで、**[Resigned]** (辞退) とマークされます。

メンバーアカウントへの招待は 1 つしか承諾できません。

招待を承諾または拒否する前に、Security Hub CSPM を有効にする必要があります。

すべての Security Hub CSPM アカウントは、すべてのリソースを記録するように AWS Config 有効化および設定されている必要があります。の要件の詳細については AWS Config、[「有効化と設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)」を参照してください。

## 招待の承諾
<a name="securityhub-accept-invitation"></a>

管理者アカウントから Security Hub CSPM メンバーアカウントへの招待を送信できます。その後、メンバーアカウントにサインインした後に招待を承諾できます。

お好みの方法を選択し、手順に従ってメンバーアカウントへの招待を承諾します。

------
#### [ Security Hub CSPM console ]

**メンバーシップの招待を承諾するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Settings]** (設定) を選択し、**[Accounts]** (アカウント) を選択します。

1. **[管理者アカウント]** セクションで、**[承諾]** をオンにし、**[招待を承諾]** を選択します。

------
#### [ Security Hub CSPM API ]

**メンバーシップの招待を承諾するには**

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html) API を呼び出します。招待識別子と管理者アカウントの AWS アカウント ID を指定する必要があります。招待の詳細を取得するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html) オペレーションを使用します。

------
#### [ AWS CLI ]

**メンバーシップの招待を承諾するには**

[https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html) コマンドを実行します。招待識別子と管理者アカウントの AWS アカウント ID を指定する必要があります。招待の詳細を取得するには、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html) コマンドを実行します。

```
aws securityhub accept-administrator-invitation --administrator-id <administratorAccountID> --invitation-id <invitationID>
```

**例**

```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```

------

**注記**  
Security Hub CSPM コンソールは引き続き `AcceptInvitation` を使用します。最終的には `AcceptAdministratorInvitation` を使用するように変更されます。この機能へのアクセスを制御する IAM ポリシーは、引き続き `AcceptInvitation` を使用する必要があります。また、コンソールで `AcceptAdministratorInvitation` の使用が開始された後に正しい許可が設定されているようにするには、ポリシーに `AcceptAdministratorInvitation` を追加する必要があります。

## 招待の拒否
<a name="securityhub-decline-invitation"></a>

Security Hub CSPM メンバーアカウントへの招待を拒否できます。Security Hub CSPM コンソールで招待を拒否すると、管理者アカウントのメンバーアカウントのリストで、アカウントが **[退会済み]** とマークされます。**[辞退]** ステータスは、管理者アカウントを使用して Security Hub CSPM コンソールにサインインした場合にのみ表示されます。ただし、管理者アカウントにサインインして招待を削除するまで、招待はメンバーアカウントのコンソールで変更されません。

招待を拒否するには、招待を受けたメンバーアカウントにサインインする必要があります。

お好みの方法を選択し、手順に従ってメンバーアカウントへの招待を拒否します。

------
#### [ Security Hub CSPM console ]

**メンバーシップへの招待を拒否するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Settings]** (設定) を選択し、**[Accounts]** (アカウント) を選択します。

1. **[管理者アカウント]** セクションで、**[招待を辞退]** を選択します。

------
#### [ Security Hub CSPM API ]

**メンバーシップへの招待を拒否するには**

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html) API を呼び出します。招待を発行した管理者アカウントの AWS アカウント ID を指定する必要があります。招待に関する情報を表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html) オペレーションを使用します。

------
#### [ AWS CLI ]

**メンバーシップへの招待を拒否するには**

[https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html) コマンドを実行します。招待を発行した管理者アカウントの AWS アカウント ID を指定する必要があります。招待に関する情報を表示するには、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html) コマンドを実行します。

```
aws securityhub decline-invitations --account-ids "<administratorAccountId>"
```

**例**

```
aws securityhub decline-invitations --account-ids "123456789012"
```

------

# Security Hub CSPM でメンバーアカウントの関連付けを解除する
<a name="securityhub-disassociate-members"></a>

**注記**  
メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

 AWS Security Hub CSPM 管理者アカウントは、メンバーアカウントの関連付けを解除して、そのアカウントからの検出結果の受信と表示を停止できます。メンバーを削除する前に、メンバーアカウントの関連付けを解除する必要があります。

メンバーアカウントの関連付けを解除すると、メンバーアカウントのリストには残りますが、ステータスが **[Removed (Disassociated)]** (削除 (関連付け解除)) になります。アカウントは、メンバーアカウントの管理者アカウント情報から削除されます。

アカウントの結果の受信を再開するには、招待を再送信します。メンバーアカウントを完全に削除するには、メンバーアカウントを削除します。

お好みの方法を選択し、手順に従って、手動で招待されたメンバーアカウントと管理者アカウントの関連付けを解除します。

------
#### [ Security Hub CSPM console ]

**手動で招待したメンバーアカウントの関連付けを解除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインの **[設定]** で **[設定]** を選択します。

1. **[アカウント]** セクションで、関連付けを解除するアカウントを選択します。

1. **[アクション]** を選択してから、**[アカウントの関連付けを解除する]** を選択します。

------
#### [ Security Hub CSPM API ]

**手動で招待したメンバーアカウントの関連付けを解除するには**

管理者アカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) API を呼び出します。関連付けを解除するメンバーアカウントの AWS アカウント IDs を指定する必要があります。メンバーアカウントのリストを表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) オペレーションを使用します。

------
#### [ AWS CLI ]

**手動で招待したメンバーアカウントの関連付けを解除するには**

管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) コマンドを実行します。関連付けを解除するメンバーアカウントの AWS アカウント IDs を指定する必要があります。メンバーアカウントのリストを表示するには、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) コマンドを実行します。

```
aws securityhub disassociate-members --account-ids <accountIds>
```

**例**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

# Security Hub CSPM でのメンバーアカウントの削除
<a name="securityhub-delete-member-accounts"></a>

**注記**  
メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

 AWS Security Hub CSPM 管理者アカウントは、招待によって追加されたメンバーアカウントを削除できます。有効なアカウントを削除する前に、関連付けを解除する必要があります。

メンバーアカウントを削除すると、そのメンバーアカウントはリストから完全に削除されます。アカウントのメンバーシップを復元するには、アカウントを追加し、まったく新しいメンバーアカウントであるかのように再度招待する必要があります。

組織に属するアカウントと、 との統合を使用して管理されているアカウントを削除することはできません AWS Organizations。

お好みの方法を選択し、手順に従って手動で招待されたメンバーアカウントを削除します。

------
#### [ Security Hub CSPM console ]

**手動で招待したメンバーアカウントを削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   管理者アカウントを使用してサインインします。

1. ナビゲーションペインで、**[設定]** を選択し、**[設定]** を選択します。

1. **[招待アカウント]** タブを選択します。次に、削除するアカウントを選択します。

1. **[アクション]**、**[削除]** の順に選択します。このオプションは、アカウントの関連付けを解除した場合にのみ使用できます。メンバーアカウントを削除する前に、関連付けを解除する必要があります。

------
#### [ Security Hub CSPM API ]

**手動で招待したメンバーアカウントを削除するには**

管理者アカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html) API を呼び出します。削除するメンバーアカウントの AWS アカウント ID を指定する必要があります。メンバーアカウントのリストを取得するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) API を呼び出します。

------
#### [ AWS CLI ]

**手動で招待したメンバーアカウントを削除するには**

管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html) コマンドを実行します。削除するメンバーアカウントの AWS アカウント ID を指定する必要があります。メンバーアカウントのリストを取得するには、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) コマンドを実行します。

```
aws securityhub delete-members --account-ids <memberAccountIDs>
```

**例**

```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```

------

# Security Hub CSPM 管理者アカウントとの関連付けを解除する
<a name="securityhub-disassociate-from-admin"></a>

**注記**  
メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

招待によってアカウントが AWS Security Hub CSPM メンバーアカウントとして追加された場合は、メンバーアカウントの管理者アカウントとの関連付けを解除できます。メンバーアカウントの関連付けを解除すると、Security Hub CSPM は、そのアカウントから管理者アカウントに検出結果を送信しません。

との統合を使用して管理されているメンバーアカウント AWS Organizations は、管理者アカウントからアカウントの関連付けを解除できません。Security Hub CSPM の委任管理者のみが、Organizations で管理されているメンバーアカウントの関連付けを解除できます。

管理者アカウントとの関連付けを解除すると、管理者アカウントのメンバーリストには残りますが、アカウントはステータスが **[Resigned]** (辞退) になります。ただし、管理者アカウントはアカウントの結果を受信しません。

管理者アカウントとの関連付けを解除しても、メンバーになるための招待は残ります。この招待は、今後再度承諾できます。

------
#### [ Security Hub CSPM console ]

**管理者アカウントとの関連付けを解除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Settings]** (設定) を選択し、**[Accounts]** (アカウント) を選択します。

1. **[管理者アカウント]** セクションで、**[承諾]** をオフにし、**[更新]** を選択します。

------
#### [ Security Hub CSPM API ]

**管理者アカウントとの関連付けを解除するには**

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html) API を呼び出します。

------
#### [ AWS CLI ]

**管理者アカウントとの関連付けを解除するには**

[https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html) コマンドを実行します。

```
aws securityhub disassociate-from-administrator-account
```

------

**注記**  
Security Hub CSPM コンソールは引き続き `DisassociateFromMasterAccount` を使用します。最終的には `DisassociateFromAdministratorAccount` を使用するように変更されます。この機能へのアクセスを制御する IAM ポリシーは、引き続き `DisassociateFromMasterAccount` を使用する必要があります。また、コンソールで `DisassociateFromAdministratorAccount` の使用が開始された後に正しい許可が設定されているようにするには、ポリシーに `DisassociateFromAdministratorAccount` を追加する必要があります。

# Security Hub CSPM でアカウントを管理するための Organizations への移行
<a name="accounts-transition-to-orgs"></a>

 AWS Security Hub CSPM でアカウントを手動で管理する場合は、メンバー候補アカウントを招待し、各メンバーアカウントを個別に設定する必要があります AWS リージョン。

Security Hub CSPM と を統合することで AWS Organizations、招待を送信する必要がなくなり、Security Hub CSPM が組織内でどのように設定およびカスタマイズされるかをより詳細に制御できます。このため、Security Hub CSPM の招待の代わりに AWS Organizations を使用してメンバーアカウントを管理することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

 AWS Organizations 統合を使用する複合アプローチを使用できますが、組織外にアカウントを手動で招待することもできます。ただし、Organizations の統合のみを使用することをお勧めします。[中央設定](central-configuration-intro.md)は、複数のアカウントやリージョンにわたって Security Hub CSPM を管理するのに役立つ機能であり、Organizations と統合する場合にのみ使用できます。

このセクションでは、手動による招待ベースのアカウント管理から AWS Organizationsによるアカウント管理に移行する方法について説明します。

## Security Hub CSPM と の統合 AWS Organizations
<a name="transition-activate-orgs-integration"></a>

まず、Security Hub CSPM と を統合する必要があります AWS Organizations。

次の手順を完了することで、これらのサービスを統合できます。
+  AWS Organizationsで組織を作成します。手順については、「*AWS Organizations ユーザーガイド*」の「[組織の作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org)」を参照してください。
+ Organizations 管理アカウントから、Security Hub CSPM の委任管理者アカウントを指定します。

**注記**  
Organizations 管理アカウントを DA アカウントとして使用することは*できません*。

詳細な手順については、「[Security Hub CSPM と の統合 AWS Organizations](designate-orgs-admin-account.md)」を参照してください。

前のステップを完了することで、Security Hub CSPM の[信頼されたアクセス](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub)を許可します AWS Organizations。これにより、委任管理者アカウントの現在の で Security Hub CSPM AWS リージョン も有効になります。

委任管理者は、主に組織のアカウントを Security Hub CSPM メンバーアカウントとして追加することで、Security Hub CSPM で組織を管理できます。また、管理者は、そのアカウントの特定の Security Hub CSPM 設定、データ、およびリソースにアクセスできます。

Organizations を使用してアカウント管理に移行しても、招待ベースのアカウントが自動的に Security Hub CSPM のメンバーになることはありません。Security Hub CSPM メンバーになることができるのは、新しい組織に追加したアカウントのみです。

統合をアクティブ化すると、Organizations でアカウントを管理できるようになります。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。アカウント管理は、組織の設定タイプによって異なります。

# Security Hub CSPM で管理者アカウントとメンバーアカウントが許可するアクション
<a name="securityhub-accounts-allowed-actions"></a>

管理者アカウントとメンバーアカウントは、次の表に示す AWS Security Hub CSPM アクションにアクセスできます。テーブルの値の意味は次のとおりです。
+ **すべて -** アカウントは、同じ管理者のすべてのメンバーアカウントに対してアクションを実行できます。
+ **現在 —** アカウントは、ユーザー自身 (現在サインインしているアカウント) に対してのみアクションを実行できます。
+ **ダッシュ —** アカウントがアクションを実行できないことを示します。

表で説明したように、許可されるアクションは、 と統合するかどうか AWS Organizations 、および組織が使用する設定タイプによって異なります。中央設定とローカル設定の違いについては、「[を使用したアカウントの管理 AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview)」を参照してください。

Security Hub CSPM では、メンバーアカウントの検出結果を管理者アカウントにコピーすることはありません。Security Hub CSPM では、すべての検出結果が、特定のアカウントの特定のリージョンに取り込まれます。管理者アカウントは、各リージョンのメンバーアカウントの結果を表示および管理できます。

集約リージョンを設定する場合は、管理者アカウントで、集約リージョンにレプリケートされたリンク済みリージョンのメンバーアカウントの検出結果を表示および管理することができます。クロスリージョン集約の詳細については、「[クロスリージョン集約](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)」を参照してください。

次の表は、管理者およびメンバーアカウントのデフォルトの許可を示しています。カスタム IAM ポリシーを使用することで、Security Hub CSPM の機能へのアクセスをさらに制限できます。ガイダンスと例については、ブログ記事[「IAM ポリシーを AWS Security Hub CSPM のユーザーペルソナに調整](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/)する」を参照してください。

## Organizations と統合して中央設定を使用する場合に許可されるアクション
<a name="central-configuration-allowed-actions"></a>

Organizations と統合して中央設定を使用する場合、管理者アカウントとメンバーアカウントは次のように Security Hub CSPM のアクションにアクセスできます。


|  Action  |  Security Hub CSPM 委任管理者アカウント  |  一元管理型メンバーアカウント  |  セルフマネージド型メンバーアカウント  | 
| --- | --- | --- | --- | 
|  Security Hub CSPM 設定ポリシーを作成および管理する  |  セルフマネージド型アカウントおよび一元管理型アカウント用  |  –  |  –  | 
|  組織のアカウントを表示する  |  いずれか  |  –  |  –  | 
|  メンバーアカウントの関連付けを解除する  |  いずれか  |  –  |  –  | 
|  メンバーアカウントを削除する  |  組織以外のアカウントすべて  |  –  |  –  | 
|  Security Hub CSPM を無効にする  |  現在のアカウントおよび一元管理型アカウント用  |  –  |  現在 (管理者アカウントから関連付けを解除する必要があります)  | 
|  検出結果と検索履歴を表示する  |  いずれか  |  Current  |  Current  | 
|  検出結果を更新する  |  いずれか  |  Current  |  Current  | 
|  インサイトの結果を表示する  |  いずれか  |  Current  |  Current  | 
|  コントロールの詳細を表示する  |  いずれか  |  Current  |  Current  | 
|  統合コントロール検出結果のオン/オフを切り替える  |  いずれか  |  –  |  –  | 
|  標準を有効または無効にする  |  現在のアカウントおよび一元管理型アカウント用  |  –  |  Current  | 
|  コントロールを有効または無効にする  |  現在のアカウントおよび一元管理型アカウント用  |  –  |  Current  | 
|  統合を有効または無効にする  |  Current  |  Current  |  Current  | 
|  クロスリージョン集約を設定する  |  いずれか  |  –  |  –  | 
|  ホームリージョンとリンクされたリージョンを選択する  |  すべて (ホームリージョンを変更するには、中央設定をいったん停止して再起動する必要があります)  |  –  |  –  | 
|  カスタムアクションを設定する  |  Current  |  Current  |  Current  | 
|  自動化ルールを設定する  |  いずれか  |  –  |  –  | 
|  カスタムインサイトを設定する  |  Current  |  Current  |  Current  | 

## Organizations と統合してローカル設定を使用する場合に許可されるアクション
<a name="orgs-allowed-actions"></a>

Organizations と統合してローカル設定を使用する場合、管理者アカウントとメンバーアカウントは次のように Security Hub CSPM のアクションにアクセスできます。


|  Action  |  Security Hub CSPM 委任管理者アカウント  |  メンバーアカウント  | 
| --- | --- | --- | 
|  Security Hub CSPM 設定ポリシーを作成および管理する  |  –  |  –  | 
|  組織のアカウントを表示する  |  いずれか  |  –  | 
|  メンバーアカウントの関連付けを解除する  |  いずれか  |  –  | 
|  メンバーアカウントを削除する  |  –  |  –  | 
|  Security Hub CSPM を無効にする  |  –  |  現在 (アカウントと委任された管理者との関連付けが解除されている場合)  | 
|  検出結果と検索履歴を表示する  |  いずれか  |  Current  | 
|  検出結果を更新する  |  いずれか  |  Current  | 
|  インサイトの結果を表示する  |  いずれか  |  Current  | 
|  コントロールの詳細を表示する  |  いずれか  |  Current  | 
|  統合コントロール検出結果のオン/オフを切り替える  |  いずれか  |  –  | 
|  標準を有効または無効にする  |  Current  |  Current  | 
|  新しい組織アカウントで Security Hub CSPM とデフォルトの標準を自動的に有効にする  |  現在のアカウントと新しい組織アカウント用  |  –  | 
|  コントロールを有効または無効にする  |  Current  |  Current  | 
|  統合を有効または無効にする  |  Current  |  Current  | 
|  クロスリージョン集約を設定する  |  いずれか  |  –  | 
|  カスタムアクションを設定する  |  Current  |  Current  | 
|  自動化ルールを設定する  |  いずれか  |  –  | 
|  カスタムインサイトを設定する  |  Current  |  Current  | 

## 招待ベースのアカウントで許可されるアクション
<a name="manual-allowed-actions"></a>

管理者アカウントとメンバーアカウントは、招待ベースの方法を使用して、 と統合するのではなく、アカウントを手動で管理する場合、次のように Security Hub CSPM アクションにアクセスできます AWS Organizations。


|  Action  |  Security Hub CSPM 管理者アカウント  |  メンバーアカウント  | 
| --- | --- | --- | 
|  Security Hub CSPM 設定ポリシーを作成および管理する  |  –  |  –  | 
|  組織のアカウントを表示する  |  いずれか  |  –  | 
|  メンバーアカウントの関連付けを解除する  |  いずれか  |  Current  | 
|  メンバーアカウントを削除する  |  いずれか  |  –  | 
|  Security Hub CSPM を無効にする  |  現在 (有効なメンバーアカウントがない場合)  |  現在 (アカウントと管理者アカウントの関連付けが解除されている場合)  | 
|  検出結果と検索履歴を表示する  |  いずれか  |  Current  | 
|  検出結果を更新する  |  いずれか  |  Current  | 
|  インサイトの結果を表示する  |  いずれか  |  Current  | 
|  コントロールの詳細を表示する  |  いずれか  |  Current  | 
|  統合コントロール検出結果のオン/オフを切り替える  |  いずれか  |  –  | 
|  標準を有効または無効にする  |  Current  |  Current  | 
|  新しい組織アカウントで Security Hub CSPM とデフォルトの標準を自動的に有効にする  |  –  |  –  | 
|  コントロールを有効または無効にする  |  Current  |  Current  | 
|  統合を有効または無効にする  |  Current  |  Current  | 
|  クロスリージョン集約を設定する  |  いずれか  |  –  | 
|  カスタムアクションを設定する  |  Current  |  Current  | 
|  自動化ルールを設定する  |  いずれか  |  –  | 
|  カスタムインサイトを設定する  |  Current  |  Current  | 

# アカウントアクションが Security Hub CSPM データに及ぼす影響
<a name="securityhub-data-retention"></a>

これらのアカウントアクションは、 AWS Security Hub CSPM データに次の影響を与えます。

## Security Hub CSPM を無効にする
<a name="securityhub-effects-disable-securityhub"></a>

[中央設定](central-configuration-intro.md)を使用する場合、委任管理者 (DA) は、特定のアカウントや組織単位 (OU) で AWS Security Hub CSPM を無効にする Security Hub CSPM 設定ポリシーを作成できます。この場合、指定したアカウントとホームリージョンおよびリンクされたリージョンの OU では Security Hub CSPM が無効になります。中央設定を使用しない場合、Security Hub CSPM を有効にした各アカウントとリージョンで、Security Hub CSPM を個別に無効にする必要があります。また、DA アカウントで Security Hub CSPM が無効になっている場合は、中央設定を使用できません。

Security Hub CSPM が管理者アカウントで無効になっている場合、管理者アカウントで新しい検出結果は生成および更新されません。既存のアーカイブされた検出結果は生成後 30 日後に削除されます。既存のアーカイブされた検出結果は生成後 90 日後に削除されます。

他の との統合 AWS のサービス は削除されます。

有効になっているセキュリティ標準およびコントロールは無効になります。

カスタムアクション、インサイト、サードパーティー製品のサブスクリプションを含む、その他の Security Hub CSPM データと設定は 90 日間保持されます。

## 管理者アカウントからメンバーアカウントとの関連付けを解除する
<a name="securityhub-effects-member-disassociation"></a>

メンバーアカウントが管理者アカウントとの関連付けを解除されると、管理者アカウントはそのメンバーアカウントの結果を表示するための許可を失います。ただし、Security Hub CSPM は両方のアカウントで引き続き有効になっています。

中央設定を使用する場合、DA は DA アカウントとの関連付けが解除されたメンバーアカウントに Security Hub CSPM を設定できません。

管理者アカウントに対して定義されたカスタム設定または統合は、過去のメンバーアカウントからの結果には適用されません。例えば、アカウントの関連付けが解除された後に、管理者アカウントのカスタムアクションを、Amazon EventBridge ルールのイベントパターンとして使用することが可能です。ただし、このカスタムアクションをメンバーアカウントで使用することはできません。

Security Hub CSPM 管理者アカウントの **[アカウント]** リストでは、削除されたアカウントのステータスが **[関連付けを解除済み]** になります。

## メンバーアカウントが組織から削除されている
<a name="securityhub-effects-member-leaves-org"></a>

メンバーアカウントが組織から削除されると、Security Hub CSPM 管理者アカウントはそのメンバーアカウントの検出結果を表示するための許可を失います。ただし、Security Hub CSPM では、両方のアカウントが削除前と同じ設定で引き続き有効になっています。

中央設定を使用する場合、委任管理者が所属する組織からメンバーアカウントが削除された後は、そのメンバーアカウントに Security Hub CSPM を設定することはできません。ただし、手動で変更しない限り、アカウントは削除前の設定を保持します。

Security Hub CSPM 管理者アカウントの **[アカウント]** リストでは、削除されたアカウントのステータスが **[削除済み]** になります。

## アカウントの停止
<a name="securityhub-effects-account-suspended"></a>

 AWS アカウント が停止されると、アカウントは Security Hub CSPM で検出結果を表示するアクセス許可を失います。そのアカウントに対する検出結果は生成および更新されません。停止されたアカウントの管理者アカウントは、アカウントの既存の検出結果を表示できます。

組織アカウントの場合、メンバーアカウントのステータスが **[Account Suspended]** (アカウントの停止) に変更されることもあります。これは、管理者アカウントがアカウントを有効にしようとしたときにアカウントが停止されている場合に発生します。**[Account Suspended]** (アカウントの停止)になっている場合、管理者アカウントは、そのアカウントの結果を表示することはできません。それ以外の場合、停止ステータスによってメンバーアカウントのステータスに影響が生じることはありません。

中央設定を使用する場合、委任された管理者が設定ポリシーを一時停止中のアカウントに関連付けようとしても、ポリシーの関連付けは失敗します。

90 日後、アカウントは削除または再アクティブ化されます。アカウントが再アクティブ化されると、その Security Hub CSPM 許可が復元されます。メンバーアカウントのステータスが **[Account Suspended]** (アカウントの停止) の場合、管理者アカウントでそのアカウントを手動で有効にする必要があります。

## アカウントの閉鎖
<a name="securityhub-effects-account-deletion"></a>

 AWS アカウント が閉鎖されると、Security Hub CSPM は閉鎖に次のように応答します。

アカウントが Security Hub CSPM 管理者アカウントの場合、アカウントは管理者アカウントとして削除され、すべてのメンバーアカウントもすべて削除されます。アカウントがメンバーアカウントの場合、Security Hub CSPM 管理者アカウントとの関連付けが解除され、メンバーから削除されます。

Security Hub CSPM は、アーカイブされた既存の検出結果を 30 日間アカウントに保持します。コントロールの検出結果の場合、30 日の計算は検出結果の `UpdatedAt` フィールドの値に基づきます。他のタイプの検出結果の場合、計算は、検出結果の `UpdatedAt` フィールドまたは `ProcessedAt` フィールドのいずれかの、最新の日付の値に基づきます。この 30 日が経過すると、Security Hub CSPM では、そのアカウントの検出結果が完全に削除されます。

Security Hub CSPM は、既存のアクティブな検出結果を 90 日間アカウントに保持します。コントロールの検出結果の場合、90 日の計算は検出結果の `UpdatedAt` フィールドの値に基づきます。他のタイプの検出結果の場合、計算は、検出結果の `UpdatedAt` フィールドまたは `ProcessedAt` フィールドのいずれかの、最新の日付の値に基づきます。この 90 日が経過すると、Security Hub CSPM では、そのアカウントの検出結果が完全に削除されます。

既存の検出結果を長期間保持するには、検出結果を S3 バケットにエクスポートできます。これを行うには、Amazon EventBridge ルールでカスタムアクションを使用します。詳細については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。

**重要**  
のお客様は AWS GovCloud (US) Regions、アカウントを閉鎖する前に、ポリシーデータやその他のアカウントリソースをバックアップして削除します。アカウントを閉鎖すると、リソースとデータにアクセスできなくなります。

詳細については、「*AWS アカウント管理 リファレンスガイド*」の「[AWS アカウントの閉鎖](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)」を参照してください。

# Security Hub CSPM でのクロスリージョン集約について
<a name="finding-aggregation"></a>

**注記**  
*集約リージョン*が*ホームリージョン*と呼ばれるようになりました。一部の Security Hub CSPM API オペレーションでは、引き続き古い用語である集約リージョンを使用します。

 AWS Security Hub CSPM でクロスリージョン集約を使用すると、検出結果、検出結果の更新、インサイト、コントロールコンプライアンスステータス、セキュリティスコアを複数の から単一のホームリージョン AWS リージョン に集約できます。その後は、これらすべてのデータをホームリージョンで管理できます。

例えば、米国東部 (バージニア北部) をホームリージョンとして設定し、米国西部 (オレゴン) と米国西部 (北カリフォルニア) をリンクされたリージョンとして設定するとします。米国東部 (バージニア北部) の **[Findings]** (結果) ページを見ると、上記 3 つのリージョンすべての結果が表示されます。これらの結果に対する更新は、3 つのリージョンすべてに反映されています。

**注記**  
では AWS GovCloud (US)、クロスリージョン集約は、検出結果、検出結果の更新、インサイトに対してのみサポートされます AWS GovCloud (US)。具体的には、 AWS GovCloud (米国東部) と AWS GovCloud (米国西部) 間の検出結果、検出結果の更新、インサイトのみを集約できます。中国リージョンでは、クロスリージョン集約は、中国リージョンの結果、結果の更新、インサイトにのみ使用できます。具体的には、中国 (北京) と中国 (寧夏) の間の結果、結果の更新、インサイトのみを集約できます。

コントロールが、リンクされたリージョンでは有効になっていても、ホームリージョンでは無効になっている場合、そのコントロールのコンプライアンスステータスはホームリージョンで確認できます。ただし、ホームリージョンからそのコントロールを有効または無効にすることはできません。ただし、[中央設定](central-configuration-intro.md)を使用している場合は例外です。中央設定を使用する場合、委任された Security Hub CSPM 管理者は、ホームリージョンとリンクされたリージョンのコントロールをホームリージョンから設定できます。

ホームリージョンを設定した場合、[セキュリティスコア](standards-security-score.md)はすべてのリンクされたリージョンのコントロールステータスを考慮します。
 。リージョンを横断してセキュリティスコアとコンプライアンスステータスを表示するには、Security Hub CSPM を使用する IAM ロールに次のアクセス権限を追加します。
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`

## 集計されるデータのタイプ
<a name="finding-aggregation-overview"></a>

クロスリージョン集約が 1 つ以上のリンクされたリージョンで有効になっている場合、Security Hub CSPM はリンクされたリージョンからホームリージョンに次のデータをレプリケートします。これは、クロスリージョン集約が有効になっているすべてのアカウントで発生します。
+ 検出結果
+ Insights
+ コントロールコンプライアンスステータス
+ セキュリティスコア

以前のリストの新しいデータだけでなく、Security Hub CSPM はリンクされたリージョンとホームリージョン間で、データの更新のレプリケートも行います。リンクされたリージョンで発生した更新は、ホームリージョンにレプリケートされます。ホームリージョンで発生した更新は、元のリンクされたリージョンにレプリケートされます。ホームリージョンとリンクされたリージョンに相反する更新がある場合は、最も新しい更新が使用されます。

![\[クロスリージョン集約が有効になっている場合、Security Hub CSPM はリンクされたリージョンとホームリージョン間で新しい検出結果と更新された検出結果をレプリケートします。\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/diagram-finding-aggregation.png)


クロスリージョン集約によって、Security Hub CSPM のコストが増えることはありません。Security Hub CSPM が新しいデータや更新を複製しても、請求は発生しません。

ホームリージョンでは、**[概要]** ページに、リンクされたリージョン全体のアクティブな結果が表示されます。詳細については、「[Viewing a cross-Region summary of findings by severity](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-view-summary.html)」を参照してください。結果を分析するその他の **[Summary]** (概要) ページのパネルには、リンクされたリージョン全体からの情報も表示されます。

ホームリージョンのセキュリティスコアは、リンクされているすべてのリージョンで有効になっているコントロールと、合格の状態にあるコントロールの数を比較して計算されます。また、コントロールが 1 つ以上のリンクされたリージョンで有効になっている場合、そのコントロールは、ホームリージョンの **[セキュリティ標準]** の詳細ページに表示されます。標準の詳細ページの、コントロールのコンプライアンスステータスには、リンクされたリージョンの結果が反映されています。1 つまたは複数のリンクされたリージョンでコントロールに関連付けられたセキュリティチェックが失敗した場合、そのコントロールのコンプライアンスステータスは、ホームリージョンの標準の詳細ページに **[失敗]** と表示されます。セキュリティチェックの数値には、リンクされているすべてのリージョンの結果が含まれます。

Security Hub CSPM は、アカウントで Security Hub CSPM が有効になっているリージョンからのみ、データを集約します。Security Hub CSPM は、クロスリージョン集約の設定に基づいて自動的にアカウントで有効にされることはありません。

リンクされたリージョンを選択せずに、クロスリージョン集約を有効にできます。この場合、データレプリケーションは発生しません。

## 管理者アカウントとメンバーアカウントの集計
<a name="finding-aggregation-admin-member"></a>

クロスリージョン集約は、スタンドアロンのアカウント、メンバーカウントおよび管理者アカウントによって設定できます。管理者が設定した場合、管理アカウントでクロスリージョン集約を使用するには、管理者アカウントの存在が不可欠です。管理者アカウントが削除されたりメンバーアカウントとの関連付けが解除されたりすると、そのメンバーアカウントに対するクロスリージョン集約は停止されます。これは、管理者とメンバーの関係が始まる前にクロスリージョン集約を有効にしていた場合でも、同様です。

管理者アカウントがクロスリージョン集約を有効にすると、Security Hub CSPM は、管理者アカウントがすべてのリンクされたリージョンで生成するデータをホームリージョンにレプリケートします。さらに、Security Hub CSPM はその管理者に関連付けられているメンバーアカウントを識別し、各メンバーアカウントは管理者のクロスリージョン集約設定を継承します。Security Hub CSPM は、メンバーアカウントがすべてのリンクされたリージョンで生成するデータをホームリージョンにレプリケートします。

管理者は、管理対象リージョン内のすべてのメンバーアカウントからセキュリティ検出結果にアクセスして管理できます。ただし、Security Hub CSPM 管理者として、すべてのメンバーアカウントとリンクされたリージョンからの集計データを表示するには、ホームリージョンにサインインする必要があります。

Security Hub CSPM メンバーアカウントとして、リンクされたすべてのリージョンのアカウントから集約されたデータを表示するには、ホームリージョンにサインインする必要があります。メンバーアカウントには、他のメンバーアカウントのデータを表示するアクセス許可がありません。

管理者アカウントは、メンバーアカウントを手動で招待したり、統合されている組織の委任管理者として機能することができます AWS Organizations。[手動で招待されたメンバーアカウント](account-management-manual.md)の場合、クロスリージョン集約を機能させるには、管理者がホームリージョンとリンクされたすべてのリージョンのアカウントを招待する必要があります。さらに、管理者がメンバーアカウントの検出結果を閲覧できるようにするには、メンバーアカウントでホームリージョンとリンクされたすべてのリージョンの Security Hub CSPM が有効になっている必要があります。他の目的でホームリージョンを使用しない場合は、料金が発生しないよう、そのリージョンの Security Hub CSPM の標準と統合を無効にできます。

クロスリージョン集約を使用する予定で、複数の管理者アカウントがある場合、次のベストプラクティスを推奨します。
+ 各管理者アカウントに、異なるメンバーアカウントが含まれている。
+ 各管理者アカウントが、リージョン間で同じメンバーアカウントを有している。
+ 各管理者アカウントに、別のホームリージョンを使用する。

**注記**  
クロスリージョン集約が中央設定にどのように影響するかについては、「[中央設定がクロスリージョン集約に与える影響](aggregation-central-configuration.md)」を参照してください。

# 中央設定がクロスリージョン集約に与える影響
<a name="aggregation-central-configuration"></a>

中央設定は、 AWS Security Hub CSPM のオプトイン機能であり、統合する場合に使用できます AWS Organizations。中央設定を使用すると、委任管理者アカウントは、組織の複数のアカウントと組織単位 (OU) の Security Hub CSPM サービス、標準、およびコントロールを設定できます。アカウントと OU を設定するには、委任管理者が Security Hub CSPM 設定ポリシーを作成します。設定ポリシーを使用して、Security Hub CSPM を有効にするか無効にするか、およびどの標準とコントロールを有効にするかを定義できます。委任管理者は、設定ポリシーを特定のアカウント、OU、またはルート (組織全体) に関連付けます。

委任管理者は、ホームリージョンからのみ組織の設定ポリシーを作成および管理できます。また、設定ポリシーは、ホームリージョンおよびすべてのリンクされたリージョンで有効になります。一部のリンクされたリージョンにのみ適用され、他のリージョンには適用されない設定ポリシーは作成できません。クロスリージョン集約については、「[クロスリージョン集約](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)」を参照してください。

中央設定を使用するには、ホームリージョンを指定する必要があります。必要に応じて、リンクされたリージョンとして 1 つ以上のリージョンを選択できます。リンクされたリージョンなしでホームリージョンを指定することもできます。

クロスリージョン集約設定を変更すると、設定ポリシーに影響する可能性があります。リンクされたリージョンを追加すると、設定ポリシーはそのリージョンで有効になります。リージョンが[オプトインリージョン](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)の場合、設定ポリシーをそこで有効にするにはリージョンを有効にする必要があります。また、リンクされたリージョンを削除すると、設定ポリシーはそのリージョンでは有効ではなくなります。そのリージョンのアカウントは、リンクされたリージョンが削除されたときの設定を維持します。これらの設定は変更できますが、アカウントとリージョンごとに個別に変更する必要があります。

ホームリージョンを削除または変更すると、設定ポリシーとポリシーの関連付けが削除されます。どのリージョンでも中央設定を使用したり、設定ポリシーを作成したりできなくなります。アカウントは、ホームリージョンが変更または削除される前の設定を維持します。これらの設定はいつでも変更できますが、中央設定を使用しなくなったため、設定はアカウントとリージョンごとに個別に変更する必要があります。新しいホームリージョンを指定すれば、中央設定を使用して設定ポリシーを再作成できます。

中央設定の詳細については、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

# クロスリージョン集約の有効化
<a name="finding-aggregation-enable"></a>

**注記**  
*集約リージョン*が*ホームリージョン*と呼ばれるようになりました。一部の Security Hub CSPM API オペレーションでは、引き続き古い用語である集約リージョンを使用します。

ホームリージョンとして AWS リージョン 指定する からクロスリージョン集約を有効にする必要があります。

クロスリージョン集約を有効にするには、検出結果アグリゲーターと呼ばれる Security Hub CSPM リソースを作成します。検出結果アグリゲーターリソースは、ホームリージョンとリンクされたリージョン (存在する場合) を指定します。

デフォルトでは無効になっている AWS リージョン をホームリージョンとして使用することはできません。デフォルトで無効になっているリージョンのリストについては、「*AWS 全般のリファレンス*」の「[リージョンを有効にする](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)」を参照してください。

クロスリージョン集約を有効にする場合、必要に応じて 1 つ以上のリンクされたリージョンを指定します。また、Security Hub CSPM が選択したリージョンのサポートを開始し、そのリージョンが選択されている場合に、新しいリージョンを自動的にリンクするかどうかも選択できます。

------
#### [ Security Hub CSPM console ]

**クロスリージョン集約を拡張するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1.  AWS リージョン セレクターを使用して、集約リージョンとして使用するリージョンにサインインします。

1. Security Hub CSPM ナビゲーションメニューで、**[設定]**、**[リージョン]** の順に選択します。

1. **[検出結果の集約]** で、**[検出結果の集約を設定]** を選択します。

   デフォルトでは、ホームリージョンは **[集約リージョンなし]** に設定されています。

1. **[集約リージョン]** で、オプションを選択して、ホームリージョンを集約リージョンとして指定します。

1. 必要に応じて、**[リンクされたリージョン]** で、データの集約元となるリージョンを選択します。

1. Security Hub CSPM がサポートし、ユーザーが選択している場合に、パーティション内の新しいリージョンから自動的にデータを集約するには、**[Link future Regions]** (将来のリージョンをリンクする) を選択します。

1. **[保存]** を選択します。

------
#### [ Security Hub CSPM API ]

ホームリージョンとして使用するリージョンから、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html) オペレーションを使用します。を使用する場合は AWS CLI、[create-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-finding-aggregator.html) コマンドを実行します。

[`RegionLinkingMode`] で、以下のいずれかのオプションを選択します。
+ `ALL_REGIONS` – Security Hub CSPM はすべてのリージョンのデータを集約します。Security Hub CSPM は、新しいリージョンがサポートされ、ユーザーが選択している場合に、それらの結果も集約します。
+ `ALL_REGIONS_EXCEPT_SPECIFIED` – Security Hub CSPM は、除外するリージョンを以外のすべてのリージョンのデータを集約します。Security Hub CSPM は、新しいリージョンがサポートされ、ユーザーが選択している場合に、それらの結果も集約します。`Regions` を使用して、集約から除外するリージョンのリストを提供します。
+ `SPECIFIED_REGIONS` – Security Hub CSPM は、リージョンの選択されたリストからデータを集約します。Security Hub CSPM は、新しいリージョンのデータを自動で集約しません。`Regions` を使用して、集約するリージョンのリストを提供します。
+ `NO_REGIONS` – リンクされたリージョンが選択されていないため、Security Hub CSPM はデータを集約しません。

以下の例では、クロスリージョン集約が設定されています。ホームリージョンは米国東部 (バージニア北部) です。リンクされたリージョンは、米国西部 (北カリフォルニア)と米国西部 (オレゴン) です。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub create-finding-aggregator --region us-east-1 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# クロスリージョン集約設定の確認
<a name="finding-aggregation-view-config"></a>

**注記**  
*集約リージョン*が*ホームリージョン*と呼ばれるようになりました。一部の Security Hub CSPM API オペレーションでは、引き続き古い用語である集約リージョンを使用します。

現在のクロスリージョン集約設定は、任意の から AWS Security Hub CSPM で表示できます AWS リージョン。設定には、ホームリージョン、リンクされたリージョン (存在する場合)、および Security Hub CSPM がサポートする新しいリージョンを自動的にリンクするかどうかが含まれます。

メンバーアカウントは、管理者アカウントが設定したクロスリージョン集約設定を閲覧できます。

任意の方法を選択し、ステップに従って現在のクロスリージョン集約の設定を表示します。

------
#### [ Security Hub CSPM console ]

**クロスリージョン集約設定を表示するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[設定]**、**[リージョン]** タブの順に選択します。

クロスリージョン集約が有効になっていない場合、**[Regions]** (リージョン) タブには、クロスリージョン集約を有効にするためのオプションが表示されます。クロスリージョン集約を有効にできるのは、管理者アカウントとスタンドアロンアカウントのみです。

クロスリージョン集約が有効になっている場合、**[Regions]** (リージョン) タブには、以下の情報が表示されます。
+ ホームリージョン
+ Security Hub CSPM がサポートし、ユーザーが選択している新しいリージョンの、結果、インサイト、コントロールステータス、セキュリティスコアを自動的に集約するかどうか
+ リンクされたリージョンのリスト (選択されている場合)

------
#### [ Security Hub CSPM API ]

**クロスリージョン集約設定を確認するには (Security Hub CSPM API)**

Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) オペレーションを使用します。を使用する場合は AWS CLI、[get-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-aggregator.html) コマンドを実行します。

リクエストするときには、検出結果アグリゲーター ARN を指定します。検出結果アグリゲーター ARN を取得するには、 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html) オペレーションまたは [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html) コマンドを使用します。

次の例は、指定された検出結果アグリゲーター ARN のクロスリージョン集約設定を示しています。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています

```
$aws securityhub get-finding-aggregator --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
```

------

# クロスリージョン集約設定の更新
<a name="finding-aggregation-update"></a>

**注記**  
*集約リージョン*が*ホームリージョン*と呼ばれるようになりました。一部の Security Hub CSPM API オペレーションでは、引き続き古い用語である集約リージョンを使用します。

リンクされたリージョンまたは現在のホームリージョンを変更することで、 AWS Security Hub CSPM で現在のクロスリージョン集約設定を更新できます。 AWS リージョン Security Hub CSPM がサポートされている新しい からデータを自動的に集計するかどうかを変更することもできます。

クロスリージョン集約の変更は、オプトインリージョンが AWS アカウントで有効になるまで、そのリージョンには実装されません。2019 年 3 月 20 日以降に が AWS 導入したリージョンは、オプトインリージョンです。

リンクされたリージョンからのデータの集約を停止しても、 AWS Security Hub CSPM は、ホームリージョンでアクセスできるそのリージョンから既存の集約データを削除しません。

このセクションの更新手順を使用して、ホームリージョンを変更することはできません。ホームリージョンを変更するには、以下を実行する必要があります:

1. クロスリージョン集約を停止します。手順については、「[クロスリージョン集約を停止する](finding-aggregation-stop.md)」を参照してください。

1. 新しいホームリージョンにするリージョンに変更します。

1. クロスリージョン集約を有効にします。手順については、「[クロスリージョン集約の有効化](finding-aggregation-enable.md)」を参照してください。

現在のホームリージョンの、クロスリージョン集約の設定を更新する必要があります。

------
#### [ Security Hub CSPM console ]

**リンクされたリージョンを変更するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   現在の集約リージョンにサインインします。

1. Security Hub CSPM ナビゲーションメニューで、**[設定]**、**[リージョン]** の順に選択します。

1. **[検出結果の集約]** の場合は、**[編集]** を選択します。

1. **[リンクされたリージョン]** の場合はで、選択したリンクされたリージョンを更新します。

1. 必要に応じて、**[Link future Regions]** (将来のリージョンをリンクする) の選択を変更します。この設定は、Security Hub CSPM に新しいリージョンへのサポートが追加され、ユーザーがそのリージョンを選択している場合に、Security Hub で自動的にリンクするかどうかを決定します。

1. **[保存]** を選択します。

------
#### [ Security Hub CSPM API ]

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html) 操作を使用します。を使用する場合は AWS CLI、[update-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-finding-aggregator.html) コマンドを実行します。結果アグリゲーターを識別するには、結果アグリゲーター ARN を提供する必要があります。検出結果アグリゲーター ARN を取得するには、 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html) オペレーションまたは [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html) コマンドを使用します。

リンクモードが `ALL_REGIONS_EXCEPT_SPECIFIED` または `SPECIFIED_REGIONS` の場合、除外されるリージョンまたは含まれるリージョンのリストを変更できます。リージョンリンクモードを `NO_REGIONS` に変更する場合は、リージョンリストを指定しないでください。

除外または含まれるリージョンのリストを変更する場合は、更新時に完全なリストを提供する必要があります。例えば、現在、米国東部 (オハイオ) からの結果を集約していて、米国西部 (オレゴン) の結果も集約したい場合には、米国東部 (オハイオ) と米国西部 (オレゴン) の両方を含む `Regions` リストを提供する必要があります。

以下の例では、クロスリージョン集約が、選択したリージョンに対して更新されています。コマンドは、現在のホームリージョンである米国東部 (バージニア北部) から実行されます。リンクされたリージョンは、米国西部 (北カリフォルニア)と米国西部 (オレゴン) です。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
aws securityhub update-finding-aggregator --region us-east-1 --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# クロスリージョン集約を停止する
<a name="finding-aggregation-stop"></a>

**注記**  
*集約リージョン*が*ホームリージョン*と呼ばれるようになりました。一部の Security Hub CSPM API オペレーションでは、引き続き古い用語である集約リージョンを使用します。

 AWS Security Hub CSPM でデータを集約しない場合は、検出結果アグリゲータを削除できます。または、既存のアグリゲータ AWS リージョン をリンク`NO_REGIONS`モードに更新することで、検出結果アグリゲータを保持できますが、 をホームリージョンにリンクすることはできません。

ホームリージョンを変更するには、現在の検出結果アグリゲーターを削除し、新しい検出結果アグリゲータを作成する必要があります。

検出結果アグリゲーターを削除すると、Security Hub CSPM はデータの集約を停止します。それによって、ホームリージョンから既存の集約データが削除されることはありません。

## 検出結果アグリゲーターの削除 (コンソール)
<a name="finding-aggregation-stop-console"></a>

検出結果アグリゲーターは、現在のホームリージョンからのみ削除できます。

ホームリージョン以外のリージョンの場合、Security Hub CSPM コンソールの **[検出結果の集約]** パネルに、ホームリージョンで設定を編集する必要があることを示すメッセージが表示されます。このメッセージを選択して、ホームリージョンへと切り替えるリンクを表示します。

------
#### [ Security Hub CSPM console ]

**クロスリージョン集約を停止するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. 現在のホームリージョンにサインインしていることを確認します。

1. Security Hub CSPM ナビゲーションメニューで、**[設定]**、**[リージョン]** の順に選択します。

1. **[Finding aggregation]** (結果の集約) で、**[Edit]** (編集) を選択します。

1. **[Aggregation Region]** (集約リージョン) で、**[No aggregation Region]** (集約リージョンなし) を選択します。

1. **[Save]** (保存) を選択します。

1. 確認ダイアログの確認フィールドに、**Confirm** と入力します。

1. **[Confirm]** (確認) を選択します。

------
#### [ Security Hub CSPM API ]

Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html) オペレーションを使用します。を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html) コマンドを実行します。

削除する検出結果アグリゲーターを識別するには、検出結果アグリゲーター ARN を指定します。検出結果アグリゲーター ARN を取得するには、 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html) オペレーションまたは [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html) コマンドを使用します。

次の例では、検出結果アグリゲーターを削除します。コマンドは、現在のホームリージョンである米国東部 (バージニア北部) から実行されます。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$aws securityhub delete-finding-aggregator arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region us-east-1
```

------

# Security Hub CSPM のセキュリティ標準を理解する
<a name="standards-view-manage"></a>

 AWS Security Hub CSPM では、*セキュリティ標準*は規制フレームワーク、業界のベストプラクティス、または企業ポリシーに基づく一連の要件です。それぞれに適用されるセキュリティコントロールなど、Security Hub CSPM が現在サポートしている標準の詳細については、「[Security Hub CSPM 標準リファレンス](standards-reference.md)」を参照してください。

標準を有効にすると、Security Hub CSPM は、その標準に適用されるすべてのコントロールを自動的に有効化します。次に、Security Hub CSPM はコントロールに対してセキュリティチェックを実行し、Security Hub CSPM の検出結果を生成します。必要に応じて、個々のコントロールを無効化したり、後ほど再有効化したりできます。標準を完全に無効化することもできます。標準を無効にすると、Security Hub CSPM はその標準に適用されるコントロールに対するセキュリティチェックの実行を停止します。コントロールの検出結果は生成されなくなります。

Security Hub CSPM は、検出結果に加えて、有効にした標準ごとにセキュリティスコアを生成します。スコアは、標準に適用されるコントロールのステータスに基づきます。集約リージョンを設定すると、標準のセキュリティスコアは、リンクされているすべてのリージョンにおけるコントロールの状態を反映します。組織の Security Hub CSPM 管理者である場合、スコアには組織内のすべてのアカウントのコントロールのステータスが反映されます。詳細については、「[セキュリティスコアの計算](standards-security-score.md)」を参照してください。

標準を確認および管理するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用できます。コンソールでは、**[セキュリティ標準]** ページに Security Hub CSPM が現在サポートしているすべてのセキュリティ標準が表示されます。これには、各標準の説明と標準の現在のステータスが含まれます。標準を有効にすると、このページを使用して標準の追加の詳細にアクセスすることもできます。たとえば、以下を確認できます。
+ 標準の現在のセキュリティスコア。
+ 標準に適用されるコントロールの集計統計。
+ 各コントロールのコンプライアンスステータスなど、標準に適用され、現在有効になっているコントロールのリスト。
+ 標準に適用されているが、現在無効になっているコントロールのリスト。

より詳細な分析を行うには、データをフィルタリングしてソートし、ドリルダウンして標準に適用される個々のコントロールの詳細を確認することができます。

1 つのアカウントと で標準を個別に有効にできます AWS リージョン。ただし、マルチアカウント環境およびマルチリージョン環境での時間を節約して設定ドリフトを削減するには、[中央設定](central-configuration-intro.md)を使用し、標準を有効にして管理することをお勧めします。中央設定では、委任された Security Hub CSPM 管理者は、複数のアカウントとリージョンで標準を設定する方法を指定するポリシーを作成できます。

**Topics**
+ [標準リファレンス](standards-reference.md)
+ [標準を有効にする](enable-standards.md)
+ [標準の詳細の確認](securityhub-standards-view-controls.md)
+ [自動有効化標準を無効にする](securityhub-auto-enabled-standards.md)
+ [セキュリティ標準の無効化](disable-standards.md)

# Security Hub CSPM 標準リファレンス
<a name="standards-reference"></a>

 AWS Security Hub CSPM では、*セキュリティ標準*は規制フレームワーク、業界のベストプラクティス、または企業ポリシーに基づく一連の要件です。Security Hub CSPM は、これらの要件をコントロールにマッピングし、コントロールに対するセキュリティチェックを実行して、標準の要件が満たされているかどうかを評価します。それぞれの標準には複数のコントロールが含まれています。

Security Hub CSPM は現在、次の標準をサポートしています。
+ **AWS 基本的なセキュリティのベストプラクティス** – AWS および業界の専門家によって開発されたこの標準は、セクターや規模に関係なく、組織のセキュリティのベストプラクティスをまとめたものです。 AWS アカウント および リソースがセキュリティのベストプラクティスから逸脱した場合を検出する一連のコントロールを提供します。セキュリティ体制を改善および維持する方法について、規範的なガイダンスを提供します。
+ **AWS リソースのタグ付け** – Security Hub CSPM によって開発されたこの標準は、 AWS リソースにタグがあるかどうかを判断するのに役立ちます。*タグ*は、 AWS リソースのメタデータとして機能するキーと値のペアです。タグは、 AWS リソースの特定、分類、管理、検索に役立ちます。例えば、タグを使用して目的、所有者、環境などに基づいてリソースを分類できます。
+ **CIS AWS Foundations Benchmark** – Center for Internet Security (CIS) によって開発されたこの標準は、安全な設定ガイドラインを提供します AWS。基盤設定、テスト可能設定、アーキテクチャに依存しない設定に重点を置いて、 AWS のサービス および リソースのサブセットのセキュリティ設定ガイドラインとベストプラクティスのセットを指定します。ガイドラインには、明確でステップバイステップの実装と評価の手順が含まれています。
+ **NIST SP 800-53 Revision 5** – この標準は、情報システムと重要なリソースの機密性、完全性、可用性を保護するための米国国立標準技術研究所 (NIST) の要件に準拠しています。関連するフレームワークは、通常、米国の連邦機関、または米国の連邦機関や情報システムと連携する組織に適用されます。ただし、民間組織は要件をガイドフレームワークとして使用することもできます。
+ **NIST SP 800-171 Revision 2** – この標準は、米国連邦政府の一部ではないシステムや組織で管理された未分類情報 (CUI) の機密性を保護するための NIST セキュリティの推奨事項と要件に準拠しています。*CUI* は、政府の分類基準を満たしていないものの、機密と見なされ、米国連邦政府または米国連邦政府に代わって他の団体によって作成または所有されている情報です。
+ **PCI DSS** – この標準は、PCI Security Standards Council (SSC) によって定義された Payment Card Industry Data Security Standard (PCI DSS) コンプライアンスフレームワークに準拠しています。このフレームワークは、クレジットカードとデビットカードの情報を安全に処理するための一連のルールとガイドラインを提供します。フレームワークは通常、カード所有者データを保存、処理、または送信する組織に適用されます。
+ **サービスマネージド標準 – この標準は、 AWS Control Tower**Security Hub CSPM が提供する検出コントロールを から設定するのに役立ちます AWS Control Tower。 AWS Control Tower は、規範的なベストプラクティスに従って、 AWS マルチアカウント環境を簡単にセットアップして管理する方法を提供します。

Security Hub CSPM の標準とコントロールは、規制のフレームワークや監査への準拠を保証するものではありません。代わりに、 AWS アカウント およびリソースの状態を評価およびモニタリングする方法を提供します。ビジネスニーズ、業界、ユースケースに関連する標準をそれぞれ有効にすることをお勧めします。

個々のコントロールは、複数の標準に適用できます。複数の標準を有効にする場合は、統合コントロールの検出結果も有効にすることをお勧めします。これを行うと、コントロールが複数の標準に適用されていても、Security Hub CSPM はコントロールごとに 1 つの検出結果を生成します。統合されたコントロールの検出結果を有効にしない場合、Security Hub CSPM は、コントロールが適用される有効な標準ごとに個別の検出結果を生成します。たとえば、2 つの標準を有効にし、その両方にコントロールが適用される場合、コントロールには 2 つの個別の検出結果が表示され、各標準に 1 つずつ表示されます。統合されたコントロールの検出結果を有効にすると、コントロールの検出結果が 1 つのみになります。詳細については、「[統合されたコントロールの検出結果](controls-findings-create-update.md#consolidated-control-findings)」を参照してください。

**Topics**
+ [AWS 基本的なセキュリティのベストプラクティス](fsbp-standard.md)
+ [AWS リソースのタグ付け](standards-tagging.md)
+ [CIS AWS Foundations Benchmark](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Revision 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Revision 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [サービスマネージドスタンダード](service-managed-standards.md)

# AWS Security Hub CSPM の基本的なセキュリティのベストプラクティス標準
<a name="fsbp-standard"></a>

 AWS および業界の専門家によって開発された AWS Foundational Security Best Practices (FSBP) 標準は、組織の部門や規模に関係なく、組織のセキュリティベストプラクティスをまとめたものです。 AWS アカウント および リソースがセキュリティのベストプラクティスから逸脱した場合を検出する一連のコントロールを提供します。また、組織のセキュリティ体制を改善および維持する方法について、規範的なガイダンスを提供します。

 AWS Security Hub CSPM の AWS Foundational Security Best Practices 標準には、 AWS アカウント および ワークロードを継続的に評価し、セキュリティのベストプラクティスから逸脱する領域を特定するのに役立つコントロールが含まれています。コントロールには、複数の AWS のサービスからの、リソースに対するセキュリティのベストプラクティスが含まれます。各コントロールには、コントロールの適用先のセキュリティ機能を反映するカテゴリが割り当てられます。カテゴリのリストとその他の詳細については、「[コントロールカテゴリ](control-categories.md)」を参照してください。

## 標準に適用されるコントロール
<a name="fsbp-controls"></a>

次のリストは、 Foundational AWS Security Best Practices 標準 (v1.0.0) に適用される Security Hub AWS CSPM コントロールを指定します。コントロールの詳細を確認するには、コントロールを選択します。

 [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1) 

 [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1) 

 [[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2) 

 [[APIGateway.1] API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2) 

 [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5) 

 [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 

 [[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります](athena-controls.md#athena-4) 

 [[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 

 [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 

 [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2) 

 [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3) 

 [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] CodeBuild レポートグループのエクスポートは保管時に暗号化する必要があります](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 

 [[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です](cognito-controls.md#cognito-3) 

 [[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-4) 

 [[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります](cognito-controls.md#cognito-5) 

 [[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります](cognito-controls.md#cognito-6) 

 [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1) 

 [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 

 [[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] DataSync タスクではログ記録が有効になっている必要があります](datasync-controls.md#datasync-1) 

 [[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります](dms-controls.md#dms-1) 

 [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 

 [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 

 [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 

 [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 

 [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 

 [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 

 [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 

 [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 

 [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 

 [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] DynamoDB テーブルでは、ポイントインタイムリカバリが有効になっている必要があります。](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします](ec2-controls.md#ec2-1) 

 [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2) 

 [[EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします](ec2-controls.md#ec2-3) 

 [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 

 [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6) 

 [[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7) 

 [[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8) 

 [[EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします](ec2-controls.md#ec2-9) 

 [[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします](ec2-controls.md#ec2-10) 

 [[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします](ec2-controls.md#ec2-15) 

 [[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします](ec2-controls.md#ec2-16) 

 [[EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします](ec2-controls.md#ec2-17) 

 [[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします](ec2-controls.md#ec2-18) 

 [[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません](ec2-controls.md#ec2-19) 

 [[EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります](ec2-controls.md#ec2-20) 

 [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) 

 [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 

 [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 

 [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 

 [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 

[[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55)

[[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56)

[[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57)

[[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58)

[[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60)

 [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 

 [[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります](ec2-controls.md#ec2-171) 

 [[EC2.172] EC2 VPC パブリックアクセスのブロック設定はインターネットゲートウェイトラフィックをブロックする必要があります](ec2-controls.md#ec2-172) 

 [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 

 [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 

 [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 

 [[EC2.182] Amazon EBS スナップショットはパブリックにアクセスできません](ec2-controls.md#ec2-182) 

 [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1) 

 [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2) 

 [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3) 

 [[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。](ecs-controls.md#ecs-1) 

 [[ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください](ecs-controls.md#ecs-2) 

 [[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3) 

 [[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4) 

 [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5) 

 [[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8) 

 [[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9) 

 [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10) 

 [[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12) 

 [[ECS.16] ECS タスクセットはパブリック IP アドレスを自動的に割り当てないでください。](ecs-controls.md#ecs-16) 

 [[ECS.18] ECS タスク定義ではEFS ボリュームの転送時の暗号化を使用する必要があります](ecs-controls.md#ecs-18) 

 [[ECS.19] ECS キャパシティプロバイダーはマネージド終了保護を有効にする必要があります](ecs-controls.md#ecs-19) 

 [[ECS.20] ECS タスク定義では、Linux コンテナ定義で非ルートユーザーを設定する必要があります](ecs-controls.md#ecs-20) 

 [[ECS.21] ECS タスク定義では、Windows コンテナ定義で管理者以外のユーザーを設定する必要があります](ecs-controls.md#ecs-21) 

 [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 

 [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3) 

 [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4) 

 [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6) 

 [[EFS .7] EFS ファイルシステムでは、自動バックアップが有効になっている必要があります](efs-controls.md#efs-7) 

 [[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8) 

 [[EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります](eks-controls.md#eks-1) 

 [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) 

 [[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3) 

 [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8) 

 [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります](elb-controls.md#elb-1) 

 [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります](elb-controls.md#elb-3) 

 [[ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります](elb-controls.md#elb-4) 

 [[ELB.5] アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります](elb-controls.md#elb-5) 

 [[ELB.6] アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護を有効にする必要があります](elb-controls.md#elb-6) 

 [[ELB.7] Classic Load Balancers は、Connection Draining を有効にする必要があります](elb-controls.md#elb-7) 

 [[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります](elb-controls.md#elb-8) 

 [[ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります](elb-controls.md#elb-9) 

 [[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10) 

 [[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12) 

 [[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13) 

 [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 

 [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 

 [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 

 [[ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります](elb-controls.md#elb-21) 

 [[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります](elb-controls.md#elb-22) 

 [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 

 [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2) 

 [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3) 

 [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4) 

 [[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります](es-controls.md#es-1) 

 [[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります](es-controls.md#es-2) 

 [[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります](es-controls.md#es-3) 

 [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 

 [[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります](es-controls.md#es-5) 

 [[ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です](es-controls.md#es-6) 

 [[ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。](es-controls.md#es-7) 

 [[ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](es-controls.md#es-8) 

 [[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-5) 

 [[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります](glue-controls.md#glue-3) 

 [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13) 

 [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 

 [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 

 [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 

 [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 

 [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 

 [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 

 [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7) 

 [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 

 [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 

 [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 

 [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 

 [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 

 [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です](kinesis-controls.md#kinesis-3) 

 [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 

 [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 

 [[KMS.3] AWS KMS keys を意図せずに削除しないでください](kms-controls.md#kms-3) 

 [[KMS.5] KMS キーはパブリックにアクセスしないでください](kms-controls.md#kms-5) 

 [[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります](lambda-controls.md#lambda-1) 

 [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2) 

 [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5) 

 [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 

 [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 

 [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 

 [[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります](mq-controls.md#mq-3) 

 [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1) 

 [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 

 [[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4) 

 [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 

 [[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6) 

 [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 

 [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 

 [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 

 [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 

 [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 

 [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 

 [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 

 [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2) 

 [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10) 

 [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 

 [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 

 [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 

 [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 

 [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 

 [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 

 [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 

 [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1) 

 [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 

 [[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1) 

 [[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2) 

 [[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3) 

 [[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります](rds-controls.md#rds-4) 

 [[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります](rds-controls.md#rds-5) 

 [[RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります](rds-controls.md#rds-6) 

 [[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります](rds-controls.md#rds-7) 

 [[RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります](rds-controls.md#rds-8) 

 [[RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-9) 

 [[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります](rds-controls.md#rds-10) 

 [[RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります](rds-controls.md#rds-11) 

 [[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります](rds-controls.md#rds-12) 

 [[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13) 

 [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 

 [[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15) 

 [[RDS.16] Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります](rds-controls.md#rds-16) 

 [[RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります](rds-controls.md#rds-17) 

 [[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-19) 

 [[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-20) 

 [[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-21) 

 [[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-22) 

 [[RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります](rds-controls.md#rds-23) 

 [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24) 

 [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25) 

 [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27) 

 [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34) 

 [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 

 [[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-36) 

 [[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37) 

 [[RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-40) 

 [[RDS.41] RDS for SQL Server DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-41) 

 [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42) 

 [[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43) 

 [[RDS.44] RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-44) 

 [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 

 [[RDS.46] RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません](rds-controls.md#rds-46) 

 [[RDS.47] タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります](rds-controls.md#rds-47) 

 [[RDS.48] タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります](rds-controls.md#rds-48) 

 [[RDS.50] RDS DB クラスターには十分なバックアップ保持期間を設定する必要があります](rds-controls.md#rds-50) 

 [[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1) 

 [[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります](redshift-controls.md#redshift-2) 

 [[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります](redshift-controls.md#redshift-3) 

 [[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります](redshift-controls.md#redshift-4) 

 [[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります](redshift-controls.md#redshift-6) 

 [[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります](redshift-controls.md#redshift-7) 

 [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8) 

 [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 

 [[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります](redshift-controls.md#redshift-15) 

 [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1) 

 [[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります](s3-controls.md#s3-2) 

 [[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。](s3-controls.md#s3-3) 

 [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5) 

 [[S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります AWS アカウント](s3-controls.md#s3-6) 

 [[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8) 

 [[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります](s3-controls.md#s3-9) 

 [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12) 

 [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13) 

 [[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19) 

 [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 

 [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 

 [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 

 [[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sns-controls.md#sns-4) 

 [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 

 [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 

 [[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2) 

 [[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3) 

 [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4) 

 [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 

 [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2) 

 [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 

 [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 

 [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2) 

 [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 

 [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4) 

 [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 

 [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 

 [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 

 [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12) 

 [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

# AWS Security Hub CSPM のリソースタグ付け標準
<a name="standards-tagging"></a>

 AWS Security Hub CSPM によって開発された AWS リソースタグ付け標準は、 AWS リソースにタグがないかどうかを判断するのに役立ちます。*タグ*は、 AWS リソースを整理するためのメタデータとして機能するキーと値のペアです。ほとんどの AWS リソースでは、リソースの作成時または作成後にリソースにタグを追加するオプションがあります。リソースの例としては、Amazon CloudFront ディストリビューション、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、 AWS Secrets Managerのシークレットなどがあります。タグは、 AWS リソースの管理、識別、整理、検索、フィルタリングに役立ちます。

各 タグは 2 つの部分で構成されます:
+ タグキー (例: `CostCenter`、`Environment`、または `Project`)。タグキーでは大文字と小文字が区別されます。
+ タグ値 (例: `111122223333` または `Production`)。タグキーと同様に、タグ値では大文字と小文字が区別されます。

タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。 AWS リソースへのタグの追加については、「リソースの[タグ付け AWS 」と「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

Security Hub CSPM の AWS リソースタグ付け標準に適用されるコントロールごとに、オプションでサポートされているパラメータを使用して、コントロールがチェックするタグキーを指定できます。タグキーを指定しない場合、コントロールはタグキーが 1 つ以上存在するかどうかのチェックのみを行い、リソースにタグキーがない場合は失敗します。

 AWS リソースタグ付け標準を有効にする前に、 でリソース記録を有効にして設定することが重要です AWS Config。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプの AWS リソースに対しても有効にしてください。そうしないと、Security Hub CSPM が適切なリソースを評価できず、標準に適用されるコントロールの正確な検出結果を生成できない可能性があります。記録するリソースのタイプのリストなどを含む詳細については、「[コントロールの検出結果に必要な AWS Config リソース](controls-config-resources.md)」を参照してください。

 AWS リソースタグ付け標準を有効にしたら、標準に適用されるコントロールの検出結果の受信を開始します。Security Hub CSPM が、他の有効な標準に適用されるコントロールと同じ AWS Config サービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに、最大 18 時間かかる場合があることに注意してください。詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。

 AWS リソースタグ付け標準には、次の Amazon リソースネーム (ARN) があります。ここで`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`、*region* は該当する のリージョンコードです AWS リージョン。Security Hub CSPM API の [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) オペレーションを使用して、現在有効な標準の ARN を確認することもできます。

**注記**  
[AWS リソースタグ付け標準](#standards-tagging)は、アジアパシフィック (ニュージーランド) およびアジアパシフィック (台北) リージョンでは利用できません。

## 標準に適用されるコントロール
<a name="tagging-standard-controls"></a>

次のリストは、 AWS リソースタグ付け標準 (v1.0.0) に適用される AWS Security Hub CSPM コントロールを指定します。コントロールの詳細を確認するには、コントロールを選択します。
+ [[ACM.3] ACM 証明書にはタグを付ける必要があります](acm-controls.md#acm-3)
+ [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1)
+ [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1)
+ [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync GraphQL APIsにはタグを付ける必要があります](appsync-controls.md#appsync-4)
+ [[Athena.2] Athena データカタログにはタグを付ける必要があります](athena-controls.md#athena-2)
+ [[Athena.3] Athena ワークグループにはタグを付ける必要があります](athena-controls.md#athena-3)
+ [[AutoScaling.10] EC2 Auto Scaling グループにタグを付ける必要があります](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] AWS Backup 復旧ポイントにはタグを付ける必要があります](backup-controls.md#backup-2)
+ [[Backup.3] AWS Backup ボールトにはタグを付ける必要があります](backup-controls.md#backup-3)
+ [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4)
+ [[Backup.5] AWS Backup バックアッププランにはタグを付ける必要があります](backup-controls.md#backup-5)
+ [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1)
+ [[Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります](batch-controls.md#batch-2)
+ [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3)
+ [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4)
+ [[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] CloudTrail 証跡にはタグを付ける必要があります](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync タスクにはタグを付ける必要があります](datasync-controls.md#datasync-2)
+ [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1)
+ [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2)
+ [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3)
+ [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4)
+ [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5)
+ [[DynamoDB.5] DynamoDB テーブルにはタグを付ける必要があります](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] EC2 Transit Gateway アタッチメントにはタグを付ける必要があります](ec2-controls.md#ec2-33)
+ [[EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-34)
+ [[EC2.35] EC2 ネットワークインターフェイスにはタグを付ける必要があります](ec2-controls.md#ec2-35)
+ [[EC2.36] EC2 カスタマーゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-36)
+ [[EC2.37] EC2 Elastic IP アドレスにはタグを付ける必要があります](ec2-controls.md#ec2-37)
+ [[EC2.38] EC2 インスタンスにはタグを付ける必要があります](ec2-controls.md#ec2-38)
+ [[EC2.39] EC2 インターネットゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-39)
+ [[EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-40)
+ [[EC2.41] EC2 ネットワーク ACL にはタグを付ける必要があります](ec2-controls.md#ec2-41)
+ [[EC2.42] EC2 ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-42)
+ [[EC2.43] EC2 セキュリティグループにはタグを付ける必要があります](ec2-controls.md#ec2-43)
+ [[EC2.44] EC2 サブネットにはタグを付ける必要があります](ec2-controls.md#ec2-44)
+ [[EC2.45] EC2 ボリュームにはタグを付ける必要があります](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPC にはタグを付ける必要があります](ec2-controls.md#ec2-46)
+ [[EC2.47] Amazon VPC エンドポイントサービスはタグを付ける必要があります](ec2-controls.md#ec2-47)
+ [[EC2.48] Amazon VPC フローログにはタグを付ける必要があります](ec2-controls.md#ec2-48)
+ [[EC2.49] Amazon VPC ピアリング接続にはタグを付ける必要があります](ec2-controls.md#ec2-49)
+ [[EC2.50] EC2 VPN ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-50)
+ [[EC2.52] EC2 Transit Gateway にはタグを付ける必要があります](ec2-controls.md#ec2-52)
+ [[EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります](ec2-controls.md#ec2-174)
+ [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175)
+ [[EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります](ec2-controls.md#ec2-176)
+ [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177)
+ [[EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります](ec2-controls.md#ec2-178)
+ [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179)
+ [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4)
+ [[ECS.13] ECS サービスにはタグを付ける必要があります](ecs-controls.md#ecs-13)
+ [[ECS.14] ECS クラスターにはタグを付ける必要があります](ecs-controls.md#ecs-14)
+ [[ECS.15] ECS タスク定義にはタグを付ける必要があります](ecs-controls.md#ecs-15)
+ [[EFS .5] EFS アクセスポイントにはタグを付ける必要があります](efs-controls.md#efs-5)
+ [[EKS.6] EKS クラスターにはタグを付ける必要があります](eks-controls.md#eks-6)
+ [[EKS.7] EKS ID プロバイダーの設定にはタグを付ける必要があります](eks-controls.md#eks-7)
+ [[ES.9] Elasticsearch ドメインにはタグを付ける必要があります](es-controls.md#es-9)
+ [[EventBridge.2] EventBridge イベントバスにはタグを付ける必要があります](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] AWS Glue ジョブにはタグを付ける必要があります](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります](guardduty-controls.md#guardduty-4)
+ [[IAM.23] IAM Access Analyzer アナライザーにはタグを付ける必要があります](iam-controls.md#iam-23)
+ [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24)
+ [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25)
+ [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1)
+ [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2)
+ [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3)
+ [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4)
+ [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6)
+ [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1)
+ [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2)
+ [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3)
+ [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1)
+ [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2)
+ [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3)
+ [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4)
+ [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5)
+ [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1)
+ [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2)
+ [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3)
+ [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4)
+ [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1)
+ [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2)
+ [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1)
+ [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2)
+ [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Kinesis ストリームにはタグを付ける必要があります](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Lambda 関数にはタグを付ける必要があります](lambda-controls.md#lambda-6)
+ [[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります](networkfirewall-controls.md#networkfirewall-8)
+ [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9)
+ [[PCA.2] AWS プライベート CA 認証機関にはタグを付ける必要があります](pca-controls.md#pca-2)
+ [[RDS.28] RDS DB クラスターにはタグを付ける必要があります](rds-controls.md#rds-28)
+ [[RDS.29] RDS DB クラスタースナップショットにはタグを付ける必要があります](rds-controls.md#rds-29)
+ [[RDS.30] RDS DB インスタンスにはタグを付ける必要があります](rds-controls.md#rds-30)
+ [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31)
+ [[RDS.32] RDS DB スナップショットにはタグを付ける必要があります](rds-controls.md#rds-32)
+ [[RDS.33] RDS DB サブネットグループにはタグを付ける必要があります](rds-controls.md#rds-33)
+ [[Redshift.11] Redshift クラスターにはタグを付ける必要があります](redshift-controls.md#redshift-11)
+ [[Redshift.12] Redshift イベント通知サブスクリプションにはタグを付ける必要があります](redshift-controls.md#redshift-12)
+ [[Redshift.13] Redshift クラスタースナップショットにはタグを付ける必要があります](redshift-controls.md#redshift-13)
+ [[Redshift.14] Redshift クラスターサブネットグループにはタグを付ける必要があります](redshift-controls.md#redshift-14)
+ [[Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります](redshift-controls.md#redshift-17)
+ [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1)
+ [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Secrets Manager のシークレットにはタグを付ける必要があります](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] SES 連絡先リストにはタグを付ける必要があります](ses-controls.md#ses-1)
+ [[SES.2] SES 設定セットにはタグを付ける必要があります](ses-controls.md#ses-2)
+ [[SNS.3] SNS トピックにはタグを付ける必要があります](sns-controls.md#sns-3)
+ [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2)
+ [[SSM.5] SSM ドキュメントにはタグを付ける必要があります](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.1] AWS Transfer Family ワークフローにはタグを付ける必要があります](transfer-controls.md#transfer-1)
+ [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4)
+ [[Transfer.5] Transfer Family 証明書にはタグを付ける必要があります](transfer-controls.md#transfer-5)
+ [[Transfer.6] Transfer Family コネクタにはタグを付ける必要があります](transfer-controls.md#transfer-6)
+ [[Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります](transfer-controls.md#transfer-7)

# Security Hub CSPM の CIS AWS Foundations Benchmark
<a name="cis-aws-foundations-benchmark"></a>

Center for Internet Security (CIS) AWS Foundations Benchmark は、一連のセキュリティ設定のベストプラクティスとして機能します AWS。業界で認められているこれらのベストプラクティスは、明確かつステップバイステップの実装および評価手順を提供します。オペレーティングシステムからクラウドサービスやネットワークデバイスに至るまで、このベンチマークのコントロールは、組織が使用する特定のシステムの保護に役立ちます。

AWS Security Hub CSPM は、CIS AWS Foundations Benchmark バージョン 5.0.0、3.0.0、1.4.0、および 1.2.0 をサポートしています。このページでは、各バージョンがサポートするセキュリティコントロールを一覧表示します。また、各バージョン間の比較も提供します。

## CIS AWS Foundations Benchmark バージョン 5.0.0
<a name="cis5v0-standard"></a>

Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 5.0.0 (v5.0.0) をサポートしています。Security Hub CSPM は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています: 
+ CIS Benchmark for CIS AWS Foundations Benchmark、v5.0.0、レベル 1
+ CIS Benchmark for CIS AWS Foundations Benchmark、v5.0.0、レベル 2

### CIS AWS Foundations Benchmark バージョン 5.0.0 に適用されるコントロール
<a name="cis5v0-controls"></a>

[[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)

[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)

[[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)

[[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)

[[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)

[[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8)

[[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)

[[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53)

[[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54)

[[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1)

[[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8)

[[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)

[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)

[[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)

[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)

[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)

[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)

[[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)

[[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)

[[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)

[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)

[[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26)

[[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27)

[[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28)

[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)

[[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)

[[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)

[[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります](rds-controls.md#rds-5)

[[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13)

[[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15)

[[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)

[[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)

[[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)

[[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20)

[[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22)

[[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark バージョン 3.0.0
<a name="cis3v0-standard"></a>

Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 3.0.0 (v3.0.0) をサポートしています。Security Hub CSPM は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています: 
+ CIS Benchmark for CIS AWS Foundations Benchmark、v3.0.0、レベル 1
+ CIS Benchmark for CIS AWS Foundations Benchmark、v3.0.0、レベル 2

### CIS AWS Foundations Benchmark バージョン 3.0.0 に適用されるコントロール
<a name="cis3v0-controls"></a>

[[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)

[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)

[[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)

[[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)

[[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)

[[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8)

[[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)

[[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53)

[[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54)

[[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1)

[[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)

[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)

[[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)

[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)

[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)

[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)

[[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)

[[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)

[[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)

[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)

[[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26)

[[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27)

[[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28)

[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)

[[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)

[[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)

[[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13)

[[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)

[[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)

[[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)

[[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20)

[[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22)

[[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark バージョン 1.4.0
<a name="cis1v4-standard"></a>

Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 1.4.0 (v1.4.0) をサポートしています。

### CIS AWS Foundations Benchmark バージョン 1.4.0 に適用されるコントロール
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2) 

 [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1) 

 [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2) 

 [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6) 

 [[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7) 

 [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) 

 [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 

 [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 

 [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 

 [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 

 [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 

 [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 

 [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15) 

 [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16) 

 [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 

 [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 

 [[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4) 

 [[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3) 

 [[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1) 

 [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5) 

 [[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8) 

 [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20) 

## CIS AWS Foundations Benchmark バージョン 1.2.0
<a name="cis1v2-standard"></a>

Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 1.2.0 (v1.2.0) をサポートしています。Security Hub CSPM は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています: 
+ CIS Benchmark for CIS AWS Foundations Benchmark、v1.2.0、レベル 1
+ CIS Benchmark for CIS AWS Foundations Benchmark、v1.2.0、レベル 2

### CIS AWS Foundations Benchmark バージョン 1.2.0 に適用されるコントロール
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2) 

 [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1) 

 [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2) 

 [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6) 

 [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13) 

 [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) 

 [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 

 [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 

 [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 

 [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 

 [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 

 [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 

 [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 

 [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 

 [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11) 

 [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12) 

 [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13) 

 [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14) 

 [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15) 

 [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16) 

 [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17) 

 [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 

 [[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4) 

## CIS AWS Foundations Benchmark のバージョン比較
<a name="cis1.4-vs-cis1.2"></a>

このセクションでは、Center for Internet Security (CIS) AWS Foundations Benchmark – v5.0.0、v3.0.0、v1.4.0、および v1.2.0 の特定のバージョンの違いをまとめています。 AWS Security Hub CSPM は、CIS AWS Foundations Benchmark の各バージョンをサポートしています。ただし、セキュリティのベストプラクティスに最新の状態で準拠するため、v5.0.0 の使用をお勧めします。CIS AWS Foundations Benchmark 標準の複数のバージョンを同時に有効にできます。標準の有効化の詳細については、「[セキュリティ標準の有効化](enable-standards.md)」を参照してください。v5.0.0 にアップグレードする場合は、古いバージョンを無効にするより前にそれを有効にしてください。そうすることで、セキュリティチェックのギャップが生じるのを防ぐことができます。と Security Hub CSPM の統合を使用して AWS Organizations いて、複数のアカウントで v5.0.0 をバッチ有効化する場合は、[中央設定](central-configuration-intro.md)を使用することをお勧めします。

### 各バージョンの CIS 要件に対するコントロールのマッピング
<a name="cis-version-comparison"></a>

CIS AWS Foundations Benchmark がサポートする各バージョンのコントロールを理解します。


| コントロール ID とタイトル | CIS v5.0.0 の要件 | CIS v3.0.0 の要件 | CIS v1.4.0 の要件 | CIS v1.2.0 の要件 | 
| --- | --- | --- | --- | --- | 
|  [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1.18  | 
|  [[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  37  |  2.7  | 
|  [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5)  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  3.4  |  2.4  | 
|  [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6)  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  3.3  |  2.3  | 
|  [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  4.3  |  3.3  | 
|  [[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  3.1  | 
|  [[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-3)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  3.2  | 
|  [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  4.4  |  3.4  | 
|  [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  4.5  |  3.5  | 
|  [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  4.6  |  3.6  | 
|  [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  4.7  |  37  | 
|  [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  4.8  |  3.8  | 
|  [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  4.9  |  3.9  | 
|  [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  4.10  |  3.10  | 
|  [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  4.11  |  3.11  | 
|  [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  4.12  |  3.12  | 
|  [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  4.13  |  3.13  | 
|  [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  4.14  |  3.14  | 
|  [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2.5  | 
|  [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)  |  37  |  37  |  3.9  |  2.9  | 
|  [[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  サポートされていません  | 
|  [[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8)  |  5.7  |  5.6  |  サポートされません  |  サポートされません  | 
|  [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)  |  サポートされません – 要件 5.3 および 5.4 に置き換えられました  |  サポートされません – 要件 5.2 および 5.3 に置き換えられました  |  サポートされません – 要件 5.2 および 5.3 に置き換えられました  |  4.1  | 
|  [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14)  |  サポートされません – 要件 5.3 および 5.4 に置き換えられました  |  サポートされません – 要件 5.2 および 5.3 に置き換えられました  |  サポートされません – 要件 5.2 および 5.3 に置き換えられました  |  4.2  | 
|  [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  サポートされていません  | 
|  [[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  サポートされません  |  サポートされません  | 
|  [[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  サポートされません  |  サポートされません  | 
|  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  サポートされません  |  サポートされません  | 
|  [[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8)  |  2.3.1  |  サポートされません  |  サポートされません  |  サポートされません  | 
|  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)  |  サポートされません   |  サポートされません   |  1.16  |  1.22  | 
|  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)  |  1.14  |  1.15  |  サポートされていません  |  1.16  | 
|  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)  |  1.5  |  1.6  |  1.6  |  1.14  | 
|  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)  |  サポートされていません – 代わりに「[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)」を参照してください。  |  サポートされていません – 代わりに「[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)」を参照してください。  |  サポートされていません – 代わりに「[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)」を参照してください。  |  1.3  | 
|  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11)  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  1.5  | 
|  [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12)  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  1.6  | 
|  [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13)  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  1.7  | 
|  [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14)  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  1.8  | 
|  [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)  |  1.7  |  1.8  |  1.8  |  1.9  | 
|  [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17)  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  1.11  | 
|  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)  |  1.16  |  1.17  |  1.17  |  1.2  | 
|  [[IAM.20] ルートユーザーの使用を避けます](iam-controls.md#iam-20)  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  サポートされていません – CIS がこの要件を削除しました  |  1.1  | 
|  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 
|  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26)  |  1.18  |  1.19  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 
|  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27)  |  1.21  |  1.22  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 
|  [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28)  |  1.19  |  1.20  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 
|  [[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1)  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  |  サポートされていません – 手動チェック  | 
|  [[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 
|  [[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 
|  [[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります](rds-controls.md#rds-5)  |  2.2.4  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 
|  [[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 
|  [[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15)  |  2.2.4  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 
|  [[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 
|  [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 
|  [[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 
|  [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  サポートされていません – CIS は、この要件を以降のバージョンで追加しました  | 

### CIS AWS Foundations Benchmarks の ARNs
<a name="cisv1.4.0-finding-fields"></a>

CIS AWS Foundations Benchmark の 1 つ以上のバージョンを有効にすると、 AWS Security Finding 形式 (ASFF) で結果の受信が開始されます。ASFF では、各バージョンは次の Amazon リソースネーム (ARN) を使用します。

**CIS AWS Foundations Benchmark v5.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**CIS AWS Foundations Benchmark v3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**CIS AWS Foundations Benchmark v1.4.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**CIS AWS Foundations Benchmark v1.2.0**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) オペレーションを使用して、有効な標準の ARN を確認できます。

上記の値は `StandardsArn` 用です。ただし、`StandardsSubscriptionArn` は、 リージョンで [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html) を呼び出して標準をサブスクライブするときに Security Hub CSPM が作成する標準サブスクリプションリソースを指します。

**注記**  
CIS AWS Foundations Benchmark のバージョンを有効にすると、Security Hub CSPM が他の有効な標準で有効なコントロールと同じサービスにリンクされたルールを使用する AWS Config コントロールの検出結果を生成するまでに最大 18 時間かかることがあります。コントロール検出結果の生成スケジュールの詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。

[統合されたコントロールの検出結果] を有効にすると、検出結果フィールドが異なります。違いについての詳細は、「[ASFF フィールドと値への統合の影響](asff-changes-consolidation.md)」を参照してください。サンプルコントロールの検出結果については、「[コントロール検出結果のサンプル](sample-control-findings.md)」を参照してください。

### Security Hub CSPM でサポートされていない CIS 要件
<a name="securityhub-standards-cis-checks-not-supported"></a>

前の表で説明したように、Security Hub CSPM は CIS AWS Foundations Benchmark のすべてのバージョンですべての CIS 要件をサポートしているわけではありません。サポートされていない要件の多くは、 AWS リソースの状態を手動で確認することによってのみ評価できます。

# Security Hub CSPM の NIST SP 800-53 Revision 5
<a name="standards-reference-nist-800-53"></a>

NIST Special Publication 800-53 Revision 5 (NIST SP 800-53 Rev. 5) は、米国商務省の一機関である米国国立標準技術研究所 (NIST) が開発した、サイバーセキュリティおよびコンプライアンスのフレームワークです。このコンプライアンスフレームワークは、情報システムと重要なリソースの機密性、完全性、可用性を保護するためのセキュリティ要件とプライバシー要件のカタログを提供します。米国連邦政府機関と請負業者は、システムや組織を保護するために、これらの要件に従う必要があります。プライベート組織は、サイバーセキュリティリスクを軽減するための指針となるフレームワークとして、要件を自主的に使用することもできます。このフレームワークとその要件の詳細については、「*NIST コンピューターセキュリティリソースセンター*」の「[NIST SP 800-53 Rev.5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)」を参照してください。

AWS Security Hub CSPM は、NIST SP 800-53 Revision 5 要件のサブセットをサポートするセキュリティコントロールを提供します。コントロールは、特定の AWS のサービス および リソースの自動セキュリティチェックを実行します。これらのコントロールを有効にして管理するには、Security Hub CSPM で NIST SP 800-53 Revision 5 フレームワークを標準として有効にします。コントロールは、手動での確認が必要な NIST SP 800-53 Revision 5 の要件をサポートしていないことに注意してください。

他のフレームワークとは異なり、NIST SP 800-53 Revision 5 フレームワークは、その要件をどのように評価すべきかについて、指示を与えるものではありません。代わりに、フレームワークはガイドラインを提供します。Security Hub CSPM では、NIST SP 800-53 Revision 5 の標準とコントロールは、これらのガイドラインに対する本サービスの解釈を表しています。

**Topics**
+ [標準のリソース記録の設定](#standards-reference-nist-800-53-recording)
+ [標準に適用されるコントロールの特定](#standards-reference-nist-800-53-controls)

## 標準に適用されるコントロールのリソース記録の設定
<a name="standards-reference-nist-800-53-recording"></a>

検出結果の範囲と精度を最適化するには、 AWS Security Hub CSPM で NIST SP 800-53 Revision 5 標準を有効にする AWS Config 前に、 でリソース記録を有効にして設定することが重要です。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプの AWS リソースに対しても有効にしてください。これは主に、*変更によってトリガーされる*スケジュールタイプを持つコントロール用です。ただし、*定期的な*スケジュールタイプの一部のコントロールでは、リソースの記録も必要です。リソースの記録が有効になっていない、または正しく設定されていない場合、Security Hub CSPM は適切なリソースを評価できず、標準に適用されるコントロールに対して正確な検出結果を生成できない可能性があります。

Security Hub CSPM が でリソース記録を使用する方法については AWS Config、「」を参照してください[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)。でのリソース記録の設定については AWS Config、「 *AWS Config デベロッパーガイド*[」の「設定レコーダーの使用](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。

次の表は、Security Hub CSPM の NIST SP 800-53 Revision 5 標準に適用されるコントロールに記録するリソースのタイプを示しています。


| AWS のサービス | リソースタイプ: | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|  Amazon OpenSearch Service  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## 標準に適用されるコントロールの特定
<a name="standards-reference-nist-800-53-controls"></a>

次のリストは、NIST SP 800-53 Revision 5 の要件をサポートするコントロールを指定し、 AWS Security Hub CSPM の NIST SP 800-53 Revision 5 標準に適用されます。コントロールがサポートする特定の要件の詳細については、コントロールを選択します。次に、コントロールの詳細の**関連要件**フィールドを参照します。このフィールドは、コントロールがサポートする NIST の各要件を示します。フィールドに特定の NIST 要件が示されていない場合、コントロールはその要件をサポートしていません。
+ [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)
+ [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2)
+ [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2) 
+  [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4) 
+  [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1) 
+  [[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります](dms-controls.md#dms-1) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] DynamoDB テーブルでは、ポイントインタイムリカバリが有効になっている必要があります。](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします](ec2-controls.md#ec2-1) 
+  [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2) 
+  [[EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします](ec2-controls.md#ec2-3) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6) 
+  [[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7) 
+  [[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8) 
+  [[EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします](ec2-controls.md#ec2-9) 
+  [[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします](ec2-controls.md#ec2-10) 
+  [[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします](ec2-controls.md#ec2-12) 
+  [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13) 
+  [[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします](ec2-controls.md#ec2-15) 
+  [[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします](ec2-controls.md#ec2-16) 
+  [[EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします](ec2-controls.md#ec2-17) 
+  [[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします](ec2-controls.md#ec2-18) 
+  [[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません](ec2-controls.md#ec2-19) 
+  [[EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります](ec2-controls.md#ec2-20) 
+  [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55)
+ [[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56)
+ [[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57)
+ [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58)
+ [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60)
+  [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1) 
+  [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2) 
+  [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3) 
+  [[ECR.5] ECR リポジトリはカスタマーマネージドで暗号化する必要があります AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。](ecs-controls.md#ecs-1) 
+  [[ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください](ecs-controls.md#ecs-2) 
+  [[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5) 
+  [[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9) 
+  [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12) 
+  [[ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません](ecs-controls.md#ecs-17) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3) 
+  [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4) 
+  [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6) 
+  [[EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります](eks-controls.md#eks-1) 
+  [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) 
+  [[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3) 
+  [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります](elb-controls.md#elb-1) 
+  [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります](elb-controls.md#elb-3) 
+  [[ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります](elb-controls.md#elb-4) 
+  [[ELB.5] アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります](elb-controls.md#elb-5) 
+  [[ELB.6] アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護を有効にする必要があります](elb-controls.md#elb-6) 
+  [[ELB.7] Classic Load Balancers は、Connection Draining を有効にする必要があります](elb-controls.md#elb-7) 
+  [[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります](elb-controls.md#elb-8) 
+  [[ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります](elb-controls.md#elb-9) 
+  [[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12) 
+  [[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.16] Application Load Balancer は AWS WAF ウェブ ACL に関連付ける必要があります](elb-controls.md#elb-16) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4) 
+  [[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります](es-controls.md#es-1) 
+  [[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります](es-controls.md#es-2) 
+  [[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります](es-controls.md#es-3) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります](es-controls.md#es-5) 
+  [[ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です](es-controls.md#es-6) 
+  [[ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。](es-controls.md#es-7) 
+  [[ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](es-controls.md#es-8) 
+  [[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[KMS.3] AWS KMS keys を意図せずに削除しないでください](kms-controls.md#kms-3) 
+  [[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4) 
+  [[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Lambda 関数は VPC 内に存在する必要があります](lambda-controls.md#lambda-3) 
+  [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1) 
+  [[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります](msk-controls.md#msk-2) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります](mq-controls.md#mq-3) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2) 
+  [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1) 
+  [[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1) 
+  [[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2) 
+  [[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3) 
+  [[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります](rds-controls.md#rds-4) 
+  [[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります](rds-controls.md#rds-5) 
+  [[RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります](rds-controls.md#rds-6) 
+  [[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります](rds-controls.md#rds-7) 
+  [[RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります](rds-controls.md#rds-8) 
+  [[RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-9)
+  [[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります](rds-controls.md#rds-10) 
+  [[RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります](rds-controls.md#rds-11) 
+  [[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります](rds-controls.md#rds-12) 
+  [[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15) 
+  [[RDS.16] Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります](rds-controls.md#rds-16) 
+  [[RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります](rds-controls.md#rds-17) 
+  [[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-19) 
+  [[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-20) 
+  [[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-21) 
+  [[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-22) 
+  [[RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります](rds-controls.md#rds-23) 
+  [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24) 
+  [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25) 
+  [[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります](rds-controls.md#rds-26) 
+  [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27) 
+  [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-40) 
+  [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42) 
+  [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 
+  [[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1) 
+  [[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります](s3-controls.md#s3-2) 
+  [[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。](s3-controls.md#s3-3) 
+  [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5) 
+  [[S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります AWS アカウント](s3-controls.md#s3-6) 
+  [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7) 
+  [[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8) 
+  [[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります](s3-controls.md#s3-9) 
+  [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10) 
+  [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11) 
+  [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12) 
+  [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13) 
+  [[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります](s3-controls.md#s3-14) 
+  [[S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります](s3-controls.md#s3-15) 
+  [[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19) 
+  [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS](sns-controls.md#sns-1) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2) 
+  [[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります](waf-controls.md#waf-11) 
+  [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12) 

# Security Hub CSPM の NIST SP 800-171 Revision 2
<a name="standards-reference-nist-800-171"></a>

NIST Special Publication 800-171 Revision 2 (NIST SP 800-171 Rev. 2) は、米国商務省の一機関である米国国立標準技術研究所 (NIST) が開発した、サイバーセキュリティおよびコンプライアンスのフレームワークです。このコンプライアンスフレームワークは、米国連邦政府の一部ではないシステムや組織で、管理対象未分類情報の機密性を保護するための推奨セキュリティ要件を提供します。*CUI* とも呼ばれる*管理対象未分類情報*は、政府の分類基準を満たしていないが保護する必要がある機密情報です。これは機密情報と見なされ、米国連邦政府、または米国連邦政府に代わって行動する他の組織によって作成または保有される情報です。

NIST SP 800-171 Rev. 2 は、以下の場合に CUI の機密性を保護するための推奨セキュリティ要件を提供します。
+ 情報が連邦政府以外のシステムや組織内に存在している場合。
+ 連邦政府以外の組織が連邦機関に代わって情報を収集・保持していない、または機関に代わってシステムを使用・運用していない場合。
+ CUI レジストリに記載された CUI カテゴリに対し、その機密性を保護するための具体的な保護要件が、関連する法律、規制、または政府全体のポリシーで規定されていない場合。

要件は、CUI を処理、保存、送信する、またはそれらのコンポーネントに対してセキュリティ保護を提供する、非連邦のシステムおよび組織のすべてのコンポーネントに適用されます。詳細については、「*NIST Computer Security Resource Center*」の「[NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final)」を参照してください。

AWS Security Hub CSPM は、NIST SP 800-171 Revision 2 要件のサブセットをサポートするセキュリティコントロールを提供します。コントロールは、特定の AWS のサービス および リソースの自動セキュリティチェックを実行します。これらのコントロールを有効にして管理するには、Security Hub CSPM で NIST SP 800-171 Revision 2 フレームワークを標準として有効にします。コントロールは、手動での確認が必要な NIST SP 800-171 Revision 2 の要件をサポートしていないことに注意してください。

**Topics**
+ [標準のリソース記録の設定](#standards-reference-nist-800-171-recording)
+ [標準に適用されるコントロールの特定](#standards-reference-nist-800-171-controls)

## 標準に適用されるコントロールのリソース記録の設定
<a name="standards-reference-nist-800-171-recording"></a>

検出結果の範囲と精度を最適化するには、 AWS Security Hub CSPM で NIST SP 800-171 Revision 2 標準を有効にする AWS Config 前に、 でリソース記録を有効にして設定することが重要です。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプの AWS リソースに対しても有効にしてください。そうしないと、Security Hub CSPM が適切なリソースを評価できず、標準に適用されるコントロールの正確な検出結果を生成できない可能性があります。

Security Hub CSPM が でリソース記録を使用する方法については AWS Config、「」を参照してください[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)。でのリソース記録の設定については AWS Config、「 *AWS Config デベロッパーガイド*[」の「設定レコーダーの使用](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。

次の表は、Security Hub CSPM の NIST SP 800-171 Revision 2 標準に適用されるコントロールに記録するリソースのタイプを示しています。


| AWS のサービス | リソースタイプ: | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## 標準に適用されるコントロールの特定
<a name="standards-reference-nist-800-171-controls"></a>

次のリストは、NIST SP 800-171 Revision 2 の要件をサポートするコントロールを指定し、 AWS Security Hub CSPM の NIST SP 800-171 Revision 2 標準に適用されます。コントロールがサポートする特定の要件の詳細については、コントロールを選択します。次に、コントロールの詳細の**関連要件**フィールドを参照します。このフィールドは、コントロールがサポートする NIST の各要件を示します。フィールドに特定の NIST 要件が示されていない場合、コントロールはその要件をサポートしていません。
+ [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1)
+ [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります](cloudtrail-controls.md#cloudtrail-3)
+ [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします](ec2-controls.md#ec2-10)
+ [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)
+ [[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします](ec2-controls.md#ec2-16)
+ [[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします](ec2-controls.md#ec2-18)
+ [[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません](ec2-controls.md#ec2-19)
+ [[EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります](ec2-controls.md#ec2-20)
+ [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
+ [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51)
+ [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります](elb-controls.md#elb-3)
+ [[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)
+ [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
+ [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7)
+ [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
+ [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10)
+ [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11)
+ [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12)
+ [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13)
+ [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14)
+ [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
+ [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
+ [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
+ [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19)
+ [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21)
+ [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2)
+ [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
+ [[S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります AWS アカウント](s3-controls.md#s3-6)
+ [[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります](s3-controls.md#s3-9)
+ [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11)
+ [[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります](s3-controls.md#s3-14)
+ [[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2)
+ [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12)

# Security Hub CSPM の PCI DSS
<a name="pci-standard"></a>

Payment Card Industry Data Security Standard (PCI DSS) は、クレジットカードおよびデビットカードの情報を安全に処理するための一連のルールとガイドラインを提供するサードパーティーのコンプライアンスフレームワークです。PCI Security Standards Council (SSC) は、このフレームワークを作成および更新します。

AWS Security Hub CSPM は、このサードパーティーフレームワークへの準拠を維持するのに役立つ PCI DSS 標準を提供します。この標準を使用して、カード所有者データを処理する AWS リソースのセキュリティ上の脆弱性を発見できます。カード所有者データまたは機密認証データを保存、処理、または送信するリソースがある AWS アカウント でこの標準を有効にすることをお勧めします。PCI SSC による評価により、この標準の有効性が確認されました。

Security Hub CSPM は、PCI DSS v3.2.1 と PCI DSS v4.0.1 の両方をサポートしています。セキュリティのベストプラクティスに最新の状態で準拠するため、v4.0.1 の使用をお勧めします。両方のバージョンの標準を同時に有効にできます。標準の有効化の詳細については、「[セキュリティ標準の有効化](enable-standards.md)」を参照してください。現在 v3.2.1 を使用していて、今後は v4.0.1 のみを使用するという場合は、古いバージョンを無効にするより前に新しいバージョンを有効にしてください。そうすることで、セキュリティチェックのギャップが生じるのを防ぐことができます。Security Hub CSPM と の統合を使用して AWS Organizations いて、複数のアカウントで v4.0.1 をバッチ有効化する場合は、[中央設定](central-configuration-intro.md)を使用して有効にすることをお勧めします。

以下のセクションでは、PCI DSS v3.2.1 および PCI DSS v4.0.1 にどのコントロールが適用されるかを示します。

## PCI DSS v3.2.1 に適用されるコントロール
<a name="pci-controls"></a>

次のリストには、PCI DSS v3.2.1 にどの Security Hub CSPM コントロールが適用されるかを示します。コントロールの詳細を確認するには、コントロールを選択します。

 [[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります](cloudtrail-controls.md#cloudtrail-3) 

 [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2) 

 [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1) 

 [[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります](dms-controls.md#dms-1) 

 [[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします](ec2-controls.md#ec2-1) 

 [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2) 

 [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6) 

 [[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします](ec2-controls.md#ec2-12) 

 [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13) 

 [[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります](elb-controls.md#elb-1) 

 [[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります](es-controls.md#es-1) 

 [[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1) 

 [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 

 [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 

 [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 

 [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 

 [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 

 [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 

 [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10) 

 [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 

 [[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4) 

 [[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります](lambda-controls.md#lambda-1) 

 [[Lambda.3] Lambda 関数は VPC 内に存在する必要があります](lambda-controls.md#lambda-3) 

 [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 

 [[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1) 

 [[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2) 

 [[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1) 

 [[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1) 

 [[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります](s3-controls.md#s3-2) 

 [[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。](s3-controls.md#s3-3) 

 [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5) 

 [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7) 

 [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2) 

 [[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3) 

## PCI DSS v4.0.1 に適用されるコントロール
<a name="pci4-controls"></a>

次のリストには、PCI DSS v4.0.1 にどの Security Hub CSPM コントロールが適用されるかを示します。コントロールの詳細を確認するには、コントロールを選択します。

[[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1)

[[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2)

[[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2)

[[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3)

[[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません](autoscaling-controls.md#autoscaling-5)

[[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります](cloudtrail-controls.md#cloudtrail-3)

[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3)

[[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります](dms-controls.md#dms-1)

[[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10)

[[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11)

[[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12)

[[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6)

[[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7)

[[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8)

[[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9)

[[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2)

[[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3)

[[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7)

[[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)

[[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14)

[[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします](ec2-controls.md#ec2-15)

[[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします](ec2-controls.md#ec2-16)

[[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170)

[[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります](ec2-controls.md#ec2-171)

[[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)

[[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25)

[[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51)

[[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53)

[[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54)

[[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8)

[[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1)

[[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10)

[[ECS.16] ECS タスクセットはパブリック IP アドレスを自動的に割り当てないでください。](ecs-controls.md#ecs-16)

[[ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください](ecs-controls.md#ecs-2)

[[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8)

[[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4)

[[EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります](eks-controls.md#eks-1)

[[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2)

[[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3)

[[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8)

[[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12)

[[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14)

[[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります](elb-controls.md#elb-3)

[[ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります](elb-controls.md#elb-4)

[[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります](elb-controls.md#elb-8)

[[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1)

[[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2)

[[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります](es-controls.md#es-2)

[[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります](es-controls.md#es-3)

[[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります](es-controls.md#es-5)

[[ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](es-controls.md#es-8)

[[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9)

[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)

[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)

[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)

[[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7)

[[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)

[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)

[[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11)

[[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12)

[[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14)

[[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)

[[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17)

[[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)

[[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19)

[[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1)

[[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2)

[[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3)

[[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4)

[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)

[[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります](lambda-controls.md#lambda-1)

[[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)

[[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2)

[[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります](mq-controls.md#mq-3)

[[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1)

[[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3)

[[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2)

[[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3)

[[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10)

[[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5)

[[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13)

[[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)

[[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-20)

[[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-21)

[[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-22)

[[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24)

[[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25)

[[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34)

[[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35)

[[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-36)

[[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37)

[[RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-9)

[[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1)

[[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります](redshift-controls.md#redshift-15)

[[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります](redshift-controls.md#redshift-2)

[[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります](redshift-controls.md#redshift-4)

[[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2)

[[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)

[[S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります](s3-controls.md#s3-15)

[[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19)

[[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22)

[[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23)

[[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24)

[[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)

[[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)

[[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります](s3-controls.md#s3-9)

[[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-4)

[[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2)

[[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3)

[[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2)

[[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1)

[[WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります](waf-controls.md#waf-11)

# Security Hub CSPM のサービスマネージドスタンダード
<a name="service-managed-standards"></a>

サービスマネージド標準は、別の が AWS のサービス 管理するセキュリティ標準ですが、Security Hub CSPM で表示できます。たとえば、[サービスマネージドスタンダード: AWS Control Tower](service-managed-standard-aws-control-tower.md) は、 が AWS Control Tower 管理するサービスマネージドスタンダードです。サービスマネージドスタンダードは、 AWS Security Hub CSPM が管理するセキュリティ標準とは次の点で異なります。
+ **標準の作成と削除** — 管理サービスのコンソールまたは API、または AWS CLIを使用して、サービスマネージドスタンダードを作成および削除します。いずれかの方法で管理サービスで標準を作成するまでは、その標準は Security Hub CSPM コンソールに表示されず、Security Hub CSPM API または AWS CLIからもアクセスできません。
+ **コントロールの自動有効化なし** – サービスマネージドスタンダードを作成したとき、Security Hub CSPM および管理サービスは、標準に適用されるコントロールの自動有効化を行いません。また、Security Hub CSPM が標準で新しいコントロールをリリースするとき、それが自動有効化されることもありません。これは Security Hub CSPM が管理する標準からの逸脱です。Security Hub CSPM でコントロールを設定する通常の方法の詳細については、「[Security Hub CSPM のセキュリティコントロールを理解する](controls-view-manage.md)」を参照してください。
+ **コントロールの有効化と無効化** — ドリフトを防ぐために、管理サービスでコントロールを有効または無効にすることをお勧めします。
+ **コントロールの可用性** – 管理サービスは、サービスマネージドスタンダードの一部として使用できるコントロールを選択します。使用可能なコントロールには、既存の Security Hub CSPM コントロールのすべて、またはサブセットを含めることができます。

管理サービスがサービスマネージドスタンダードを作成し、そのコントロールを使用できるようになった後は、Security Hub CSPM コンソール、Security Hub CSPM API、または AWS CLIで、コントロールの検出結果、コントロールステータス、標準セキュリティスコアにアクセス表示できます。この情報の一部または全部は、管理サービスで使用することもできます。

以下のリストからサービスマネージドスタンダードを選択すると、その詳細が表示されます。

**Topics**
+ [サービスマネージドスタンダード: AWS Control Tower](service-managed-standard-aws-control-tower.md)

# サービスマネージドスタンダード: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

このセクションでは、サービスマネージドスタンダードについて説明します AWS Control Tower。

## サービスマネージドスタンダードとは AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

サービスマネージドスタンダード: は、Security Hub コントロールのサブセットをサポートする AWS Control Tower を管理するサービスマネージドスタンダード AWS Control Tower です。この標準は、 AWS Security Hub CSPM および のユーザー向けに設計されています AWS Control Tower。これにより、 AWS Control Tower サービスから Security Hub CSPM の検出コントロールを設定できます。

検出コントロールは、 AWS アカウント内のリソースのコンプライアンス違反 (設定ミスなど) を検出します。

**ヒント**  
サービスマネージド標準は、 AWS Security Hub CSPM が管理する標準とは異なります。例えば、サービスマネージドスタンダードの作成および削除は、管理サービスで行う必要があります。詳細については、「[Security Hub CSPM のサービスマネージドスタンダード](service-managed-standards.md)」を参照してください。

Security Hub CSPM コントロールを で有効にすると AWS Control Tower、Control Tower はこれらの特定のアカウントとリージョンで Security Hub CSPM をまだ有効にしていない場合も有効にします。Security Hub CSPM コンソールと API では、標準が有効になると、Service-Managed Standard: AWS Control Tower と他の Security Hub CSPM 標準を表示できます AWS Control Tower。

この標準の詳細については、「*AWS Control Tower ユーザーガイド*」の「[Security Hub CSPM controls](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html)」を参照してください。

## 標準の作成
<a name="aws-control-tower-standard-creation"></a>

この標準は、Security Hub CSPM コントロールを から有効にする場合にのみ、Security Hub CSPM で使用できます AWS Control Tower。 AWS Control Tower は、次のいずれかの方法を使用して、該当するコントロールを最初に有効にするときに標準を作成します。
+ AWS Control Tower コンソール
+ AWS Control Tower API ( [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html) API を呼び出す)
+ AWS CLI ( [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html) コマンドを実行します)

Security Hub CSPM コントロールを で有効にする場合 AWS Control Tower、Security Hub CSPM をまだ有効にしていない場合、 はこれらの特定のアカウントとリージョンで Security Hub CSPM AWS Control Tower も有効にします。

Control Catalog のコントロール ID で Security Hub CSPM コントロールを特定するには、 `Implementation.Identifier`フィールドを使用できます AWS Control Tower。このフィールドは Security Hub CSPM コントロール ID にマッピングされ、特定のコントロール ID をフィルタリングするために使用できます。で特定の Security Hub CSPM コントロール (CodeBuild.1") のコントロールメタデータを取得するには AWS Control Tower、 [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html) API を使用できます。

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

Security Hub CSPM コンソール、Security Hub CSPM API、または Security Hub CSPM コントロールを最初に設定 AWS Control Tower して有効に AWS CLI しない限り、前述の方法のいずれか AWS Control Tower を使用してこの標準を表示またはアクセスすることはできません。

この標準は、 [AWS リージョンAWS Control Tower が利用可能な でのみ使用できます](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)。

## 標準のコントロールの有効化と無効化
<a name="aws-control-tower-standard-managing-controls"></a>

を使用して Security Hub CSPM コントロールを有効に AWS Control Tower し、Service-Managed Standard: AWS Control Tower standard を作成したら、Security Hub CSPM で標準とその使用可能なコントロールを表示できます。

Security Hub CSPM が Service-Managed Standard: AWS Control Tower standard に新しいコントロールを追加すると、標準が有効になっているお客様に対して自動的に有効になるわけではありません。次のいずれかの方法を使用して AWS Control Tower 、 から標準のコントロールを有効または無効にする必要があります。
+ AWS Control Tower コンソール
+ AWS Control Tower API ( [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)および [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIsを呼び出す)
+ AWS CLI ( コマンド[https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)と [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html) コマンドを実行します)

でコントロールの有効化ステータスを変更すると AWS Control Tower、その変更は Security Hub CSPM にも反映されます。

ただし、Security Hub CSPM で有効になっているコントロールを無効にすると、コントロールドリフト AWS Control Tower が発生します。のコントロールステータスは として AWS Control Tower 表示されます`Drifted`。このドリフトを解決するには、[ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html) API を使用してドリフト中のコントロールをリセットするか、 AWS Control Tower コンソールで [OU の再登録](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift)を選択するか、前述の方法のいずれか AWS Control Tower を使用して でコントロールを無効化および再有効化します。

で有効化アクションと無効化アクションを完了すると、コントロールドリフトを回避 AWS Control Tower できます。

でコントロールを有効または無効にすると AWS Control Tower、アクションは によって管理されるアカウントとリージョンに適用されます AWS Control Tower。Security Hub CSPM でコントロールを有効または無効にすると (この標準では推奨されません）、アクションは現在のアカウントとリージョンにのみ適用されます。

**注記**  
[中央設定](central-configuration-intro.md)を使用してサービスマネージドスタンダードを管理することはできません AWS Control Tower。この標準のコントロールを有効または無効にするには、 AWS Control Tower サービス*のみ*を使用できます。

## 有効化ステータスとコントロールステータスの表示
<a name="aws-control-tower-standard-control-status"></a>

次のいずれかの方法を使用して、コントロールの有効化ステータスを表示できます。
+ Security Hub CSPM コンソール、Security Hub CSPM API、または AWS CLI
+ AWS Control Tower コンソール
+ AWS Control Tower 有効なコントロールのリストを表示する API ( [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html) API を呼び出す)
+ AWS CLI 有効になっているコントロールのリストを表示するには ( [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html) コマンドを実行します)

で無効にしたコントロール AWS Control Tower は、Security Hub CSPM `Disabled`でそのコントロールを明示的に有効にしない限り、Security Hub CSPM で有効化ステータスが になります。

Security Hub CSPM は、ワークフローステータスおよびコントロール検出結果のコンプライアンスステータスに基づき、コントロールステータスを計算します。有効化ステータスとコントロールステータスの詳細については、「[Security Hub CSPM でのコントロールの詳細の確認](securityhub-standards-control-details.md)」 を参照してください。

コントロールステータスに基づいて、Security Hub CSPM はサービスマネージドスタンダード[のセキュリティスコア](standards-security-score.md)を計算します AWS Control Tower。このスコアは Security Hub CSPM のみで確認できます。また、Security Hub CSPM で表示できるのは[コントロール検出結果](controls-findings-create-update.md)のみです。標準のセキュリティスコアとコントロールの検出結果は では使用できません AWS Control Tower。

**注記**  
サービスマネージドスタンダード: のコントロールを有効にすると AWS Control Tower、Security Hub CSPM が既存の AWS Config サービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに最大 18 時間かかる場合があります。Security Hub CSPM で他の標準やコントロールを有効にしている場合、既存のサービスリンクルールが存在する可能性があります。詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。

## 標準を削除する
<a name="aws-control-tower-standard-deletion"></a>

次のいずれかの方法を使用して、該当するすべてのコントロールを無効にする AWS Control Tower ことで、 でこのサービスマネージド標準を削除できます。
+ AWS Control Tower コンソール
+ AWS Control Tower API ( [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) API を呼び出す)
+ AWS CLI ( [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html) コマンドを実行します)

すべてのコントロールを無効にすることにより、 AWS Control Tower のすべてのマネージドアカウントと管理対象リージョンの標準が削除されます。で標準を削除すると AWS Control Tower 、Security Hub CSPM コンソールの**標準**ページから削除され、Security Hub CSPM API または を使用してアクセスできなくなります AWS CLI。

**注記**  
 Security Hub CSPM で標準のすべてのコントロールを無効にしても、標準が無効化または削除されることはありません。

Security Hub CSPM サービスを無効にすると、Service-Managed Standard: AWS Control Tower および有効にしたその他の標準が削除されます。

## サービスマネージドスタンダードの検出結果フィールド形式: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Service-Managed Standard: を作成し、そのコントロールを有効にする AWS Control Tower と、Security Hub CSPM でコントロールの検出結果を受信し始めます。Security Hub CSPM は、[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md) でコントロール検出結果をレポートします。これらは、この標準の Amazon リソースネーム (ARN) および `GeneratorId` の ASFF 値です。
+ **標準 ARN** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

サービスマネージドスタンダード: の検出結果の例については AWS Control Tower、「」を参照してください[コントロール検出結果のサンプル](sample-control-findings.md)。

## サービスマネージドスタンダードに適用されるコントロール: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

サービスマネージドスタンダード: AWS Foundational Security Best Practices (FSBP) 標準の一部であるコントロールのサブセット AWS Control Tower をサポートします。コントロールを選択すると、失敗した検出結果の修正手順など、そのコントロールに関する情報が表示されます。

でサポートされている Security Hub CSPM コントロールを確認するには AWS Control Tower、次のいずれかの方法を使用できます。
+ AWS フィルタリングできる Control Catalog コンソール `“Control owner = AWS Security Hub”`
+ AWS Control Catalog API ( [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html) API を呼び出す) が をチェック`Implementations`する のフィルターが `Types` であることを確認します。 `AWS::SecurityHub::SecurityControl`
+ AWS CLI のフィルターを使用して ( [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html) コマンドを実行します)`Implementations`。CLI コマンドの例:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Control Tower 標準で有効にした場合の Security Hub CSPM コントロールのリージョン制限は、基盤となるコントロールのリージョン制限と一致しない場合があります。

Security Hub CSPM では、アカウントで[統合コントロールの検出](controls-findings-create-update.md#consolidated-control-findings)結果がオフになっている場合、生成された検出結果の `ProductFields.ControlId`フィールドは標準ベースのコントロール ID を使用します。標準ベースのコントロール ID は、**CT.*ControlId*** (**CT.CodeBuild.1** など) としてフォーマットされます。

この標準の詳細については、「*AWS Control Tower ユーザーガイド*」の「[Security Hub CSPM controls](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html)」を参照してください。

# セキュリティ標準の有効化
<a name="enable-standards"></a>

 AWS Security Hub CSPM でセキュリティ標準を有効にすると、Security Hub CSPM は標準に適用されるすべてのコントロールを自動的に作成して有効にします。また、Security Hub CSPM は、コントロールのセキュリティチェックの実行と検出結果の生成を開始します。

検出結果の範囲と精度を最適化するには、標準を有効にする AWS Config 前に、 でリソース記録を有効にして設定します。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプのリソースに対し有効にすることも忘れないでください。そうしないと、Security Hub CSPM が適切なリソースを評価できず、標準に適用されるコントロールの正確な検出結果を生成できない可能性があります。詳細については、「[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)」を参照してください。

標準を有効にした後、標準に適用される個々のコントロールを無効にしたり、後で再度有効にしたりできます。標準のコントロールを無効にすると、Security Hub CSPM はそのコントロールの検出結果の生成を停止します。さらに、Security Hub CSPM は、標準のセキュリティスコアを計算するときにコントロールを無視します。セキュリティスコアは、その標準に適用され、有効化され、評価データを持つコントロールの総数に対して、評価に合格したコントロールの割合を示します。

標準を有効化すると、Security Hub CSPM はその標準の予備的なセキュリティスコアを生成します。これは通常、Security Hub CSPM コンソールの **[概要]** ページまたは **[セキュリティ標準]** ページに初めてアクセスしてから約 30 分以内に生成されます。セキュリティスコアは、コンソールでこれらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。さらに、スコアを表示するには、 AWS Config でリソース記録を設定する必要があります。中国リージョン および では AWS GovCloud (US) Regions、Security Hub CSPM が標準の予備セキュリティスコアを生成するまでに最大 24 時間かかる場合があります。Security Hub CSPM が予備スコアを生成した後、24 時間ごとにスコアを更新します。セキュリティスコアが最後に更新された日時を確認するには、Security Hub CSPM がスコアに提供するタイムスタンプを参照できます。詳細については、「[セキュリティスコアの計算](standards-security-score.md)」を参照してください。

標準を有効にする方法は、複数のアカウントと AWS リージョンの Security Hub CSPM を管理する際に、[中央設定](central-configuration-intro.md)を使用するかどうかによって異なります。マルチアカウント、マルチリージョン環境で標準を有効にする場合、中央設定を使用することをお勧めします。Security Hub CSPM を と統合する場合は、中央設定を使用できます AWS Organizations。中央設定を使用しない場合、各アカウントおよび各リージョンで、標準を個別に有効化する必要があります。

**Topics**
+ [複数のアカウントで標準を有効にし、 AWS リージョン](#enable-standards-central-configuration)
+ [1 つのアカウントで標準を有効にし、 AWS リージョン](#securityhub-standard-enable-console)
+ [標準のステータスをチェックする](#standard-subscription-status)

## 複数のアカウントで標準を有効にし、 AWS リージョン
<a name="enable-standards-central-configuration"></a>

複数のアカウントおよび でセキュリティ標準を有効にして設定するには AWS リージョン、[中央設定](central-configuration-intro.md)を使用します。中央設定では、委任された Security Hub CSPM 管理者は、1 つ以上の標準を有効にする Security Hub CSPM 設定ポリシーを作成できます。管理者は、その後、設定ポリシーを個々のアカウント、組織単位 (OU)、またはルートに関連付けることができます。設定ポリシーは、*集約リージョン*とも呼ばれるホームリージョンおよびすべてのリンクされたリージョンに影響します。

設定ポリシーではカスタマイズオプションが可能です。たとえば、1 つの OU に対して AWS Foundational Security Best Practices (FSBP) 標準のみを有効にするように選択できます。別の OU では、FSBP 標準と Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 標準の両方を有効にすることができます。指定した特定の標準を有効にする設定ポリシーの作成については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

中央設定を使用する場合、Security Hub CSPM は新規または既存のアカウントで標準を自動的に有効にしません。代わりに、Security Hub CSPM 管理者は、組織の Security Hub CSPM 設定ポリシーを作成するときに、各アカウントで有効にする標準を指定します。Security Hub CSPM では、FSBP 標準のみを有効にする推奨設定ポリシーが提供されています。詳細については、「[設定ポリシーのタイプ](configuration-policies-overview.md#policy-types)」を参照してください。

**注記**  
Security Hub CSPM 管理者は、設定ポリシーを使用して任意の標準を有効化できますが、[AWS Control Tower サービスマネージド標準](service-managed-standard-aws-control-tower.md)は例外となります。この標準を有効にするには、管理者が AWS Control Tower を直接使用する必要があります。また、 を使用して AWS Control Tower 、一元管理されたアカウントのこの標準の個々のコントロールを有効または無効にする必要があります。

一部のアカウントが独自に標準を有効にして設定できるようにしたい場合、Security Hub CSPM 管理者はそれらのアカウントを*セルフマネージドアカウント*として指定できます。セルフマネージドアカウントは、リージョンごとに標準を個別に有効化して設定する必要があります。

## 1 つのアカウントで標準を有効にし、 AWS リージョン
<a name="securityhub-standard-enable-console"></a>

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントまたは AWS リージョンでセキュリティ標準を一元的に有効にすることはできません。しかし、1 つのアカウントおよびリージョンで標準を有効にすることはできます。これは、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用して実行できます。

------
#### [ Security Hub CSPM console ]

Security Hub CSPM コンソールを使用して、1 つのアカウントとリージョンで標準を有効にするには、以下の手順に従います。

**1 つのアカウントおよびリージョンで標準を有効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、標準を有効にするリージョンを選択します。

1. ナビゲーションペインで、**[セキュリティ標準]** を選択します。現在 Security Hub CSPM がサポートするすべての標準が **[セキュリティ標準]** ページに一覧表示されます。標準を既に有効にしている場合、標準のセクションには、現在のセキュリティスコアとその標準の追加詳細が表示されます。

1. 有効にする標準のセクションで、**[標準を有効にする]** を選択します。

追加のリージョンで標準を有効にするには、追加のリージョンごとに前のステップを繰り返します。

------
#### [ Security Hub CSPM API ]

1 つのアカウントとリージョンで標準をプログラムで有効にするには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html) オペレーションを使用します。または、 AWS Command Line Interface (AWS CLI) を使用している場合は、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html) コマンドを実行します。

リクエストで、`StandardsArn` パラメータを使用して、有効にする標準の Amazon リソースネーム (ARN) を指定します。また、リクエストが適用されるリージョンも指定します。たとえば、次のコマンドは AWS Foundational Security Best Practices (FSBP) 標準を有効にします。

```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```

ここでは、*arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0** は米国東部 (バージニア北部) リージョンの FSBP 標準の ARN であり、*us-east-1* はそれを有効にするリージョンです。

標準の ARN を取得するには、 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)オペレーションを使用するか、 を使用している場合は [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html) コマンド AWS CLIを実行します。

最初に自分のアカウントで現在有効になっている標準のリストを確認するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) オペレーションを使用できます。を使用している場合は AWS CLI、[get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html) コマンドを実行して、このリストを取得できます。

------

標準を有効にすると、Security Hub CSPM は、アカウントと指定されたリージョンで標準を有効にするタスクの実行を開始します。これには、標準に適用されるすべてのコントロールの作成が含まれます。これらのタスクのステータスをモニタリングするには、アカウントとリージョンの標準のステータスを確認できます。

## 標準のステータスをチェックする
<a name="standard-subscription-status"></a>

アカウントのセキュリティ標準を有効にすると、Security Hub CSPM はアカウントの標準に適用されるすべてのコントロールの作成を開始します。Security Hub CSPM は、標準の予備セキュリティスコアの生成など、アカウントの標準を有効にするための追加のタスクも実行します。Security Hub CSPM がこれらのタスクを実行する間、そのアカウントでは標準のステータスは *Pending* になります。その後、標準のステータスはさまざまな状態に遷移します。これらの状態はモニタリングして確認できます。

**注記**  
標準の個々のコントロールを変更しても、標準の全体的なステータスには影響しません。たとえば、以前に無効にしたコントロールを有効にしても、変更は標準のステータスには影響しません。同様に、有効なコントロールのパラメータ値を変更しても、標準のステータスには影響しません。

Security Hub CSPM コンソールを使用して標準のステータスを確認するには、ナビゲーションペインで **[セキュリティ標準]** を選択します。現在 Security Hub CSPM がサポートするすべての標準が **[セキュリティ標準]** ページに一覧表示されます。Security Hub CSPM が標準を有効にするタスクを現在実行している場合、標準のセクションは、Security Hub CSPM がまだ標準のセキュリティスコアを生成中であることを示します。標準が有効になっている場合、標準のセクションには現在のスコアが表示されます。**[結果の表示]** を選択して、標準に適用される個々のコントロールのステータスなど、追加の詳細を確認します。詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。

Security Hub CSPM API を使用して標準のステータスをプログラムで確認するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) オペレーションを使用します。リクエストでは、オプションで `StandardsSubscriptionArns` パラメータを使用して、ステータスを確認する標準の Amazon リソースネーム (ARN) を指定します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html) コマンドを実行して、標準のステータスを確認できます。チェックする標準の ARN を指定するには、`standards-subscription-arns` パラメータを使用します。指定する ARN を確認するには、 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)オペレーションを使用するか、 で [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html) コマンド AWS CLIを実行します。

リクエストが成功すると、Security Hub CSPM は `StandardsSubscription` オブジェクトの配列で応答します。*標準サブスクリプション*は、アカウントで標準が有効になっている場合に Security Hub CSPM がアカウントで作成する AWS リソースです。各 `StandardsSubscription` オブジェクトは、アカウントに対して現在有効または有効または無効になっている標準に関する詳細を提供します。各オブジェクト内で、`StandardsStatus` フィールドはアカウントの標準の現在のステータスを指定します。

標準 (`StandardsStatus`)のステータスは、以下のいずれかになります。

**PENDING**  
Security Hub CSPM は現在、アカウントの標準を有効にするタスクを実行しています。これには、標準に適用されるコントロールの作成と、標準の予備セキュリティスコアの生成が含まれます。Security Hub CSPM がすべてのタスクを完了するまでに数分かかる場合があります。標準は、アカウントで既に有効になっており、Security Hub CSPM が現在標準に新しいコントロールを追加している場合にも、このステータスになることがあります。  
標準にこのステータスがある場合、標準に適用される個々のコントロールの詳細を取得できない場合があります。さらに、標準の個々のコントロールを設定または無効にできない場合があります。たとえば、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) オペレーションを使用してコントロールを無効にしようとすると、エラーが発生します。  
標準に対して個々のコントロールを設定または管理できるかどうかを確認するには、`StandardsControlsUpdatable` フィールドの値を参照してください。このフィールドの値が `READY_FOR_UPDATES` の場合、標準の個々のコントロールの管理を開始できます。それ以外の場合は、Security Hub CSPM が追加の処理タスクを完了して標準を有効にするまで待ちます。

**READY**  
標準は現在、アカウントに対して有効になっています。Security Hub CSPM は、セキュリティチェックを実行し、標準に適用され、現在有効になっているすべてのコントロールの検出結果を生成できます。Security Hub CSPM では、有効な標準ごとにセキュリティスコアも計算できます。  
標準にこのステータスがある場合は、標準に適用される個々のコントロールの詳細を取得できます。さらに、コントロールを設定、無効化、または再有効化できます。標準を無効にすることもできます。

**INCOMPLETE**  
Security Hub CSPM は、アカウントに対して標準を完全に有効にできませんでした。Security Hub CSPM は、標準に適用され、現在有効になっているすべてのコントロールについて、セキュリティチェックを実行したり検出結果を生成したりすることはできません。さらに、Security Hub CSPM は標準のセキュリティスコアを計算できません。  
標準が完全に有効にならなかったことの理由を確認するには、`StandardsStatusReason` 配列の情報を参照してください。この配列は、Security Hub CSPM が標準を有効化することを妨げた問題を示します。内部エラーが発生した場合は、アカウントの標準を再度有効にしてみてください。その他の種類の問題については、[AWS Config 設定を確認してください](securityhub-setup-prereqs.md)。チェックしたくない[個々のコントロールを無効](disable-controls-overview.md)にしたり、標準を完全に無効にしたりすることもできます。

**DELETING**  
Security Hub CSPM は現在、アカウントの標準を無効にするリクエストを処理しています。これには、標準に適用されるコントロールの無効化、および関連するセキュリティスコアの削除が含まれます。Security Hub CSPM がリクエストの処理を完了するまでに数分かかる場合があります。  
標準にこのステータスがある場合、その標準を再度有効化したり、アカウントに対して再度無効化を試みたりすることはできません。Security Hub CSPM は、まず現在のリクエストの処理を完了する必要があります。さらに、標準に適用される個々のコントロールの詳細を取得したり、コントロールを管理したりすることはできません。

**FAILED**  
Security Hub CSPM は、アカウントの標準を無効化することができませんでした。Security Hub CSPM が標準を無効化しようとしたときに 1 つ以上のエラーが発生しました。さらに、Security Hub CSPM は標準のセキュリティスコアを計算できません。  
標準が完全に無効にならなかったことの理由を確認するには、`StandardsStatusReason` 配列の情報を参照してください。この配列は、Security Hub CSPM が標準を無効化することを妨げた問題を示します。  
標準にこのステータスがある場合、標準に適用される個々のコントロールの詳細を取得したり、コントロールを管理したりすることはできません。ただし、アカウントの標準を再度有効にすることはできます。Security Hub CSPM が標準を無効にすることを妨げた問題に対処すれば、標準を再度無効化することを試すこともできます。

標準のステータスが `READY` の場合、Security Hub CSPM は、標準に適用され、現在有効になっているすべてのコントロールに対しセキュリティチェックを実行し、検出結果を生成します。他のステータスの場合、Security Hub CSPM は、すべてではなく一部の有効なコントロールに対しチェックを実行し、検出結果を生成する場合があります。コントロール検出結果の生成または更新には最大 24 時間かかる場合があります。詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。

# セキュリティ標準の詳細の確認
<a name="securityhub-standards-view-controls"></a>

 AWS Security Hub CSPM でセキュリティ標準を有効にしたら、コンソールを使用して標準の詳細を確認できます。 コンソールの標準の詳細ページには、以下の情報が含まれます。
+ 標準の現在のセキュリティスコア。
+ 標準に適用されるコントロールのテーブル。
+ 標準に適用されるコントロールの集計統計。
+ 標準に適用されるコントロールのステータスの視覚的要約。
+ 標準で有効化および適用されたコントロールのセキュリティチェックの視覚的要約。と統合すると AWS Organizations、少なくとも 1 つの組織アカウントで有効になっているコントロールは有効と見なされます。

これらの詳細を確認するには、コンソールのナビゲーションペインで **[セキュリティ標準]** を選択します。次に、標準のセクションで、**[結果の表示]** を選択します。より詳細な分析を行うには、データをフィルタリングしてソートし、ドリルダウンして標準に適用される個々のコントロールの詳細を確認することができます。

**Topics**
+ [標準セキュリティスコアについて](#standard-details-overview)
+ [標準のコントロールの確認](#standard-controls-list)

## 標準セキュリティスコアについて
<a name="standard-details-overview"></a>

 AWS Security Hub CSPM コンソールで、標準の詳細ページに標準のセキュリティスコアが表示されます。スコアは、その標準に適用され、有効化され、評価データがあるコントロールの総数に対して、評価に合格したコントロールの割合を示します。スコアの下には、標準で有効化されているコントロールのセキュリティチェックの概要図が表示されます。これにはセキュリティチェックの合格と不合格の合計数が含まれます。管理者アカウントの場合、標準のスコアと図は、管理者アカウントとメンバーアカウントの両方を合わせて集計されます。特定の重要度を持つコントロールの失敗したセキュリティチェックを確認するには、重要度を選択します。

標準を有効化すると、Security Hub CSPM はその標準に対して予備的なセキュリティスコアを生成します。これは通常、Security Hub CSPM コンソールの **[概要]** ページまたは **[セキュリティ標準]** ページに初めてアクセスしてから約 30 分以内に生成されます。スコアは、これらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。さらに、スコアが表示されるように AWS Config リソース記録を設定する必要があります。中国リージョン および では AWS GovCloud (US) Regions、Security Hub CSPM が予備スコアを生成するまでに最大 24 時間かかる場合があります。Security Hub CSPM が標準の予備スコアを生成した後、24 時間ごとにスコアを更新します。詳細については、「[セキュリティスコアの計算](standards-security-score.md)」を参照してください。

**セキュリティ標準**の詳細ページのすべてのデータは、集約リージョンを設定 AWS リージョン しない限り、現在の に固有です。集約リージョンを設定している場合、セキュリティスコアは複数リージョンにまたがって適用され、リンクされたすべてのリージョンの検出結果がスコアに含まれます。加えて、コントロールのコンプライアンスステータスにはリンクされたリージョンの検出結果も反映され、セキュリティチェックの数にはリンクされたリージョンの検出結果が含まれます。

## 標準のコントロールの確認
<a name="standard-controls-list"></a>

 AWS Security Hub CSPM コンソールを使用して、有効にした標準の詳細を確認すると、標準に適用されるセキュリティコントロールの表を確認できます。この表には、各コントロールについて以下の情報が含まれています。
+ コントロール ID とタイトル。
+ コントロールのステータス。詳細については、「[コンプライアンスステータスとコントロールステータスの評価](controls-overall-status.md)」を参照してください。
+ コントロールに関連付けられた重要度。
+ チェックの合計数および失敗したチェックアウトの数。該当する場合は、**[Failed checks]** (不合格になったチェック) フィールドに、ステータスが **[Unknown]** (不明) の検出結果の数も指定されます。
+ コントロールがカスタムパラメータをサポートしているかどうか。詳細については、「[Security Hub CSPM のコントロールパラメータについて](custom-control-parameters.md)」を参照してください。

Security Hub CSPM では 24 時間ごとにコントロールステータスとセキュリティチェック数が更新されます。ページ上部のタイムスタンプは、Security Hub CSPM がこのデータを最後に更新した日時を示します。

管理者アカウントの場合、コントロールのステータスとセキュリティチェック数は、管理者アカウントとメンバーアカウントの両方を合わせて集計されます。有効なコントロールの数は、管理者アカウントまたは 1 つ以上のメンバーアカウントの標準で有効になっているコントロールが含まれています。無効はコントロールの数は、管理者アカウントまたはすべてのメンバーアカウントの標準で無効になっているコントロールが含まれています。

標準に適用されるコントロールのテーブルをフィルタリングできます。表の横にある **[フィルター条件]** オプションを使用して、標準で有効または無効にされたコントロールのみを表示するように選択できます。有効なコントロールのみを表示する場合は、コントロールステータスでテーブルをさらにフィルタリングできます。その後、特定のコントロールステータスを持つコントロールに集中できます。**[フィルター条件]** オプションに加えて、**[フィルターコントロール]** ボックスにフィルター基準を入力できます。例えば、コントロール ID またはタイトルでフィルタリングできます。

任意のアクセス方法を選択します。次に、ステップに従って、有効にした標準に適用されるコントロールを確認します。

------
#### [ Security Hub CSPM console ]

**有効な標準のコントロールを確認するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[セキュリティ基準]** を選択します。

1. 標準のセクションで、**[結果の表示]** を選択します。

ページの下部にあるテーブルに、標準に適用されるすべてのコントロールが一覧表示されます。テーブルのフィルタリングおよびソートを行うことができます。テーブルの現在のページを CSV ファイルとしてダウンロードすることもできます。これを行うには、テーブルの上の **[ダウンロード]** を選択します。テーブルをフィルタリングした場合、ダウンロードされたファイルには、現在のフィルター設定に一致するコントロールのみが含まれます。

------
#### [ Security Hub CSPM API ]

**有効な標準のコントロールを確認するには**

1. Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) オペレーションを使用します。を使用している場合は AWS CLI、[list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html) コマンドを実行します。

   コントロールを確認する標準の Amazon リソースネーム (ARN) を特定します。標準の ARN を取得するには、[DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) オペレーションを使用するか、[describe-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html) コマンドを実行します。標準の ARN を指定しない場合、Security Hub CSPM はすべてのセキュリティコントロール ID を返します。

1. Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)オペレーション、または [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) コマンドを実行します。このオペレーションは、コントロールが有効になっている標準を示します。

   セキュリティコントロール ID または ARN を指定してコントロールを特定します。ページ分割パラメータはオプションです。

次の例では、Config.1 コントロールが有効になっている標準を示します。

```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```

------

# 自動的に無効化されるセキュリティ標準
<a name="securityhub-auto-enabled-standards"></a>

組織は、中央設定を使用しない場合は、*ローカル設定*と呼ばれる設定タイプを使用します。ローカル設定を使用すると、 AWS Security Hub CSPM は、新しいメンバーアカウントが組織に参加したときに、そのメンバーアカウントにデフォルトのセキュリティ標準を自動的に有効化することができます。これらのデフォルト標準に適用されるすべてのコントロールも、自動的に有効化されます。

現在、デフォルトのセキュリティ標準は AWS 、 Foundational Security Best Practices 標準と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 標準です。これらのスタンダードの詳細については、「[Security Hub CSPM 標準リファレンス](standards-reference.md)」を参照してください。

新しいメンバーアカウントのセキュリティ標準を手動で有効にする場合は、デフォルトの標準の自動有効化をオフにできます。これは、 と統合 AWS Organizations してローカル設定を使用する場合にのみ実行できます。中央設定を使用する場合は、代わりにデフォルトの標準を有効にする設定ポリシーを作成し、このポリシーをルートに関連付けることができます。その後、組織アカウントと OU は、別のポリシーに関連付けられている場合やセルフマネージドの場合を除き、すべてこの構成ポリシーを継承します。と統合しない場合 AWS Organizations、Security Hub CSPM 以降を最初に有効にするときに、デフォルトの標準を無効にすることができます。この方法の詳細は、「[セキュリティ標準の無効化](disable-standards.md)」を参照してください。

新しいメンバーアカウントのデフォルト標準の自動有効化を無効にするには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用できます。

------
#### [ Security Hub CSPM console ]

Security Hub CSPM コンソールを使用してデフォルトの標準の自動有効化を無効にするには、次の手順に従います。

**デフォルト標準の自動有効化をオフにするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインの **[設定]** で **[設定]** を選択します。

1. **[概要]** セクションで **[編集]** を選択します。

1. **[新しいアカウント設定]** で、**[デフォルトのセキュリティ標準を有効にする]** チェックボックスをオフにします。

1. **[確認]** を選択します。

------
#### [ Security Hub CSPM API ]

デフォルトの標準の自動有効化をプログラムで無効にするには、Security Hub CSPM 管理者アカウントから、Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) オペレーションを使用します。リクエストで、`AutoEnableStandards` パラメータを `NONE` として指定します。

を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) コマンドを実行して、デフォルトの標準の自動有効化をオフにします。`auto-enable-standards` パラメータでは、`NONE` を指定します。たとえば、次のコマンドは、新しいメンバーアカウントに対して Security Hub CSPM を自動的に有効にし、アカウントのデフォルト標準の自動有効化をオフにします。

```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```

------

# セキュリティ標準の無効化
<a name="disable-standards"></a>

 AWS Security Hub CSPM でセキュリティ標準を無効にすると、以下が発生します。
+ その標準に適用されるすべてのコントロールは、現在有効な別の標準に関連付けられている場合を除き、無効になります。
+ 無効化されたコントロールに対するセキュリティチェックは行われなくなり、無効化されたコントロールについて新しい検出結果が追加で生成されることもありません。
+ 無効化されたコントロールの既存の検出結果は、約 3～5 日後に自動的にアーカイブされます。
+ AWS Config 無効化されたコントロール用に Security Hub CSPM が作成した ルールは削除されます。

通常、適切な AWS Config ルールの削除は、標準を無効にしてから数分以内に行われます。ただし、時間がかかる場合があります。ルール削除の最初のリクエストが失敗した場合、Security Hub CSPM は 12 時間ごとに再試行します。ただし、Security Hub CSPM を無効にした場合、または他の標準を有効にしていない場合、Security Hub CSPM は再試行できません。つまり、ルールは削除できません。これが発生し、ルールを削除する必要がある場合は、 にお問い合わせください AWS サポート。

**Topics**
+ [複数のアカウントで標準を無効にする AWS リージョン](#disable-standards-central-configuration)
+ [1 つのアカウントで標準を無効にする AWS リージョン](#securityhub-standard-disable-console)

## 複数のアカウントで標準を無効にする AWS リージョン
<a name="disable-standards-central-configuration"></a>

複数のアカウントおよび でセキュリティ標準を無効にするには AWS リージョン、[中央設定](central-configuration-intro.md)を使用します。中央設定を使用すると、Security Hub CSPM 委任管理者は、1 つ以上の標準を無効化する Security Hub CSPM の設定ポリシーを作成できます。管理者は、その後、設定ポリシーを個々のアカウント、組織単位 (OU)、またはルートに関連付けることができます。設定ポリシーは、*集約リージョン*とも呼ばれるホームリージョンおよびすべてのリンクされたリージョンに影響します。

設定ポリシーではカスタマイズオプションが可能です。たとえば、1 つの OU で Payment Card Industry Data Security Standard (PCI DSS) を無効にすることを選択できます。別の OU では、PCI DSS と米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5 標準の両方を無効にすることができます。指定した個々の標準を有効または無効にする設定ポリシーの作成については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

**注記**  
Security Hub CSPM 管理者は、[AWS Control Tower サービスマネージド標準](service-managed-standard-aws-control-tower.md)を除く任意の標準を、設定ポリシーを使って無効にできます。この標準を無効にするには、管理者が AWS Control Tower を直接使用する必要があります。また、 を使用して AWS Control Tower 、一元管理されたアカウントのこの標準の個々のコントロールを無効または有効にする必要があります。

一部のアカウントで自分のアカウントの標準を設定または無効にする場合、Security Hub CSPM 管理者はそれらのアカウントを*セルフ管理アカウント*として指定できます。セルフマネージドアカウントは、リージョンごとに標準を個別に無効にする必要があります。

## 1 つのアカウントで標準を無効にする AWS リージョン
<a name="securityhub-standard-disable-console"></a>

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントまたは AWS リージョンでセキュリティ標準を一元的に無効にすることはできません。ただし、1 つのアカウントおよびリージョンで標準を無効にすることができます。これは、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用して実行できます。

------
#### [ Security Hub CSPM console ]

Security Hub CSPM コンソールを使用して、1 つのアカウントとリージョンで標準を無効にするには、次の手順に従います。

**1 つのアカウントおよびリージョンで標準を無効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、標準を無効にするリージョンを選択します。

1. ナビゲーションペインで、**[セキュリティ標準]** を選択します。

1. 無効化したい標準のセクションで、**[標準を無効化]** を選択します。

追加のリージョンで標準を無効化するには、追加のリージョンごとに前のステップを繰り返します。

------
#### [ Security Hub CSPM API ]

1 つのアカウントとリージョンで標準をプログラムで無効にするには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html) オペレーションを使用します。または、 AWS Command Line Interface (AWS CLI) を使用している場合は、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html) コマンドを実行します。

リクエストで、`StandardsSubscriptionArns` パラメータを使用して、無効にする標準の Amazon リソースネーム (ARN) を指定します。を使用している場合は AWS CLI、 `standards-subscription-arns`パラメータを使用して ARN を指定します。また、リクエストが適用されるリージョンも指定します。たとえば、次のコマンドは、アカウント (*123456789012*) AWS の Foundational Security Best Practices (FSBP) 標準を無効にします。

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

ここでは、*arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0* は米国東部 (バージニア北部) リージョンのアカウントの FSBP 標準の ARN であり、*us-east-1* は無効にするリージョンです。

標準の ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) オペレーションを使用できます。このオペレーションは、アカウントで現在有効になっている標準に関する情報を取得します。を使用している場合は AWS CLI、[get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html) コマンドを実行してこの情報を取得できます。

------

標準を無効にすると、Security Hub CSPM は、アカウントと指定されたリージョンで標準を無効にするタスクの実行を開始します。これには、標準に適用されるすべてのコントロールの無効化が含まれます。これらのタスクのステータスをモニタリングするには、アカウントとリージョンの[標準のステータスを確認できます](enable-standards.md#standard-subscription-status)。

# Security Hub CSPM のセキュリティコントロールを理解する
<a name="controls-view-manage"></a>

 AWS Security Hub CSPM では、*セキュリティコントロール*は*コントロール*とも呼ばれ、組織が情報の機密性、完全性、可用性を保護するのに役立つセキュリティ標準内の保護手段です。Security Hub CSPM では、コントロールは特定の AWS リソースに関連しています。

1 つ以上の標準でコントロールを有効にすると、Security Hub CSPM はセキュリティチェックの実行を開始します。セキュリティチェックの結果、Security Hub CSPM の検出結果が表示されます。コントロールを無効にすると、Security Hub CSPM はそのコントロールに対するセキュリティチェックの実行を停止し、検出結果は生成されなくなります。

1 つのアカウントと のコントロールを個別に有効または無効にできます AWS リージョン。マルチアカウント環境で時間を節約し、設定ドリフトを減らすには、[中央設定](central-configuration-intro.md)を使用してコントロールを有効または無効にすることをお勧めします。一元的な設定では、委任 Security Hub CSPM 管理者は、複数のアカウントとリージョンでコントロールを設定する方法を指定するポリシーを作成できます。コントロールの有効化と無効化の詳細については、「[Security Hub CSPM でのコントロールの有効化](securityhub-standards-enable-disable-controls.md)」を参照してください。

## 統合コントロールビュー
<a name="consolidated-controls-view"></a>

Security Hub CSPM コンソールの**コントロール**ページには、現在の で利用可能なすべてのコントロールが表示されます AWS リージョン (**セキュリティ標準**ページにアクセスして有効な標準を選択すると、標準コンテキストでコントロールを表示できます）。Security Hub CSPM は、どの標準でも一貫したセキュリティコントロール ID、タイトル、説明をコントロールに割り当てます。コントロール IDsには、関連する番号 AWS のサービス と一意の番号 (CodeBuild.3).

次の情報は、[Security Hub CSPM コンソール](https://console.aws.amazon.com/securityhub/)の **[コントロール]** ページにあります。
+ データを含む有効なコントロールの総数に対する合格したコントロールの割合に基づく、総合的なセキュリティスコア
+ サポートされているすべての Security Hub CSPM コントロールのコントロールステータスの内訳
+ セキュリティチェックの合格と不合格の合計数。
+ 重要度の異なるコントロールの失敗したセキュリティチェックの数と、それらの失敗したチェックの詳細を表示するリンク。
+ Security Hub CSPM コントロールのリスト。コントロールの特定のサブセットを表示するフィルターがあります。

**[コントロール]** ページでコントロールを選択して詳細を確認し、コントロールが生成した検出結果に対してアクションを実行することができます。このページでは、現在の AWS アカウント および でセキュリティコントロールを有効または無効にすることもできます AWS リージョン。**[コントロール]** ページからの有効化および無効化アクションは、すべての標準に適用されます。詳細については、「[Security Hub CSPM でのコントロールの有効化](securityhub-standards-enable-disable-controls.md)」を参照してください。

管理者アカウントの場合、**[コントロール]** ページには、メンバーアカウント全体のコントロールのステータスが反映されます。コントロールチェックが少なくとも 1 つのメンバーアカウントで失敗した場合、コントロールステータスは **[失敗]** です。[集約リージョン](finding-aggregation.md)を設定している場合、**[コントロール]** ページには、リンクされているすべてのリージョンのコントロールステータスが反映されます。少なくとも 1 つのリンクされたリージョンでコントロールチェックが失敗した場合、コントロールステータスは **[失敗]** です。

統合コントロールビューでは、ワークフローに影響を与える可能性のある AWS Security Finding Format (ASFF) のコントロール検出結果フィールドが変更されます。詳細については、「[統合コントロールビュー — ASFF の変更](asff-changes-consolidation.md#securityhub-findings-format-consolidated-controls-view)」を参照してください。

## コントロールのセキュリティスコアの概要
<a name="controls-overall-score"></a>

**[コントロール]** ページには、0～100% のセキュリティスコアの概要が表示されます。セキュリティスコアの概要は、標準全体のデータを含む有効なコントロールの総数に対する合格したコントロールの割合に基づき計算されます。

**注記**  
 コントロールの全体的なセキュリティスコアを表示するには、Security Hub CSPM へのアクセスに使用する IAM ロールに **`BatchGetControlEvaluations`** の呼び出し権限を追加する必要があります。この権限は、特定の標準のセキュリティスコアを表示する場合には必要ありません。

Security Hub CSPM を有効にすると、Security Hub CSPM は、Security Hub CSPM コンソールの **[概要]** ページまたは **[セキュリティ基準]** ページへの最初のアクセスから 30 分以内に最初のセキュリティスコアを計算します。中国リージョンおよび AWS GovCloud (US) Regionsでは、最初のセキュリティスコアが作成されるまで、最大 24 時間かかる場合があります。

全体的なセキュリティスコアに加えて、Security Hub CSPM は、**[概要]** ページまたは **[セキュリティ標準]** ページへの最初のアクセスから 30 分以内に、有効になっている標準ごとにセキュリティスコアを計算します。現在有効になっている標準のリストを表示するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) API オペレーションを使用します。

AWS Config スコアを表示するには、リソース記録で を有効にする必要があります。Security Hub CSPM がセキュリティスコアを計算する方法の詳細については、「[セキュリティスコアの計算](standards-security-score.md)」を参照してください。

最初のスコア生成の後、Security Hub CSPM はセキュリティスコアを 24 時間ごとに更新します。Security Hub CSPM には、セキュリティスコアが最後に更新されたときの時刻が表示されます。

集約リージョンを設定している場合、全体のセキュリティスコアには、リンクされたリージョン全体の検出結果が反映されます。

# Security Hub CSPM のコントロールリファレンス
<a name="securityhub-controls-reference"></a>

このコントロールリファレンスは、利用可能な AWS Security Hub CSPM コントロールの表と、各コントロールに関する詳細情報へのリンクを提供します。テーブルでは、コントロールはコントロール ID によってアルファベット順にリストされています。Security Hub CSPM でアクティブに使用されているコントロールのみがここに含まれています。廃止されたコントロールは、表から除外されます。

このテーブルには、各コントロールの以下の情報が表示されます。
+ **セキュリティコントロール ID** – この ID は標準に適用され、コントロールに関連する AWS のサービス とリソースを示します。Security Hub CSPM コンソールには、アカウントで [[統合されたコントロールの検出結果]](controls-findings-create-update.md#consolidated-control-findings) が有効か無効かに関係なく、セキュリティコントロール ID が表示されます。ただし、Security Hub CSPM の検出結果がセキュリティコントロール ID を参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、一部のコントロール ID はコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロール ID をセキュリティコントロール ID にマッピングする方法については、「[統合がコントロール ID とタイトルに与える影響](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)」を参照してください。

  セキュリティコントロールの[自動化](automations.md)を設定するときは、タイトルや説明ではなく、コントロール ID に基づいてフィルタリングすることをお勧めします。Security Hub CSPM はコントロールのタイトルや説明を更新することがありますが、コントロール ID は変わりません。

  コントロール ID は数字が飛ばされることがあります。これらは将来のコントロール用のプレースホルダーです。
+ **セキュリティコントロールタイトル** — このタイトルはあらゆる標準に適用されます。Security Hub CSPM コンソールには、アカウントで [統合されたコントロールの検出結果] が有効か無効かに関係なく、セキュリティコントロールタイトルが表示されます。ただし、Security Hub CSPM 検出結果がセキュリティコントロールタイトルを参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、一部のコントロールタイトルはコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロール ID をセキュリティコントロール ID にマッピングする方法については、「[統合がコントロール ID とタイトルに与える影響](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)」を参照してください。
+ **適用される標準** — コントロールが適用される標準を示します。コントロールを選択して、サードパーティのコンプライアンスフレームワークにおける特定の要件を確認します。
+ **重要度** — コントロールの重要度は、セキュリティの観点からその重要性を示します。Security Hub CSPM がコントロールの重要度を決定する方法の詳細については、「[コントロールの検出結果の重要度](controls-findings-create-update.md#control-findings-severity)」を参照してください。
+ **カスタムパラメータをサポート** — コントロールが 1 つ以上のパラメータのカスタム値をサポートしているかどうかを示します。コントロールを選択して、パラメータの詳細を確認します。詳細については、「[Security Hub CSPM のコントロールパラメータについて](custom-control-parameters.md)」を参照してください。
+ **スケジュールタイプ** — コントロールがいつ評価されるかを示します。詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。

コントロールを選択して、追加の詳細を確認します。コントロールは、セキュリティコントロール ID によってアルファベット順に一覧表示されます。


| セキュリティコントロール ID | セキュリティコントロールのタイトル | 適用される標準 | 緊急度 | カスタムパラメータをサポート | スケジュールタイプ | 
| --- | --- | --- | --- | --- | --- | 
| [Account.1](account-controls.md#account-1)  | のセキュリティ連絡先情報は、 に提供する必要があります。 AWS アカウント  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  | 中  | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  | 定期的  | 
|  [Account.2](account-controls.md#account-2)  |  AWS アカウント は AWS Organizations 組織の一部である必要があります  |  NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [ACM.1](acm-controls.md#acm-1)  |  インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によるトリガーと定期的なトリガー  | 
|  [ACM.2](acm-controls.md#acm-2)  |  ACM が管理する RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります  | AWS Foundational Security Best Practices v1.0.0、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ACM.3](acm-controls.md#acm-3)  | ACM 証明書にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Amplify.1](amplify-controls.md#amplify-1)  | Amplify アプリにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Amplify.2](amplify-controls.md#amplify-2)  | Amplify ブランチにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [APIGateway.1](apigateway-controls.md#apigateway-1)  |  API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [APIGateway.2](apigateway-controls.md#apigateway-2)  |  API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [APIGateway.3](apigateway-controls.md#apigateway-3)  |  API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [APIGateway.4](apigateway-controls.md#apigateway-4)  |  API Gateway は、WAF ウェブ ACL に関連付けられている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [APIGateway.5](apigateway-controls.md#apigateway-5)  |  API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [APIGateway.8](apigateway-controls.md#apigateway-8)  |  API Gateway ルートには認可タイプを指定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  定期的  | 
|  [APIGateway.9](apigateway-controls.md#apigateway-9)  |  API Gateway V2 ステージにアクセスログ記録を設定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [APIGateway.10](apigateway-controls.md#apigateway-10)  |  API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります  |  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [AppConfig.1](appconfig-controls.md#appconfig-1)  | AWS AppConfig アプリケーションにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [AppConfig.2](appconfig-controls.md#appconfig-2)  | AWS AppConfig 設定プロファイルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [AppConfig.3](appconfig-controls.md#appconfig-3)  | AWS AppConfig 環境にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [AppConfig.4](appconfig-controls.md#appconfig-4)  | AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [AppFlow.1](appflow-controls.md#appflow-1)  | Amazon AppFlow フローにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [AppRunner.1](apprunner-controls.md#apprunner-1)  | App Runner サービスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [AppRunner.2](apprunner-controls.md#apprunner-2)  | App Runner VPC コネクタにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [AppSync.2](appsync-controls.md#appsync-2)  |  AWS AppSync ではフィールドレベルのログ記録が有効になっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、PCI DSS v4.0.1 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [AppSync.4](appsync-controls.md#appsync-4)  | AWS AppSync GraphQL APIsタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [AppSync.5](appsync-controls.md#appsync-5)  |  AWS AppSync GraphQL APIsは API キーで認証しないでください  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Athena.2](athena-controls.md#athena-2)  | Athena データカタログにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Athena.3](athena-controls.md#athena-3)  | Athena ワークグループにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Athena.4](athena-controls.md#athena-4)  | Athena ワークグループではログ記録が有効になっている必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [AutoScaling.1](autoscaling-controls.md#autoscaling-1)  | ロードバランサーに関連付けられた Auto Scaling グループは、ELB のヘルスチェックを使用する必要があります | AWS Foundational Security Best Practices、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [AutoScaling.2](autoscaling-controls.md#autoscaling-2)  |  Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [AutoScaling.3](autoscaling-controls.md#autoscaling-3)  |  Auto Scaling グループの起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Autoscaling.5](autoscaling-controls.md#autoscaling-5)  |  Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [AutoScaling.6](autoscaling-controls.md#autoscaling-6)  |  Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [AutoScaling.9](autoscaling-controls.md#autoscaling-9)  |  EC2 Auto Scaling グループは EC2 起動テンプレートを使用する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [AutoScaling.10](autoscaling-controls.md#autoscaling-10)  | EC2 Auto Scaling グループにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Backup.1](backup-controls.md#backup-1)  |  AWS Backup リカバリポイントは保管時に暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Backup.2](backup-controls.md#backup-2)  | AWS Backup 復旧ポイントにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Backup.3](backup-controls.md#backup-3)  | AWS Backup ボールトにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Backup.4](backup-controls.md#backup-4)  | AWS Backup レポートプランにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Backup.5](backup-controls.md#backup-5)  | AWS Backup バックアッププランにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [バッチ.1](batch-controls.md#batch-1)  | バッチジョブキューにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [バッチ.2](batch-controls.md#batch-2)  | バッチスケジューリングポリシーにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [バッチ.3](batch-controls.md#batch-3)  | バッチコンピューティング環境にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [バッチ.4](batch-controls.md#batch-4)  | マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [CloudFormation.2](cloudformation-controls.md#cloudformation-2)  | CloudFormation スタックにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [CloudFormation.3](cloudformation-controls.md#cloudformation-3)  | CloudFormation スタックで終了保護を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [CloudFormation.4](cloudformation-controls.md#cloudformation-4)  | CloudFormation スタックにはサービスロールが関連付けられている必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [CloudFront.1](cloudfront-controls.md#cloudfront-1)  | CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [CloudFront.3](cloudfront-controls.md#cloudfront-3)  |  CloudFront ディストリビューションでは、転送中に暗号化が必要となります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CloudFront.4](cloudfront-controls.md#cloudfront-4)  |  CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CloudFront.5](cloudfront-controls.md#cloudfront-5)  |  CloudFront ディストリビューションでは、ログ記録を有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CloudFront.6](cloudfront-controls.md#cloudfront-6)  |  CloudFront ディストリビューションでは、WAF を有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CloudFront.7](cloudfront-controls.md#cloudfront-7)  |  CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  | 低 |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CloudFront.8](cloudfront-controls.md#cloudfront-8)  |  CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CloudFront.9](cloudfront-controls.md#cloudfront-9)  |  CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CloudFront.10](cloudfront-controls.md#cloudfront-10)  |  CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CloudFront.12](cloudfront-controls.md#cloudfront-12)  |  CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります。 |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudFront.13](cloudfront-controls.md#cloudfront-13)  |  CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります  |  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CloudFront.14](cloudfront-controls.md#cloudfront-14)  | CloudFront ディストリビューションにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [CloudFront.15](cloudfront-controls.md#cloudfront-15)  | CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります | AWS 基本的なセキュリティのベストプラクティス v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [CloudFront.16](cloudfront-controls.md#cloudfront-16)  | CloudFront ディストリビューションは Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります | AWS 基本的なセキュリティのベストプラクティス v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [CloudFront.17](cloudfront-controls.md#cloudfront-17)  | CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります | AWS 基本的なセキュリティのベストプラクティス v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [CloudTrail.1](cloudtrail-controls.md#cloudtrail-1)  | CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2)  |  CloudTrail は保管時の暗号化を有効にする必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudTrail.3](cloudtrail-controls.md#cloudtrail-3)  | 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります | NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、PCI DSS v3.2.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [CloudTrail.4](cloudtrail-controls.md#cloudtrail-4)  |  CloudTrail ログファイルの検証を有効にする必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、PCI DSS v3.2.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudTrail.5](cloudtrail-controls.md#cloudtrail-5)  |  CloudTrail 証跡は、Amazon CloudWatch Logs と統合する必要があります  | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudTrail.6](cloudtrail-controls.md#cloudtrail-6)  |  CloudTrail ログの保存に使用されるS3 バケットが一般公開されていないことを確認します  |  CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0、PCI DSS v4.0.1 |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によるトリガーと定期的なトリガー  | 
|  [CloudTrail.7](cloudtrail-controls.md#cloudtrail-7)  |  S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認します  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v3.0.0、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudTrail.9](cloudtrail-controls.md#cloudtrail-9)  | CloudTrail 証跡にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10)  | CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys | NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 定期的 | 
|  [CloudWatch.1](cloudwatch-controls.md#cloudwatch-1)  |  「ルート」ユーザーの使用に対するログメトリックフィルターとアラームが存在する必要があります  | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.2](cloudwatch-controls.md#cloudwatch-2)  |  不正な API コールに対するログメトリクスフィルターとアラームが存在することを確認する  | CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.3](cloudwatch-controls.md#cloudwatch-3)  |  MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します  | CIS AWS Foundations Benchmark v1.2.0  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.4](cloudwatch-controls.md#cloudwatch-4)  |  MFA なしの IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認します。 | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.5](cloudwatch-controls.md#cloudwatch-5)  |  CloudTrail の設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します。 | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.6](cloudwatch-controls.md#cloudwatch-6)  |  AWS マネジメントコンソール 認証失敗のログメトリクスフィルターとアラームが存在することを確認する  | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.7](cloudwatch-controls.md#cloudwatch-7)  |  カスタマー作成の CMK の無効化またはスケジュールされた削除に対してログメトリクスフィルターとアラームが存在することを確認します  | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.8](cloudwatch-controls.md#cloudwatch-8)  |  S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します  | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.9](cloudwatch-controls.md#cloudwatch-9)  |  AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する  | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.10](cloudwatch-controls.md#cloudwatch-10)  |  セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します  | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.11](cloudwatch-controls.md#cloudwatch-11)  |  ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します  | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.12](cloudwatch-controls.md#cloudwatch-12)  |  ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します  | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.13](cloudwatch-controls.md#cloudwatch-13)  |  ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します  | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.14](cloudwatch-controls.md#cloudwatch-14)  |  VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します  | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [CloudWatch.15](cloudwatch-controls.md#cloudwatch-15)  |  CloudWatch アラームには、指定されたアクションが設定されている必要があります  | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 |  高い  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [CloudWatch.16](cloudwatch-controls.md#cloudwatch-16)  |  CloudWatch ロググループは指定された期間保持する必要があります  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  定期的  | 
|  [CloudWatch.17](cloudwatch-controls.md#cloudwatch-17)  |  CloudWatch アラームアクションを有効にする必要があります  |  NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CodeArtifact.1](codeartifact-controls.md#codeartifact-1)  | CodeArtifact リポジトリにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [CodeBuild.1](codebuild-controls.md#codebuild-1)  | CodeBuild Bitbucket のソースリポジトリの URL には機密認証情報を含めないでください | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 重大 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [CodeBuild.2](codebuild-controls.md#codebuild-2)  |  CodeBuild プロジェクト環境変数に、クリアテキストの認証情報を含めるべきでない  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CodeBuild.3](codebuild-controls.md#codebuild-3)  |  CodeBuild S3 ログは暗号化する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CodeBuild.4](codebuild-controls.md#codebuild-4)  |  CodeBuild プロジェクト環境にはログ記録の設定が必要です  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [CodeBuild.7](codebuild-controls.md#codebuild-7)  | CodeBuild レポートグループのエクスポートは保管時に暗号化する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [CodeGuruProfiler.1](codeguruprofiler-controls.md#codeguruprofiler-1)  | CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [CodeGuruReviewer.1](codegurureviewer-controls.md#codegurureviewer-1)  | CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Cognito.1](cognito-controls.md#cognito-1)  | Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Cognito.2](cognito-controls.md#cognito-2)  | Cognito アイデンティティプールは認証されていない ID を許可すべきではありません | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [Cognito.3](cognito-controls.md#cognito-3)  | Cognito ユーザープールのパスワードポリシーには強力な設定が必要です | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Cognito.4](cognito-controls.md#cognito-4)  | Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [Cognito.5](cognito-controls.md#cognito-5)  | Cognito ユーザープールに対して MFA を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [Cognito.6](cognito-controls.md#cognito-6)  | Cognito ユーザープールでは削除保護を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [Config.1](config-controls.md#config-1)  | AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1 | 重大 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 定期的 | 
|  [Connect.1](connect-controls.md#connect-1)  | Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Connect.2](connect-controls.md#connect-2)  | Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [DataFirehose.1](datafirehose-controls.md#datafirehose-1)  | Firehose 配信ストリームは保管時に暗号化する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [DataSync.1](datasync-controls.md#datasync-1)  | DataSync タスクではログ記録が有効になっている必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [DataSync.2](datasync-controls.md#datasync-2)  | DataSync タスクにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Detective.1](detective-controls.md#detective-1)  | 検出動作グラフにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [DMS.1](dms-controls.md#dms-1)  |  Database Migration Service のレプリケーションインスタンスは、パブリックではない必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [DMS.2](dms-controls.md#dms-2)  | DMS 証明書にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [DMS.3](dms-controls.md#dms-3)  | DMS イベントサブスクリプションにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [DMS.4](dms-controls.md#dms-4)  | DMS レプリケーションインスタンスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [DMS.5](dms-controls.md#dms-5)  | DMS レプリケーションサブネットグループにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [DMS.6](dms-controls.md#dms-6)  |  DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。 | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [DMS.7](dms-controls.md#dms-7)  |  ターゲットデータベースの DMS レプリケーションタスクでは、ログ記録が有効になっている必要があります。 | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [DMS.8](dms-controls.md#dms-8)  |  ソースデータベースの DMS レプリケーションタスクでは、ログ記録が有効になっている必要があります。 | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [DMS.9](dms-controls.md#dms-9)  |  DMS エンドポイントは SSL を使用する必要があります。 | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [DMS.10](dms-controls.md#dms-10)  | Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [DMS.11](dms-controls.md#dms-11)  | MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [DMS.12](dms-controls.md#dms-12)  | Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [DMS.13](dms-controls.md#dms-13)  | DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [DocumentDB.1](documentdb-controls.md#documentdb-1)  |  Amazon DocumentDB クラスターは、保管中に暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [DocumentDB.2](documentdb-controls.md#documentdb-2)  |  Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [DocumentDB.3](documentdb-controls.md#documentdb-3)  |  Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [DocumentDB.4](documentdb-controls.md#documentdb-4)  |  Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [DocumentDB.5](documentdb-controls.md#documentdb-5)  |  Amazon DocumentDB では、削除保護が有効になっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [DocumentDB.6](documentdb-controls.md#documentdb-6)  | Amazon DocumentDB クラスターは、転送中に暗号化する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [DynamoDB.1](dynamodb-controls.md#dynamodb-1)  |  DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  定期的  | 
|  [DynamoDB.2](dynamodb-controls.md#dynamodb-2)  |  DynamoDB テーブルでは、ポイントインタイムリカバリが有効になっている必要があります。 |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [DynamoDB.3](dynamodb-controls.md#dynamodb-3)  |  DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [DynamoDB.4](dynamodb-controls.md#dynamodb-4)  |  DynamoDB テーブルはバックアッププランに含まれている必要があります  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  定期的  | 
|  [DynamoDB.5](dynamodb-controls.md#dynamodb-5)  | DynamoDB テーブルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [DynamoDB.6](dynamodb-controls.md#dynamodb-6)  |  DynamoDB テーブルで、削除保護が有効になっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [DynamoDB.7](dynamodb-controls.md#dynamodb-7)  | DynamoDB Accelerator クラスターは、転送中に暗号化する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [EC2.1](ec2-controls.md#ec2-1)  |  EBS スナップショットをパブリックに復元可能であってはなりません  |  AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [EC2.2](ec2-controls.md#ec2-2)  |  VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにする必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.3](ec2-controls.md#ec2-3)  |  アタッチされた EBS ボリュームは、保管時に暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.4](ec2-controls.md#ec2-4)  |  停止した EC2 インスタンスは、指定した期間後に削除する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  定期的  | 
|  [EC2.6](ec2-controls.md#ec2-6)  |  すべての VPC で VPC フローログ記録を有効にする必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [EC2.7](ec2-controls.md#ec2-7)  |  EBS のデフォルト暗号化を有効にする必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [EC2.8](ec2-controls.md#ec2-8)  |  EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.9](ec2-controls.md#ec2-9)  |  EC2 インスタンスは、パブリック IPv4 アドレスを未設定にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.10](ec2-controls.md#ec2-10)  |  Amazon EC2 サービス用に作成された VPC エンドポイントを使用するように Amazon EC2 を設定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [EC2.12](ec2-controls.md#ec2-12)  |  未使用の EC2 EIP を削除する必要があります  |  PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.13](ec2-controls.md#ec2-13)  | セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります | CIS AWS Foundations Benchmark v1.2.0、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によるトリガーと定期的なトリガー | 
|  [EC2.14](ec2-controls.md#ec2-14)  | セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります | CIS AWS Foundations Benchmark v1.2.0、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によるトリガーと定期的なトリガー | 
|  [EC2.15](ec2-controls.md#ec2-15)  |  EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないでください  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.16](ec2-controls.md#ec2-16)  |  未使用のネットワークアクセスコントロールリストを削除する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.17](ec2-controls.md#ec2-17)  |  EC2 インスタンスは複数の ENI を使用しないでください  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.18](ec2-controls.md#ec2-18)  |  セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります。 |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  高い  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [EC2.19](ec2-controls.md#ec2-19)  | セキュリティグループは、リスクの高いポートへの無制限アクセスを許可しないでください | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 重大 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によるトリガーと定期的なトリガー | 
|  [EC2.20](ec2-controls.md#ec2-20)  |  AWS Site-to-Site VPN トンネルが稼働している必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.21](ec2-controls.md#ec2-21)  |  ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.22](ec2-controls.md#ec2-22)  | 未使用の EC2 セキュリティグループを削除する必要があります |   | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [EC2.23](ec2-controls.md#ec2-23)  |  EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けないようにする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.24](ec2-controls.md#ec2-24)  |  EC2 準仮想化インスタンスタイプは使用しないでください  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.25](ec2-controls.md#ec2-25)  |  EC2 起動テンプレートはパブリック IP をネットワークインターフェイスに割り当ててはなりません  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.28](ec2-controls.md#ec2-28)  |  EBS ボリュームはバックアッププランに入っている必要があります  |  NIST SP 800-53 Rev. 5  |  低  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  定期的  | 
|  [EC2.33](ec2-controls.md#ec2-33)  | EC2 Transit Gateway アタッチメントにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.34](ec2-controls.md#ec2-34)  | EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.35](ec2-controls.md#ec2-35)  | EC2 ネットワークインターフェイスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.36](ec2-controls.md#ec2-36)  | EC2 カスタマーゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.37](ec2-controls.md#ec2-37)  | EC2 Elastic IP アドレスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.38](ec2-controls.md#ec2-38)  | EC2 インスタンスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.39](ec2-controls.md#ec2-39)  | EC2 インターネットゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.40](ec2-controls.md#ec2-40)  | EC2 NAT ゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.41](ec2-controls.md#ec2-41)  | EC2 ネットワーク ACL にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.42](ec2-controls.md#ec2-42)  | EC2 ルートテーブルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.43](ec2-controls.md#ec2-43)  | EC2 セキュリティグループにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.44](ec2-controls.md#ec2-44)  | EC2 サブネットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.45](ec2-controls.md#ec2-45)  | EC2 ボリュームにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.46](ec2-controls.md#ec2-46)  | Amazon VPC にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.47](ec2-controls.md#ec2-47)  | Amazon VPC エンドポイントサービスはタグ付けする必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.48](ec2-controls.md#ec2-48)  | Amazon VPC フローログにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.49](ec2-controls.md#ec2-49)  | Amazon VPC ピアリング接続にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.50](ec2-controls.md#ec2-50)  | EC2 VPN ゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.51](ec2-controls.md#ec2-51)  |  EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EC2.52](ec2-controls.md#ec2-52)  | EC2 Transit Gateway にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.53](ec2-controls.md#ec2-53)  | EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないようにする必要があります。 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [EC2.54](ec2-controls.md#ec2-54)  | EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可していないようにする必要があります。 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [EC2.55](ec2-controls.md#ec2-55)  | VPC は ECR API のインターフェイスエンドポイントで設定する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 定期的 | 
|  [EC2.56](ec2-controls.md#ec2-56)  | VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 定期的 | 
|  [EC2.57](ec2-controls.md#ec2-57)  | VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 定期的 | 
|  [EC2.58](ec2-controls.md#ec2-58)  | VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 定期的 | 
|  [EC2.60](ec2-controls.md#ec2-60)  | VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 定期的 | 
|  [EC2.170](ec2-controls.md#ec2-170)  | EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [EC2.171](ec2-controls.md#ec2-171)  | EC2 VPN 接続ではログ記録が有効になっている必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [EC2.172](ec2-controls.md#ec2-172)  | EC2 VPC パブリックアクセスのブロック設定はインターネットゲートウェイトラフィックをブロックする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.173](ec2-controls.md#ec2-173)  | 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [EC2.174](ec2-controls.md#ec2-174)  | EC2 DHCP オプションセットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.175](ec2-controls.md#ec2-175)  | EC2 起動テンプレートにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.176](ec2-controls.md#ec2-176)  | EC2 プレフィックスリストにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.177](ec2-controls.md#ec2-177)  | EC2 トラフィックミラーセッションにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.178](ec2-controls.md#ec2-178)  | EC2 トラフィックミラーフィルターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.179](ec2-controls.md#ec2-179)  | EC2 トラフィックミラーターゲットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EC2.180](ec2-controls.md#ec2-180)  | EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [EC2.181](ec2-controls.md#ec2-181)  | EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [EC2.182](ec2-controls.md#ec2-182)  | EBS スナップショットはパブリックにアクセスできません | AWS 基本的なセキュリティのベストプラクティス | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [ECR.1](ecr-controls.md#ecr-1)  |  ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります  | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [ECR.2](ecr-controls.md#ecr-2)  |  ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ECR.3](ecr-controls.md#ecr-3)  |  ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ECR.4](ecr-controls.md#ecr-4)  | ECR パブリックリポジトリにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [ECR.5](ecr-controls.md#ecr-5)  | ECR リポジトリはカスタマーマネージド AWS KMS keysで暗号化する必要があります | NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [ECS.2](ecs-controls.md#ecs-2)  |  Amazon ECS サービスには、パブリック IP アドレスを自動で割り当てないでください  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ECS.3](ecs-controls.md#ecs-3)  |  ECS タスク定義では、ホストのプロセス名前空間を共有しないでください  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ECS.4](ecs-controls.md#ecs-4)  |  ECS コンテナは、非特権として実行する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ECS.5](ecs-controls.md#ecs-5)  |  ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。 |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ECS.8](ecs-controls.md#ecs-8)  |  シークレットは、コンテナ環境の変数として渡さないでください  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ECS.9](ecs-controls.md#ecs-9)  |  ECS タスク定義にはログ設定が必要です。 |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ECS.10](ecs-controls.md#ecs-10)  |  ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。 | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ECS.12](ecs-controls.md#ecs-12)  |  ECS クラスターはコンテナインサイトを使用する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ECS.13](ecs-controls.md#ecs-13)  | ECS サービスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [ECS.14](ecs-controls.md#ecs-14)  | ECS クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [ECS.15](ecs-controls.md#ecs-15)  | ECS タスク定義にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [ECS.16](ecs-controls.md#ecs-16)  | ECS タスクは、パブリック IP アドレスを自動的に割り当てないでください | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [ECS.17](ecs-controls.md#ecs-17)  | ECS タスク定義ではホストネットワークモードを使用すべきではありません | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [ECS.18](ecs-controls.md#ecs-18)  | ECS タスク定義では、EFS ボリュームの転送時の暗号化を使用する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [ECS.19](ecs-controls.md#ecs-19)  | ECS キャパシティプロバイダーはマネージド終了保護を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [ECS.20](ecs-controls.md#ecs-20)  | ECS タスク定義では、Linux コンテナ定義で非ルートユーザーを設定する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [ECS.21](ecs-controls.md#ecs-21)  | ECS タスク定義は、Windows コンテナ定義で管理者以外のユーザーを設定する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [EFS.1](efs-controls.md#efs-1)  |  Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります。 AWS KMS  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [EFS.2](efs-controls.md#efs-2)  |  Amazon EFS ボリュームは、バックアッププランに含める必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [EFS.3](efs-controls.md#efs-3)  |  EFS アクセスポイントは、ルートディレクトリを適用する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EFS.4](efs-controls.md#efs-4)  |  EFS アクセスポイントは、ユーザー ID を適用する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EFS.5](efs-controls.md#efs-5)  | EFS アクセスポイントにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EFS.6](efs-controls.md#efs-6)  | EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [EFS.7](efs-controls.md#efs-7)  | EFS ファイルシステムでは、自動バックアップが有効になっている必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [EFS.8](efs-controls.md#efs-8)  | EFS ファイルシステムは保管時に暗号化する必要があります | CIS AWS Foundations Benchmark v5.0.0、 AWS 基盤セキュリティのベストプラクティス | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EKS.1](eks-controls.md#eks-1)  |  EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [EKS.2](eks-controls.md#eks-2)  |  EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EKS.3](eks-controls.md#eks-3)  | EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [EKS.6](eks-controls.md#eks-6)  | EKS クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EKS.7](eks-controls.md#eks-7)  | EKS ID プロバイダー設定にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EKS.8](eks-controls.md#eks-8)  |  EKS クラスターでは、監査ログ記録が有効になっている必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ElastiCache.1](elasticache-controls.md#elasticache-1)  | ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高い | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 定期的 | 
|  [ElastiCache.2](elasticache-controls.md#elasticache-2)  |  ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。 | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [ElastiCache.3](elasticache-controls.md#elasticache-3)  | ElastiCache レプリケーショングループでは自動フェイルオーバーを有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [ElastiCache.4](elasticache-controls.md#elasticache-4)  | ElastiCache レプリケーショングループは保管時に暗号化する必要があります |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [ElastiCache.5](elasticache-controls.md#elasticache-5)  | ElastiCache レプリケーショングループは、転送中に暗号化されている必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [ElastiCache.6](elasticache-controls.md#elasticache-6)  |  以前の Redis バージョンの ElastiCache (Redis OSS) レプリケーショングループでは、Redis OSS AUTH を有効にする必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [ElastiCache.7](elasticache-controls.md#elasticache-7)  | ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [ElasticBeanstalk.1](elasticbeanstalk-controls.md#elasticbeanstalk-1)  |  Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。 |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ElasticBeanstalk.2](elasticbeanstalk-controls.md#elasticbeanstalk-2)  |  Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高い  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [ElasticBeanstalk.3](elasticbeanstalk-controls.md#elasticbeanstalk-3)  |  Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります  | AWS Foundational Security Best Practices、PCI DSS v4.0.1 |  高い  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [ELB.1](elb-controls.md#elb-1)  |  Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [ELB.2](elb-controls.md#elb-2)  |  SSL/HTTPS リスナーを使用する Classic Load Balancer は、 AWS Certificate Manager によって提供される証明書を使用する必要があります。 |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ELB.3](elb-controls.md#elb-3)  |  Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ELB.4](elb-controls.md#elb-4)  |  Application Load Balancer は、http ヘッダーを削除するように設定する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ELB.5](elb-controls.md#elb-5)  |  アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ELB.6](elb-controls.md#elb-6)  | アプリケーション、ゲートウェイ、Network Load Balancer で削除保護を有効にする必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [ELB.7](elb-controls.md#elb-7)  |  Classic Load Balancer は、Connection Draining を有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  | 低 |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ELB.8](elb-controls.md#elb-8)  |  SSL リスナーを使用する Classic Load Balancer は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ELB.9](elb-controls.md#elb-9)  |  Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ELB.10](elb-controls.md#elb-10)  |  Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [ELB.12](elb-controls.md#elb-12)  |  Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ELB.13](elb-controls.md#elb-13)  |  Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [ELB.14](elb-controls.md#elb-14)  |  Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ELB.16](elb-controls.md#elb-16)  |  Application Load Balancer は AWS WAF ウェブ ACL に関連付ける必要があります  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ELB.17](elb-controls.md#elb-17)  | リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。 |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ELB.18](elb-controls.md#elb-18)  | Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります | AWS 基本的なセキュリティのベストプラクティス v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [ELB.21](elb-controls.md#elb-21)  |  Application Load Balancer および Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります  |  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ELB.22](elb-controls.md#elb-22)  |  ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります  |  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EMR.1](emr-controls.md#emr-1)  | Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [EMR.2](emr-controls.md#emr-2)  | Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 重大 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [EMR.3](emr-controls.md#emr-3)  | Amazon EMR セキュリティ設定は保管時に暗号化する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [EMR.4](emr-controls.md#emr-4)  | Amazon EMR セキュリティ設定は転送中に暗号化する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [ES.1](es-controls.md#es-1)  |  Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [ES.2](es-controls.md#es-2)  |  Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります  | AWS Foundational Security Best Practices、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5  |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [ES.3](es-controls.md#es-3)  |  Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ES.4](es-controls.md#es-4)  |  CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ES.5](es-controls.md#es-5)  |  Elasticsearch ドメインで監査ログ記録が有効になっている必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ES.6](es-controls.md#es-6)  |  Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ES.7](es-controls.md#es-7)  |  Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。 |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [ES.8](es-controls.md#es-8)  | Elasticsearch ドメインへの接続は TLS セキュリティポリシーを使用して暗号化する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [ES.9](es-controls.md#es-9)  | Elasticsearch ドメインには タグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EventBridge.2](eventbridge-controls.md#eventbridge-2)  | EventBridge イベントバスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [EventBridge.3](eventbridge-controls.md#eventbridge-3)  |  Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [EventBridge.4](eventbridge-controls.md#eventbridge-4)  |  EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [FraudDetector.1](frauddetector-controls.md#frauddetector-1)  | Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [FraudDetector.2](frauddetector-controls.md#frauddetector-2)  | Amazon Fraud Detector ラベルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [FraudDetector.3](frauddetector-controls.md#frauddetector-3)  | Amazon Fraud Detector の結果にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [FraudDetector.4](frauddetector-controls.md#frauddetector-4)  | Amazon Fraud Detector 変数にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [FSx.1](fsx-controls.md#fsx-1)  |  FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  | 定期的 | 
|  [FSx.2](fsx-controls.md#fsx-2)  | FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [FSx.3](fsx-controls.md#fsx-3)  | FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [FSx.4](fsx-controls.md#fsx-4)  | FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 定期的 | 
|  [FSx.5](fsx-controls.md#fsx-5)  | FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [Glue.1](glue-controls.md#glue-1)  | AWS Glue ジョブにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Glue.3](glue-controls.md#glue-3)  | AWS Glue 機械学習変換は保管時に暗号化する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [Glue.4](glue-controls.md#glue-4)  | AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります。 AWS Glue | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [GlobalAccelerator.1](globalaccelerator-controls.md#globalaccelerator-1)  | Global Accelerator アクセラレーターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [GuardDuty.1](guardduty-controls.md#guardduty-1)  |  GuardDuty を有効にする必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [GuardDuty.2](guardduty-controls.md#guardduty-2)  | GuardDuty フィルターにはタグを付ける必要があります  | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [GuardDuty.3](guardduty-controls.md#guardduty-3)  | GuardDuty IPSet タグを付ける必要があります  | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [GuardDuty.4](guardduty-controls.md#guardduty-4)  | GuardDuty ディテクターにはタグを付ける必要があります  | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [GuardDuty.5](guardduty-controls.md#guardduty-5)  | GuardDuty EKS 監査ログモニタリングを有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [GuardDuty.6](guardduty-controls.md#guardduty-6)  | GuardDuty Lambda Protection を有効にする必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [GuardDuty.7](guardduty-controls.md#guardduty-7)  | GuardDuty EKS ランタイムモニタリングを有効にする必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [GuardDuty.8](guardduty-controls.md#guardduty-8)  | EC2 の GuardDuty Malware Protection を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [GuardDuty.9](guardduty-controls.md#guardduty-9)  | GuardDuty RDS Protection を有効にする必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [GuardDuty.10](guardduty-controls.md#guardduty-10)  | GuardDuty S3 Protection を有効にする必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [GuardDuty.11](guardduty-controls.md#guardduty-11)  | GuardDuty ランタイムモニタリングを有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [GuardDuty.12](guardduty-controls.md#guardduty-12)  | GuardDuty ECS ランタイムモニタリングを有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [GuardDuty.13](guardduty-controls.md#guardduty-13)  | GuardDuty EC2 ランタイムモニタリングを有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [IAM.1](iam-controls.md#iam-1)  |  IAM ポリシーでは、完全な「\$1」管理権限を許可してはなりません  | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [IAM.2](iam-controls.md#iam-2)  |  IAM ユーザーには IAM ポリシーをアタッチしてはなりません  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [IAM.3](iam-controls.md#iam-3)  |  IAM ユーザーのアクセスキーは 90 日以内ごとに更新する必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.4](iam-controls.md#iam-4)  |  IAM ルートユーザーのアクセスキーが存在してはいけません  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.5](iam-controls.md#iam-5)  |  MFA は、コンソールパスワードを持つすべての IAM ユーザーに対して有効にする必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.6](iam-controls.md#iam-6)  |  ルートユーザーに対してハードウェア MFA を有効にする必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.7](iam-controls.md#iam-7)  |  IAM ユーザーのパスワードポリシーには強力な設定が必要です  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  定期的  | 
|  [IAM.8](iam-controls.md#iam-8)  |  未使用の IAM ユーザー認証情報は削除する必要があります  | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.9](iam-controls.md#iam-9)  |  ルートユーザーに対して MFA を有効にする必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.10](iam-controls.md#iam-10)  |  IAM ユーザーのパスワードポリシーには強力な設定が必要です  | NIST SP 800-171 Rev. 2、PCI DSS v3.2.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.11](iam-controls.md#iam-11)  |  IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認する  | CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.12](iam-controls.md#iam-12)  |  IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認する  | CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.13](iam-controls.md#iam-13)  |  IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認する  | CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.14](iam-controls.md#iam-14)  |  IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認する  | CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.15](iam-controls.md#iam-15)  |  IAM パスワードポリシーにおいて、14 文字以上のパスワードが要求されるようにする  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.16](iam-controls.md#iam-16)  |  IAM パスワードポリシーはパスワードの再使用を禁止しています  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.17](iam-controls.md#iam-17)  |  IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認する  | CIS AWS Foundations Benchmark v1.2.0、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.18](iam-controls.md#iam-18)  |  AWS サポート でインシデントを管理するためのサポートロールが作成されていることを確認する | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.19](iam-controls.md#iam-19)  |  すべての IAM ユーザーに対して MFA を有効にする必要があります  | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.21](iam-controls.md#iam-21)  |  作成する IAM カスタマー管理ポリシーにはサービスのワイルドカードアクションを許可しないでください  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [IAM.22](iam-controls.md#iam-22)  |  45 日間未使用の IAM ユーザー認証情報は削除する必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-171 Rev. 2 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [IAM.23](iam-controls.md#iam-23)  | IAM Access Analyzer アナライザーにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IAM.24](iam-controls.md#iam-24)  | IAM ロールにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IAM.25](iam-controls.md#iam-25)  | IAM ユーザーはタグ付けする必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IAM.26](iam-controls.md#iam-26) | IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [IAM.27](iam-controls.md#iam-27)  | IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [IAM.28](iam-controls.md#iam-28)  | IAM Access Analyzer の外部アクセスアナライザーを有効にする必要があります | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [Inspector.1](inspector-controls.md#inspector-1)  | Amazon Inspector EC2 スキャンを有効にする必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [Inspector.2](inspector-controls.md#inspector-2)  | Amazon Inspector ECR スキャンを有効にする必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [Inspector.3](inspector-controls.md#inspector-3)  | Amazon Inspector Lambda コードスキャンを有効にする必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [Inspector.4](inspector-controls.md#inspector-4)  | Amazon Inspector Lambda 標準スキャンを有効する必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [IoT.1](iot-controls.md#iot-1)  | AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoT.2](iot-controls.md#iot-2)  | AWS IoT Core 緩和アクションにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoT.3](iot-controls.md#iot-3)  | AWS IoT Core ディメンションにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoT.4](iot-controls.md#iot-4)  | AWS IoT Core オーソライザーにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoT.5](iot-controls.md#iot-5)  | AWS IoT Core ロールエイリアスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoT.6](iot-controls.md#iot-6)  | AWS IoT Core ポリシーにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTEvents.1](iotevents-controls.md#iotevents-1)  | AWS IoT Events 入力にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTEvents.2](iotevents-controls.md#iotevents-2)  | AWS IoT Events ディテクターモデルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTEvents.3](iotevents-controls.md#iotevents-3)  | AWS IoT Events アラームモデルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTSiteWise.1](iotsitewise-controls.md#iotsitewise-1)  | AWS IoT SiteWise アセットモデルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTSiteWise.2](iotsitewise-controls.md#iotsitewise-2)  | AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTSiteWise.3](iotsitewise-controls.md#iotsitewise-3)  | AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTSiteWise.4](iotsitewise-controls.md#iotsitewise-4)  | AWS IoT SiteWise ポータルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTSiteWise.5](iotsitewise-controls.md#iotsitewise-5)  | AWS IoT SiteWise プロジェクトにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTTwinMaker.1](iottwinmaker-controls.md#iottwinmaker-1)  | AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTTwinMaker.2](iottwinmaker-controls.md#iottwinmaker-2)  | AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTTwinMaker.3](iottwinmaker-controls.md#iottwinmaker-3)  | AWS IoT TwinMaker シーンにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTTwinMaker.4](iottwinmaker-controls.md#iottwinmaker-4)  | AWS IoT TwinMaker エンティティにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTWireless.1](iotwireless-controls.md#iotwireless-1)  | AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTWireless.2](iotwireless-controls.md#iotwireless-2)  | AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IoTWireless.3](iotwireless-controls.md#iotwireless-3)  | AWS IoT Wireless FUOTA タスクにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IVS.1](ivs-controls.md#ivs-1)  | IVS 再生キーペアにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IVS.2](ivs-controls.md#ivs-2)  | IVS 記録設定にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [IVS.3](ivs-controls.md#ivs-3)  | IVS チャネルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Keyspaces.1](keyspaces-controls.md#keyspaces-1)  | Amazon Keyspaces キースペースにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Kinesis.1](kinesis-controls.md#kinesis-1)  |  Kinesis Streams は、保管中に暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Kinesis.2](kinesis-controls.md#kinesis-2)  | Kinesis ストリームにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Kinesis.3](kinesis-controls.md#kinesis-3)  | Kinesis ストリームには適切なデータ保持期間が必要です | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [KMS.1](kms-controls.md#kms-1)  |  IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [KMS.2](kms-controls.md#kms-2)  |  IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用ないでください  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [KMS.3](kms-controls.md#kms-3)  |  AWS KMS keys 意図せずに削除しないでください  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [KMS.4](kms-controls.md#kms-4)  |  AWS KMS key ローテーションを有効にする必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [KMS.5](kms-controls.md#kms-5)  | KMS キーはパブリックにアクセスできません | AWS 基本的なセキュリティのベストプラクティス | 重大 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [Lambda.1](lambda-controls.md#lambda-1)  |  Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Lambda.2](lambda-controls.md#lambda-2)  |  Lambda 関数はサポートされているランタイムを使用する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Lambda.3](lambda-controls.md#lambda-3)  |  Lambda 関数は VPC 内に存在する必要があります  |  PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Lambda.5](lambda-controls.md#lambda-5)  |  VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [Lambda.6](lambda-controls.md#lambda-6)  | Lambda 関数にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Lambda.7](lambda-controls.md#lambda-7)  | Lambda 関数では AWS X-Ray アクティブトレースが有効になっている必要があります | NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [Macie.1](macie-controls.md#macie-1)  |  Amazon Macie を有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [Macie.2](macie-controls.md#macie-2)  | Macie 自動機密データ検出を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [MSK.1](msk-controls.md#msk-1)  |  MSK クラスターはブローカーノード間の転送時に暗号化される必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [MSK.2](msk-controls.md#msk-2)  |  MSK クラスターでは、拡張モニタリングを設定する必要があります  |  NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [MSK.3](msk-controls.md#msk-3)  | MSK Connect コネクタは転送中に暗号化する必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  | 変更によってトリガーされる | 
|  [MSK.4](msk-controls.md#msk-4)  | MSK クラスターではパブリックアクセスを無効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 重大 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [MSK.5](msk-controls.md#msk-5)  | MSK コネクタではログ記録が有効になっている必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [MSK.6](msk-controls.md#msk-6)  | MSK クラスターは認証されていないアクセスを無効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [MQ.2](mq-controls.md#mq-2)  | ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [MQ.4](mq-controls.md#mq-4)  | Amazon MQ ブローカーにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [MQ.5](mq-controls.md#mq-5)  |  ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります  | NIST SP 800-53 Rev. 5 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [MQ.6](mq-controls.md#mq-6)  |  RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。 | NIST SP 800-53 Rev. 5 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Neptune.1](neptune-controls.md#neptune-1)  |  Neptune DB クラスターは、保管中に暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  | 変更によってトリガーされる | 
|  [Neptune.2](neptune-controls.md#neptune-2)  |  Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  | 変更によってトリガーされる | 
|  [Neptune.3](neptune-controls.md#neptune-3)  |  Neptune DB クラスタースナップショットはパブリックにしないでください  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Neptune.4](neptune-controls.md#neptune-4)  |  Neptune DB クラスターでは、削除保護が有効になっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Neptune.5](neptune-controls.md#neptune-5)  |  Neptune DB クラスターでは、自動バックアップが有効になっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [Neptune.6](neptune-controls.md#neptune-6)  |  Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Neptune.7](neptune-controls.md#neptune-7)  |  Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Neptune.8](neptune-controls.md#neptune-8)  |  Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Neptune.9](neptune-controls.md#neptune-9)  |  Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [NetworkFirewall.1](networkfirewall-controls.md#networkfirewall-1)  |  Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [NetworkFirewall.2](networkfirewall-controls.md#networkfirewall-2)  |  Network Firewall ログ記録を有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [NetworkFirewall.3](networkfirewall-controls.md#networkfirewall-3)  |  Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [NetworkFirewall.4](networkfirewall-controls.md#networkfirewall-4)  |  Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。 |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [NetworkFirewall.5](networkfirewall-controls.md#networkfirewall-5)  |  Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。 |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [NetworkFirewall.6](networkfirewall-controls.md#networkfirewall-6)  |  ステートレスネットワークファイアウォールのルールグループを空にしないでください  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [NetworkFirewall.7](networkfirewall-controls.md#networkfirewall-7)  | Network Firewall ファイアウォールにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [NetworkFirewall.8](networkfirewall-controls.md#networkfirewall-8)  | Network Firewall ファイアウォールポリシーにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [NetworkFirewall.9](networkfirewall-controls.md#networkfirewall-9)  |  Network Firewall は削除保護を有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [NetworkFirewall.10](networkfirewall-controls.md#networkfirewall-10)  | Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [Opensearch.1](opensearch-controls.md#opensearch-1)  |  OpenSearch ドメインは保管中の暗号化を有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Opensearch.2](opensearch-controls.md#opensearch-2)  |  OpenSearch ドメインがパブリックにアクセスできないようにする必要があります  |  AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Opensearch.3](opensearch-controls.md#opensearch-3)  |  OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Opensearch.4](opensearch-controls.md#opensearch-4)  |  CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Opensearch.5](opensearch-controls.md#opensearch-5)  |  OpenSearch ドメインでは、監査ログ記録を有効にする必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Opensearch.6](opensearch-controls.md#opensearch-6)  |  OpenSearch ドメインには少なくとも 3 つのデータノードが必要です  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Opensearch.7](opensearch-controls.md#opensearch-7)  |  OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Opensearch.8](opensearch-controls.md#opensearch-8)  | OpenSearch ドメインへの接続は 最新の TLS セキュリティポリシーを使用して暗号化する必要があります |  AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [Opensearch.9](opensearch-controls.md#opensearch-9)  | OpenSearch ドメインにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Opensearch.10](opensearch-controls.md#opensearch-10)  |  OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Opensearch.11](opensearch-controls.md#opensearch-11)  | OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です | NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [PCA.1](pca-controls.md#pca-1)  |  AWS Private CA ルート認証機関を無効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  | 定期的 | 
|  [PCA.2](pca-controls.md#pca-2)  | AWS プライベート CA 認証機関にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [RDS.1](rds-controls.md#rds-1)  |  RDS スナップショットはプライベートである必要があります  |  AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.2](rds-controls.md#rds-2)  |  RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.3](rds-controls.md#rds-3)  |  RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.4](rds-controls.md#rds-4)  |  RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.5](rds-controls.md#rds-5)  |  RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります  | CIS AWS Foundations Benchmark v5.0.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.6](rds-controls.md#rds-6)  |  RDS DB インスタンスの拡張モニタリングを設定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [RDS.7](rds-controls.md#rds-7)  |  RDS クラスターでは、削除保護が有効になっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  | 中 |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.8](rds-controls.md#rds-8)  |  RDS DB インスタンスで、削除保護が有効になっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.9](rds-controls.md#rds-9)  | RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.10](rds-controls.md#rds-10)  |  IAM 認証は RDS インスタンス用に設定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.11](rds-controls.md#rds-11)  |  Amazon RDS インスタンスでは、自動バックアップが有効になっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [RDS.12](rds-controls.md#rds-12)  |  IAM 認証は RDS クラスター用に設定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.13](rds-controls.md#rds-13)  |  RDS 自動マイナーバージョンアップグレードを有効にする必要があります  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.14](rds-controls.md#rds-14)  |  Amazon Aurora クラスターはバックトラッキングを有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [RDS.15](rds-controls.md#rds-15)  |  RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります  | CIS AWS Foundations Benchmark v5.0.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.16](rds-controls.md#rds-16)  | Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低  | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [RDS.17](rds-controls.md#rds-17)  |  RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.18](rds-controls.md#rds-18)  |  RDS インスタンスは VPC 内にデプロイする必要があります  |   |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.19](rds-controls.md#rds-19)  |  重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.20](rds-controls.md#rds-20)  |  重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.21](rds-controls.md#rds-21)  |  重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.22](rds-controls.md#rds-22)  |  重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.23](rds-controls.md#rds-23)  |  RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.24](rds-controls.md#rds-24)  |  RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.25](rds-controls.md#rds-25)  |  RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.26](rds-controls.md#rds-26)  |  RDS DB インスタンスはバックアッププランで保護する必要があります  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  定期的  | 
|  [RDS.27](rds-controls.md#rds-27)  |  RDS DB クラスターは保管中に暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.28](rds-controls.md#rds-28)  | RDS DB クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [RDS.29](rds-controls.md#rds-29)  | RDS DB クラスタースナップショットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [RDS.30](rds-controls.md#rds-30)  | RDS DB インスタンスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [RDS.31](rds-controls.md#rds-31)  | RDS DB セキュリティグループにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [RDS.32](rds-controls.md#rds-32)  | RDS DB スナップショットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [RDS.33](rds-controls.md#rds-33)  | RDS DB サブネットグループはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [RDS.34](rds-controls.md#rds-34)  |  Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.35](rds-controls.md#rds-35)  |  RDS DB クラスターではマイナーバージョンの自動アップグレードを有効にしておく必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [RDS.36](rds-controls.md#rds-36)  | RDS for PostgreSQL DB インスタンスは CloudWatch Logs にログを発行する必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [RDS.37](rds-controls.md#rds-37)  | Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [RDS.38](rds-controls.md#rds-38)  | RDS for PostgreSQL DB インスタンスは転送中に暗号化する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [RDS.39](rds-controls.md#rds-39)  | RDS for MySQL DB インスタンスは転送中に暗号化する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [RDS.40](rds-controls.md#rds-40)  | RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [RDS.41](rds-controls.md#rds-41)  | RDS for SQL Server DB インスタンスは転送中に暗号化する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [RDS.42](rds-controls.md#rds-42)  | RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 定期的 | 
|  [RDS.43](rds-controls.md#rds-43)  | RDS DB プロキシの接続には TLS 暗号化が必要です | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [RDS.44](rds-controls.md#rds-44)  | RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [RDS.45](rds-controls.md#rds-45)  | Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [RDS.46](rds-controls.md#rds-46)  | RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません | AWS 基本的なセキュリティのベストプラクティス | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [RDS.47](rds-controls.md#rds-47)  | タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります | AWS 基本的なセキュリティのベストプラクティス | 低 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [RDS.48](rds-controls.md#rds-48)  | タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります | AWS 基本的なセキュリティのベストプラクティス | 低 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [RDS.50](rds-controls.md#rds-50)  |  RDS DB クラスターには十分なバックアップ保持期間を設定する必要があります  |  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) はい  |  変更によってトリガーされる  | 
|  [Redshift.1](redshift-controls.md#redshift-1)  |  Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Redshift.2](redshift-controls.md#redshift-2)  |  Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Redshift.3](redshift-controls.md#redshift-3)  |  Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [Redshift.4](redshift-controls.md#redshift-4)  |  Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Redshift.6](redshift-controls.md#redshift-6)  |  Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Redshift.7](redshift-controls.md#redshift-7)  |  Redshift クラスターは拡張 VPC ルーティングを使用する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Redshift.8](redshift-controls.md#redshift-8)  |  Amazon Redshift クラスターでデフォルトの管理者ユーザー名を使用しないでください  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Redshift.10](redshift-controls.md#redshift-10)  |  Redshift クラスターは保存時に暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [Redshift.11](redshift-controls.md#redshift-11)  | Redshift クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Redshift.12](redshift-controls.md#redshift-12)  | Redshift イベントサブスクリプション通知にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Redshift.13](redshift-controls.md#redshift-13)  | Redshift クラスタースナップショットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Redshift.14](redshift-controls.md#redshift-14)  | Redshift クラスターサブネットグループはタグ付けする必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Redshift.15](redshift-controls.md#redshift-15)  | Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [Redshift.16](redshift-controls.md#redshift-16)  | Redshift クラスターサブネットグループには、複数のアベイラビリティーゾーンからのサブネットが必要です | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [Redshift.17](redshift-controls.md#redshift-17)  | Redshift クラスターパラメータグループはタグ付けする必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Redshift.18](redshift-controls.md#redshift-18)  | Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [RedshiftServerless.1](redshiftserverless-controls.md#redshiftserverless-1)  | Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります | AWS 基本的なセキュリティのベストプラクティス | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [RedshiftServerless.2](redshiftserverless-controls.md#redshiftserverless-2)  | SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [RedshiftServerless.3](redshiftserverless-controls.md#redshiftserverless-3)  | Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります | AWS 基本的なセキュリティのベストプラクティス | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [RedshiftServerless.4](redshiftserverless-controls.md#redshiftserverless-4)  | Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys | NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 定期的 | 
|  [RedshiftServerless.5](redshiftserverless-controls.md#redshiftserverless-5)  | Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [RedshiftServerless.6](redshiftserverless-controls.md#redshiftserverless-6)  | Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [Route53.1](route53-controls.md#route53-1)  | Route 53 ヘルスチェックにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Route53.2](route53-controls.md#route53-2)  |  Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [S3.1](s3-controls.md#s3-1)  | S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [S3.2](s3-controls.md#s3-2)  | S3 汎用バケットではパブリック読み取りアクセスをブロックする必要があります | AWS Foundational Security Best Practices、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によるトリガーと定期的なトリガー | 
|  [S3.3](s3-controls.md#s3-3)  | S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。 | AWS Foundational Security Best Practices、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によるトリガーと定期的なトリガー | 
|  [S3.5](s3-controls.md#s3-5)  | S3 汎用バケットではリクエストに SSL を使用する必要があります | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [S3.6](s3-controls.md#s3-6)  | S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります AWS アカウント | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [S3.7](s3-controls.md#s3-7)  | S3 汎用バケットではクロスリージョンレプリケーションを使用する必要があります | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [S3.8](s3-controls.md#s3-8)  | S3 汎用バケットではパブリックアクセスをブロックする必要があります | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [S3.9](s3-controls.md#s3-9)  | S3 汎用バケットでは、サーバーアクセスログ記録が有効になっている必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [S3.10](s3-controls.md#s3-10)  | バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [S3.11](s3-controls.md#s3-11)  | S3 汎用バケットでは、イベント通知を有効にする必要があります | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [S3.12](s3-controls.md#s3-12)  | ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しません | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [S3.13](s3-controls.md#s3-13)  | S3 汎用バケットにはライフサイクル設定が必要です | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [S3.14](s3-controls.md#s3-14)  | S3 汎用バケットでは バージョニングが有効になっている必要があります | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [S3.15](s3-controls.md#s3-15)  | S3 汎用バケットでは Object Lock が有効になっている必要があります | NIST SP 800-53 Rev. 5、CI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [S3.17](s3-controls.md#s3-17)  | S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [S3.19](s3-controls.md#s3-19)  | S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 重大 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [S3.20](s3-controls.md#s3-20)  | S3 汎用バケットでは MFA 削除が有効になっている必要があります | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [S3.22](s3-controls.md#s3-22)  | S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [S3.23](s3-controls.md#s3-23)  | S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [S3.24](s3-controls.md#s3-24)  | S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります | AWS Foundational Security Best Practices、PCI DSS v4.0.1 | 高 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [S3.25](s3-controls.md#s3-25)  | S3 ディレクトリバケットにはライフサイクル設定が必要です | AWS 基本的なセキュリティのベストプラクティス | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [SageMaker.1](sagemaker-controls.md#sagemaker-1)  |  Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [SageMaker.2](sagemaker-controls.md#sagemaker-2)  |  SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SageMaker.3](sagemaker-controls.md#sagemaker-3)  |  ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SageMaker.4](sagemaker-controls.md#sagemaker-4)  | SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [SageMaker.5](sagemaker-controls.md#sagemaker-5)  | SageMaker モデルでは、ネットワーク分離を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [SageMaker.6](sagemaker-controls.md#sagemaker-6)  | SageMaker アプリのイメージ設定にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [SageMaker.7](sagemaker-controls.md#sagemaker-7)  | SageMaker イメージにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [SageMaker.8](sagemaker-controls.md#sagemaker-8)  | SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [SageMaker.9](sagemaker-controls.md#sagemaker-9)  |  SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります  |  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SageMaker.10](sagemaker-controls.md#sagemaker-10)  |  SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります  |  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SageMaker.11](sagemaker-controls.md#sagemaker-11)  |  SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります  |  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SageMaker.12](sagemaker-controls.md#sagemaker-12)  |  SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります  |  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SageMaker.13](sagemaker-controls.md#sagemaker-13)  |  SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります  |  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SageMaker.14](sagemaker-controls.md#sagemaker-14)  |  SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります  |  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SageMaker.15](sagemaker-controls.md#sagemaker-15)  |  SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります  |  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SecretsManager.1](secretsmanager-controls.md#secretsmanager-1)  |  Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [SecretsManager.2](secretsmanager-controls.md#secretsmanager-2)  |  自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SecretsManager.3](secretsmanager-controls.md#secretsmanager-3)  |  未使用の Secrets Manager のシークレットを削除します  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  定期的  | 
|  [SecretsManager.4](secretsmanager-controls.md#secretsmanager-4)  |  Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  定期的  | 
|  [SecretsManager.5](secretsmanager-controls.md#secretsmanager-5)  | Secrets Manager シークレットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [ServiceCatalog.1](servicecatalog-controls.md#servicecatalog-1)  | Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [SES.1](ses-controls.md#ses-1)  | SES 連絡先リストにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [SES.2](ses-controls.md#ses-2)  | SES 設定セットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [SES.3](ses-controls.md#ses-3)  | SES 設定セットでは、TLS を有効にして E メールを送信する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [SNS.1](sns-controls.md#sns-1)  | SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [SNS.3](sns-controls.md#sns-3)  | SNS トピックにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [SNS.4](sns-controls.md#sns-4)  | SNS トピックアクセスポリシーでパブリックアクセスを許可しないでください | AWS 基本的なセキュリティのベストプラクティス | 重大 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [SQS.1](sqs-controls.md#sqs-1)  |  Amazon SQS キューは保管中に暗号化する必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SQS.2](sqs-controls.md#sqs-2)  | SQS キューにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [SQS.3](sqs-controls.md#sqs-3)  | SQS キューアクセスポリシーでパブリックアクセスを許可しないでください | AWS 基本的なセキュリティのベストプラクティス | 重大 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [SSM.1](ssm-controls.md#ssm-1)  |  EC2 インスタンスは によって管理する必要があります AWS Systems Manager  |  AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SSM.2](ssm-controls.md#ssm-2)  |  Systems Manager によって管理される EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります  | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 |  高  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SSM.3](ssm-controls.md#ssm-3)  |  Systems Manager によって管理される EC2 インスタンスの関連付けコンプライアンスステータスは、COMPLIANT である必要があります  | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [SSM.4](ssm-controls.md#ssm-4)  |  SSM ドキュメントはパブリックにしないでください  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  重大  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [SSM.5](ssm-controls.md#ssm-5)  | SSM ドキュメントにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [SSM.6](ssm-controls.md#ssm-6)  | SSM Automation では CloudWatch ログ記録が有効になっている必要があります | AWS 基本的なセキュリティのベストプラクティス v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [SSM.7](ssm-controls.md#ssm-7)  | SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス v1.0.0 | 重大 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [StepFunctions.1](stepfunctions-controls.md#stepfunctions-1)  |  Step Functions ステートマシンでは、ログ記録がオンになっている必要があります  | AWS Foundational Security Best Practices v1.0.0、PCI DSS v4.0.1 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい  |  変更によってトリガーされる  | 
|  [StepFunctions.2](stepfunctions-controls.md#stepfunctions-2)  | Step Functions アクティビティにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Transfer.1](transfer-controls.md#transfer-1)  | Transfer Family ワークフローにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Transfer.2](transfer-controls.md#transfer-2)  | Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 定期的 | 
|  [Transfer.3](transfer-controls.md#transfer-3)  | Transfer Family コネクタでは、ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [Transfer.4](transfer-controls.md#transfer-4)  | Transfer Family 契約にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Transfer.5](transfer-controls.md#transfer-5)  | Transfer Family 証明書にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Transfer.6](transfer-controls.md#transfer-6)  | Transfer Family コネクタにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [Transfer.7](transfer-controls.md#transfer-7)  | Transfer Family プロファイルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-yes.png) はい | 変更によってトリガーされる | 
|  [WAF.1](waf-controls.md#waf-1)  |  AWS WAF Classic グローバルウェブ ACL ログ記録を有効にする必要があります  | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [WAF.2](waf-controls.md#waf-2)  |  AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [WAF.3](waf-controls.md#waf-3)  |  AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [WAF.4](waf-controls.md#waf-4)  |  AWS WAF Classic リージョンウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [WAF.6](waf-controls.md#waf-6)  |  AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [WAF.7](waf-controls.md#waf-7)  |  AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [WAF.8](waf-controls.md#waf-8)  |  AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [WAF.10](waf-controls.md#waf-10)  |  AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [WAF.11](waf-controls.md#waf-11)  |  AWS WAF ウェブ ACL ログ記録を有効にする必要があります  | NIST SP 800-53 Rev. 5、CI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  定期的  | 
|  [WAF.12](waf-controls.md#waf-12)  |  AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります  |  AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ  |  変更によってトリガーされる  | 
|  [WorkSpaces.1](workspaces-controls.md#workspaces-1)  | WorkSpaces ユーザーボリュームは保管時に暗号化する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 
|  [WorkSpaces.2](workspaces-controls.md#workspaces-2)  | WorkSpaces ルートボリュームは保管時に暗号化する必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/icon-no.png) いいえ | 変更によってトリガーされる | 

# Security Hub CSPM コントロールの変更ログ
<a name="controls-change-log"></a>

次の変更ログは、既存の AWS Security Hub CSPM コントロールの重要な変更を追跡します。これにより、コントロールの全体的なステータスとその検出結果のコンプライアンスステータスが変更される可能性があります。Security Hub CSPM がコントロールステータスをどのように評価するかは、「[コンプライアンスステータスとコントロールステータスの評価](controls-overall-status.md)」を参照してください。このログへの入力後、コントロールが利用可能なすべての AWS リージョン に影響するまで、変更に数日かかる場合があります。

このログは、2023 年 4 月以降に発生した変更を追跡します。コントロールを選択して、そのコントロールに関する追加の詳細を確認します。タイトルの変更は、90 日間コントロールの詳細な説明に記載されます。


| 変更日 | コントロール ID とタイトル | 変更点の説明 | 
| --- | --- | --- | 
| 2026 年 4 月 3 日 | [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) | このコントロールは、Amazon EKS クラスターが、サポートされている Kubernetes バージョンで実行されているかどうかをチェックします。Security Hub CSPM は、このコントロールのパラメータ値を `1.32` から `1.33` に変更しました。Amazon EKS での Kubernetes バージョン 1.32 の標準サポートは、2026 年 3 月 23 日に終了しました。  | 
| 2026 年 4 月 3 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda がこのランタイムを廃止したruby3.2ため、サポートされているランタイムの Lambda.2 パラメータに が含まれなくなりました。 | 
| 2026 年 3 月 24 日 | [[RDS.50] RDS DB クラスターには十分なバックアップ保持期間を設定する必要があります](rds-controls.md#rds-50) | Security Hub CSPM は、コントロールがすべての RDS DB クラスターをチェックすることを反映するようにコントロールタイトルを更新しました。 | 
| 2026 年 3 月 24 日 | [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5) | Security Hub CSPM は、コントロールが ECS タスク定義をチェックすることを反映するように、コントロールのタイトルと説明を更新しました。また、Security Hub CSPM は、`WINDOWS_SERVER`OS ファミリーを指定するように`runtimePlatform`設定された でタスク定義の結果を生成しないようにコントロールを更新しました。 | 
| 2026 年 3 月 9 日 | [AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります | Security Hub CSPM はこのコントロールを廃止し、 [AWS Foundational Security Best Practices (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)から削除しました。 は現在および将来のすべての API キャッシュでデフォルトの暗号化を提供する AWS AppSync ようになりました。 | 
| 2026 年 3 月 9 日 | [AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります | Security Hub CSPM はこのコントロールを廃止し、 [AWS Foundational Security Best Practices (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)から削除しました。 は現在および将来のすべての API キャッシュでデフォルトの暗号化を提供する AWS AppSync ようになりました。 | 
| 2026 年 3 月 4 日 | [ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。 | Security Hub CSPM はこのコントロールを廃止し、 [AWS Foundational Security Best Practices (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)および [NIST SP 800-53 Rev. 5 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)から削除しました。  | 
| 2026 年 2 月 5 日 | [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) | Security Hub CSPM は、2026 年 3 月 9 日にこのコントロールを廃止し、該当するすべての Security Hub CSPM 標準から を削除します。 AWS AppSync は、現在および将来のすべての API キャッシュでデフォルトの暗号化を提供します。 | 
| 2026 年 2 月 5 日 | [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) | Security Hub CSPM は、2026 年 3 月 9 日にこのコントロールを廃止し、該当するすべての Security Hub CSPM 標準から を削除します。 AWS AppSync は、現在および将来のすべての API キャッシュでデフォルトの暗号化を提供します。 | 
| 2026 年 1 月 16 日 | [[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。](ecs-controls.md#ecs-1) | Security Hub CSPM は、2026 年 2 月 16 日以降、このコントロールが廃止され、該当するすべての Security Hub CSPM 標準から削除されることを通知しました。 | 
| 2026 年 1 月 12 日 | [[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります](redshift-controls.md#redshift-4) | Security Hub CSPM は、このコントロールを更新して `loggingEnabled`パラメータを削除しました。 | 
| 2026 年 1 月 12 日 | [MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります | Security Hub CSPM はコントロールを廃止し、該当するすべての標準からコントロールを削除しました。Security Hub CSPM は、Amazon MQ の自動マイナーバージョンアップグレードの要件により、コントロールを廃止しました。 以前は、このコントロールは [AWS Foundational Security Best Practices (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)、[NIST SP 800-53 Rev. 5 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)、および [PCI DSS v4.0.1 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)に適用されていました。  | 
| 2026 年 1 月 12 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2) | このコントロールは、 AWS Lambda 関数のランタイム設定が、各言語でサポートされているランタイムの期待値と一致するかどうかをチェックします。Security Hub CSPM で、このコントロールのパラメータ値`dotnet10`として がサポートされるようになりました。このランタイムのサポート AWS Lambda が追加されました。 | 
| 2025 年 12 月 15 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2) | このコントロールは、 AWS Lambda 関数のランタイム設定が、各言語でサポートされているランタイムの期待値と一致するかどうかをチェックします。Security Hub CSPM は、このコントロールのパラメータ値`python3.9`として をサポートしなくなりました。 は、このランタイムをサポートし AWS Lambda なくなりました。 | 
| 2025 年 12 月 12 日 | [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) | このコントロールは、Amazon EKS クラスターが、サポートされている Kubernetes バージョンで実行されているかどうかをチェックします。Security Hub CSPM は、このコントロールのパラメータ値を `1.31` から `1.32` に変更しました。Amazon EKS での Kubernetes バージョン 1.31 の標準サポートは、2025 年 11 月 26 日に終了しました。  | 
| 2025 年 11 月 21 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2) | このコントロールは、 AWS Lambda 関数のランタイム設定が、各言語でサポートされているランタイムの期待値と一致するかどうかをチェックします。Security Hub CSPM は、このコントロールのパラメータ値`python3.14`として `nodejs24.x`と をサポートするようになりました。これらのランタイムのサポート AWS Lambda が追加されました。 | 
| 2025 年 11 月 14 日 | [[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします](ec2-controls.md#ec2-15) | Security Hub CSPM は、このコントロールの説明と根拠を更新しました。以前は、コントロールは `MapPublicIpOnLaunch`フラグを使用して Amazon VPC サブネットで IPv4 パブリック IP 自動割り当てのみをチェックしていました。このコントロールは、IPv4 と IPv6 の両方のパブリック IP 自動割り当てをチェックするようになりました。コントロールの説明と根拠が更新され、これらの変更が反映されました。 | 
| 2025 年 11 月 14 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2) | このコントロールは、 AWS Lambda 関数のランタイム設定が、各言語でサポートされているランタイムの期待値と一致するかどうかをチェックします。Security Hub CSPM で、このコントロールのパラメータ値として `java25` がサポートされるようになりました。 AWS Lambda はこのランタイムのサポートを追加しました。 | 
| 2025 年 11 月 13 日 | [[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sns-controls.md#sns-4) | Security Hub CSPM は、このコントロールの重要度を から `HIGH`に変更しました`CRITICAL`。Amazon SNS トピックへのパブリックアクセスを許可すると、セキュリティ上の重大なリスクが生じます。 | 
| 2025 年 11 月 13 日 | [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) | Security Hub CSPM は、このコントロールの重要度を から `HIGH`に変更しました`CRITICAL`。Amazon SQS キューへのパブリックアクセスを許可すると、セキュリティ上の重大なリスクが生じます。 | 
| 2025 年 11 月 13 日 | [[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7) | Security Hub CSPM は、このコントロールの重要度を から `MEDIUM`に変更しました`HIGH`。このタイプのランタイムモニタリングは、Amazon EKS リソースの脅威検出を強化します。 | 
| 2025 年 11 月 13 日 | [[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります](mq-controls.md#mq-3) | Security Hub CSPM は、このコントロールの重要度を から `LOW`に変更しました`MEDIUM`。マイナーバージョンアップグレードには、Amazon MQ ブローカーのセキュリティを維持するために必要なセキュリティパッチが含まれます。 | 
| 2025 年 11 月 13 日 | [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) | Security Hub CSPM は、このコントロールの重要度を から `LOW`に変更しました`MEDIUM`。ソフトウェアの更新には、OpenSearch ドメインのセキュリティを維持するために必要なセキュリティパッチが含まれます。 | 
| 2025 年 11 月 13 日 | [[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります](rds-controls.md#rds-7) | Security Hub CSPM は、このコントロールの重要度を から `LOW`に変更しました`MEDIUM`。削除保護は、Amazon RDS データベースの誤った削除や、不正なエンティティによる RDS データベースの削除を防ぐのに役立ちます。 | 
| 2025 年 11 月 13 日 | [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM は、このコントロールの重要度を から `LOW`に変更しました`MEDIUM`。Amazon CloudWatch Logs でのデータの AWS CloudTrail ログ記録は、監査アクティビティ、アラーム、その他の重要なセキュリティオペレーションに使用できます。 | 
| 2025 年 11 月 13 日 | [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM は、このコントロールの重要度を から `HIGH`に変更しました`MEDIUM`。 AWS Service Catalog ポートフォリオを特定のアカウントと共有することは意図的なことであり、ポートフォリオがパブリックにアクセス可能であるとは限りません。 | 
| 2025 年 11 月 13 日 | [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM は、このコントロールの重要度を から `MEDIUM`に変更しました`LOW`。Amazon CloudFront ディストリビューションのデフォルト`cloudfront.net`ドメイン名はランダムに生成されるため、セキュリティリスクが軽減されます。 | 
| 2025 年 11 月 13 日 | [[ELB.7] Classic Load Balancers は、Connection Draining を有効にする必要があります](elb-controls.md#elb-7) | Security Hub CSPM は、このコントロールの重要度を から `MEDIUM`に変更しました`LOW`。マルチインスタンスデプロイでは、他の正常なインスタンスは、接続ドレイニングなしでインスタンスが終了したときにユーザーセッションを処理できるため、運用への影響と可用性のリスクが軽減されます。 | 
| 2025 年 11 月 13 日 | [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM はこのコントロールを更新して、オプションの `validAdminUserNames`パラメータを削除しました。 | 
| 2025 年 10 月 23 日 | [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) | Security Hub CSPM は、2025 年 10 月 14 日にこのコントロールのタイトル、説明、およびルールに加えられた変更を元に戻しました。 | 
| 2025 年 10 月 22 日 | [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM は、このコントロールを更新し、カスタムオリジンを使用する Amazon CloudFront ディストリビューションの検出結果を生成しないようにしました。  | 
| 2025 年 10 月 16 日 | [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) | このコントロールは、Amazon CloudFront ディストリビューションが推奨 TLS セキュリティポリシーを使用するように設定されているかどうかを確認します。Security Hub CSPM は、このコントロールのパラメータ値として `TLSv1.2_2025` と `TLSv1.3_2025` をサポートするようになりました。 | 
| 2025 年 10 月 14 日 | [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) | Security Hub CSPM は、このコントロールのタイトル、説明、およびルールを変更しました。以前は、コントロールは [elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) ルールを使用して、Redis OSS クラスターとすべてのレプリケーショングループをチェックしていました。コントロールのタイトルは、*ElastiCache (Redis OSS) クラスターで自動バックアップを有効にする必要があります*です。 このコントロールは、[elasticache-automatic-backup-check-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html) ルールを使用して、Redis OSS クラスターとすべてのレプリケーショングループに加え、Valkey クラスターをチェックするようになりました。新しいタイトルと説明は、コントロールが両方のタイプのクラスターをチェックすることを反映しています。　  | 
| 2025 年 10 月 5 日 | [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) | このコントロールのルールが更新され、Amazon OpenSearch Service ドメインに利用可能なソフトウェア更新がなく、更新ステータスが対象外である場合にも `PASSED` 検出結果を生成するようになりました。以前は、このコントロールは OpenSearch ドメインに利用可能なソフトウェア更新がなく、更新ステータスが完了した場合にのみ `PASSED` 検出結果を生成していました。  | 
| 2025 年 9 月 24 日 | [Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください [RedshiftServerless.7] Redshift サーバーレス名前空間では、デフォルトのデータベース名を使用しないでください | Security Hub CSPM はこれらのコントロールを廃止し、すべての該当する標準からそれらを削除しました。Security Hub CSPM は、コントロールの `FAILED` 検出結果の効果的な修復を妨げた固有の Amazon Redshift の制限により、これらのコントロールを廃止しました。 以前、このコントロールは、[AWS Foundational Security Best Practices (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)と[NIST SP 800-53 Rev. 5 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)に適用されていました。Redshift.9 コントロールは、[AWS Control Tower サービスマネージド標準](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)にも適用されていました。  | 
| 2025 年 9 月 9 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2) | このコントロールは、 AWS Lambda 関数のランタイム設定が、各言語でサポートされているランタイムの期待値と一致するかどうかをチェックします。Security Hub CSPM は、このコントロールのパラメータ値として `nodejs18.x` をサポートしなくなりました。 AWS Lambda は Node.js 18 ランタイムをサポートしなくなりました。 | 
| 2025 年 8 月 13 日 | [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) | Security Hub CSPM は、このコントロールのタイトルと説明を変更しました。新しいタイトルと説明は、コントロールが Amazon SageMaker AI でホストされているモデルの `EnableNetworkIsolation` パラメータの設定をチェックしていることをより正確に反映しています。以前は、このコントロールのタイトルは *SageMaker models should block inbound traffic* でした。  | 
| 2025 年 8 月 13 日 | [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6) | Security Hub CSPM は、このコントロールのタイトルと説明を変更しました。新しいタイトルと説明は、コントロールが実行するチェックの範囲と性質をより正確に反映しています。以前は、このコントロールのタイトルは *EFS mount targets should not be associated with a public subnet* でした。  | 
| 2025 年 7 月 24 日 | [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) | このコントロールは、Amazon EKS クラスターが、サポートされている Kubernetes バージョンで実行されているかどうかをチェックします。Security Hub CSPM は、このコントロールのパラメータ値を `1.30` から `1.31` に変更しました。Amazon EKS での Kubernetes バージョン 1.30 の標準サポートは、2025 年 7 月 23 日に終了しました。  | 
| 2025 年 7 月 23 日 | [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) | Security Hub CSPM は、このコントロールのタイトルを変更しました。新しいタイトルは、このコントロールが起動パラメータを指定する Amazon EC2 スポットフリートリクエストのみをチェックすることをより正確に反映しています。以前は、このコントロールのタイトルは *EC2 Spot Fleet requests should enable encryption for attached EBS volumes* でした。  | 
| 2025 年 6 月 30 日 | [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13) | Security Hub CSPM は、[PCI DSS v4.0.1 標準](pci-standard.md)からこのコントロールを削除しました。PCI DSS v4.0.1 では、パスワードに記号を使用することを明示的に要求していません。  | 
| 2025 年 6 月 30 日 | [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17) | Security Hub CSPM は、このコントロールを [NIST SP 800-171 Revision 2 標準](standards-reference-nist-800-171.md)から削除しました。NIST SP 800-171 Revision 2 では、パスワードの有効期限を 90 日以内に設定することを明示的に要求していません。  | 
| 2025 年 6 月 30 日 | [[RDS.16] Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります](rds-controls.md#rds-16) | Security Hub CSPM は、このコントロールのタイトルを変更しました。新しいタイトルは、コントロールが Amazon Aurora DB クラスターのみをチェックすることをより正確に反映しています。以前は、このコントロールのタイトルは *RDS DB clusters should be configured to copy tags to snapshots* でした。 | 
| 2025 年 6 月 30 日 | [[SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります](sagemaker-controls.md#sagemaker-8) | このコントロールは、Amazon SageMaker AI ノートブックインスタンスに指定されたプラットフォーム識別子に基づいて、ノートブックインスタンスがサポートされているプラットフォームで実行されるように設定されているかどうかチェックします。Security Hub CSPM は、このコントロールのパラメータ値として `notebook-al2-v1` および `notebook-al2-v2` をサポートしなくなりました。これらのプラットフォームで実行されるノートブックインスタンスは、2025 年 6 月 30 日をもってサポートは終了しました。 | 
| 2025 年 5 月 30 日 | [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10) | Security Hub CSPM は、[PCI DSS v4.0.1 標準](pci-standard.md)からこのコントロールを削除しました。このコントロールは、IAM ユーザーのアカウントパスワードポリシーが、パスワードの最小長 7 文字を含む最小要件を満たしているかどうかをチェックします。PCI DSS v4.0.1 では、8 文字以上のパスワードが必要です。このコントロールは、異なるパスワード要件を持つ PCI DSS v3.2.1 標準に引き続き適用されます。 PCI DSS v4.0.1 の要件に照らしてアカウントのパスワードポリシーを評価するには、[IAM.7 コントロール](iam-controls.md#iam-7)を使用できます。このコントロールでは、8 文字以上のパスワードが必要です。また、パスワードの長さやその他のパラメータのカスタム値もサポートしています。IAM.7 コントロールは、Security Hub CSPM における PCI DSS v4.0.1 標準の一部です。  | 
| 2025 年 5 月 8 日 | [RDS.46] RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません | Security Hub CSPM は、すべての AWS リージョンで RDS.46 コントロールのリリースをロールバックしました。以前は、このコントロールは AWS Foundational Security Best Practices (FSBP) 標準をサポートしていました。 | 
| 2025 年 4 月 7 日 | [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) | このコントロールは、Application Load Balancer 用の HTTPS リスナーまたは Network Load Balancer 用の TLS リスナーが、推奨されるセキュリティポリシーを使用して転送中のデータを暗号化するように設定されているかどうかをチェックします。Security Hub CSPM は、このコントロールで `ELBSecurityPolicy-TLS13-1-2-Res-2021-06` と `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` の 2 つの追加のパラメータ値をサポートするようになりました。 | 
| 2025 年 3 月 27 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2) | このコントロールは、 AWS Lambda 関数のランタイム設定が、各言語でサポートされているランタイムの期待値と一致するかどうかを確認します。Security Hub CSPM は、このコントロールのパラメータ値`ruby3.4`として をサポートするようになりました。このランタイムのサポート AWS Lambda が追加されました。 | 
| 2025 年 3 月 26 日 | [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、サポートされている Kubernetes バージョンで実行されるかどうかをチェックします。`oldestVersionSupported` パラメータの場合、Security Hub CSPM は値を `1.29` から `1.30` に変更しました。現在、サポートされている最も古い Kubernetes バージョンは `1.30` です。 | 
| 2025 年 3 月 10 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2) | このコントロールは、 AWS Lambda 関数のランタイム設定が、各言語でサポートされているランタイムの期待値と一致するかどうかを確認します。Security Hub CSPM は、このコントロールのパラメータ値`python3.8`として `dotnet6`および をサポートしなくなりました。 は、これらのランタイムをサポートし AWS Lambda なくなりました。 | 
| 2025 年 3 月 7 日 | [[RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります](rds-controls.md#rds-18) | Security Hub CSPM は、NIST SP 800-53 Rev. 5 要件の AWS Foundational Security Best Practices 標準および自動チェックからこのコントロールを削除しました。Amazon EC2-Classic ネットワークが廃止されたため、Amazon Relational Database Service (Amazon RDS) インスタンスを VPC の外部にデプロイできなくなりました。コントロールは引き続き [AWS Control Tower サービスマネージド標準](service-managed-standard-aws-control-tower.md)の一部です。 | 
| 2025 年 1 月 10 日 | [Glue.2] AWS Glue ジョブではログ記録を有効にする必要があります | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。 | 
| 2024 年 12 月 20 日 | EC2.61～EC2.169  | Security Hub CSPM は、EC2.61 から EC2.169 までのコントロールのリリースをロールバックしました。 | 
| 2024 年 12 月 12 日 | [[RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります](rds-controls.md#rds-23)  | RDS.23 は、Amazon Relational Database Service (Amazon RDS) クラスターまたはインスタンスがデータベースエンジンのデフォルトポート以外のポートを使用しているかどうかをチェックします。コントロールを更新し、基盤となる AWS Config ルールがクラスターの一部である RDS インスタンスNOT\$1APPLICABLEに対して の結果を返すようにしました。 | 
| 2024 年 12 月 2 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub CSPM では、パラメータとして nodejs22.x がサポートされるようになりました。 | 
| 2024 年 11 月 26 日 | [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2)  | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、サポートされている Kubernetes バージョンで実行されるかどうかをチェックします。現在、サポートされている最も古いバージョンは 1.29 です。 | 
| 2024 年 11 月 20 日 | [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)  | Config.1 AWS Config は、 が有効になっているかどうかをチェックし、サービスにリンクされたロールを使用し、有効なコントロールのリソースを記録します。Security Hub CSPM は、このコントロールの重要度を `MEDIUM` から `CRITICAL` に引き上げました。Security Hub CSPM は、Config.1 の検出に失敗した[新しいステータスコードとステータス理由](controls-findings-create-update.md#control-findings-asff-compliance)も追加しました。これらの変更は、Security Hub CSPM コントロールのオペレーションに対する Config.1 の重要性を反映しています。 AWS Config または リソースの記録が無効になっている場合、不正確なコントロール結果を受け取る可能性があります。 Config.1 の `PASSED` 検出結果を受け取るには、有効な Security Hub CSPM コントロールに対応するリソースのリソース記録をオンにし、組織で必要のないコントロールを無効にします。Security Hub CSPM AWS Config の を設定する手順については、「」を参照してください[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)。Security Hub CSPM のコントロールとその対応するリソースのリストについては、「[コントロールの検出結果に必要な AWS Config リソース](controls-config-resources.md)」を参照してください。 | 
| 2024 年 11 月 12 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub CSPM では、パラメータとして python3.13 がサポートされるようになりました。 | 
| 2024 年 10 月 11 日 | ElastiCache コントロール  | ElastiCache.3、ElastiCache.4、ElastiCache.5、および ElastiCache.7 のコントロールのタイトルを変更しました。コントロールは ElastiCache for Valkey にも適用されるため、タイトルは Redis OSS で言及されなくなりました。 | 
| 2024 年 9 月 27 日 | [[ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります](elb-controls.md#elb-4)  | タイトルを「Application Load Balancer は、httpヘッダーを削除するように設定する必要があります」から「Application Load Balancer は無効な http ヘッダーを削除するように設定する必要があります」に変更しました。 | 
| 2024 年 8 月 19 日 | DMS.12 および ElastiCache コントロールのタイトルの変更  | DMS.12 および ElastiCache.1 から ElastiCache.7 までのコントロールのタイトルを変更しました。Amazon ElastiCache (Redis OSS) サービスの名前変更を反映するように、これらのタイトルを変更しました。 | 
| 2024 年 8 月 15 日 | [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)  | Config.1 AWS Config は、 が有効になっているかどうかをチェックし、サービスにリンクされたロールを使用し、有効なコントロールのリソースを記録します。Security Hub CSPM は、includeConfigServiceLinkedRoleCheck という名前のカスタムコントロールパラメータを追加しました。このパラメータを false に設定することで、 AWS Config がサービスにリンクされたロールを使用するかどうかの確認をオプトアウトできます。 | 
| 2024 年 7 月 31 日 | [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1)  | コントロールのタイトルを「AWS IoT Core セキュリティプロファイルにタグ付けする必要があります」から「AWS IoT Device Defender セキュリティプロファイルにタグ付けする必要があります」に変更しました。 | 
| 2024 年 7 月 29 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub CSPM では、パラメータとして nodejs16.x がサポートされなくなりました。 | 
| 2024 年 7 月 29 日 | [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2)  | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、サポートされている Kubernetes バージョンで実行されるかどうかをチェックします。サポートされている最も古いバージョンは 1.28 です。 | 
| 2024 年 6 月 25 日 | [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)  | このコントロール AWS Config は、 が有効になっているかどうかをチェックし、サービスにリンクされたロールを使用し、有効なコントロールのリソースを記録します。Security Hub CSPM は、コントロールの評価を反映するようにコントロールのタイトルを更新しました。 | 
| 2024 年 6 月 14 日 | [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34)  | このコントロールは、Amazon Aurora MySQL DB クラスターが監査ログを Amazon CloudWatch Logs に発行するように設定されているかどうかをチェックします。Security Hub CSPM は、Aurora Serverless v1 DB クラスターの検出結果を生成しないようにコントロールを更新しました。 | 
| 2024 年 6 月 11 日 | [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2)  | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、サポートされている Kubernetes バージョンで実行されるかどうかをチェックします。サポートされている最も古いバージョンは 1.27 です。 | 
| 2024 年 6 月 10 日 | [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)  | このコントロール AWS Config は、 が有効で、 AWS Config リソース記録が有効になっているかどうかを確認します。以前は、コントロールは、すべてのリソースに対して記録を設定した場合のみ PASSED 検出結果を生成していました。Security Hub CSPM は、有効なコントロールに必要なリソースの記録が有効になっているときに PASSED 検出結果を生成するようにコントロールを更新しました。コントロールも更新され、 AWS Config サービスにリンクされたロールが使用されているかどうかが確認されました。これにより、必要なリソースを記録するためのアクセス許可が提供されます。 | 
| 2024 年 5 月 8 日 | [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20)  | このコントロールは、Amazon S3 の汎用バージョンバケットで多要素認証 (MFA) 削除が有効になっているかどうかをチェックします。以前は、コントロールはライフサイクル設定を持つバケットの FAILED 検出結果を生成していました。ただし、ライフサイクル設定を持つバケットでは、バージョニングによる MFA 削除を有効にすることはできません。Security Hub CSPM は、ライフサイクル設定を持つバケットの検出結果を生成しないようにコントロールを更新しました。コントロールの説明は、現在の動作を反映して更新されました。 | 
| 2024 年 5 月 2 日 | [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2)  | Security Hub CSPM は、Amazon EKS クラスターが成功の検出結果を生成するために実行できる Kubernetes のサポートされている最も古いバージョンを更新しました。現在サポートされている最も古いバージョンは Kubernetes 1.26 です。 | 
| 2024 年 4 月 30 日 | [[CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります](cloudtrail-controls.md#cloudtrail-3)  | コントロールのタイトルを「CloudTrail を有効にする必要があります」から「少なくとも 1 つの CloudTrail 証跡を有効にする必要があります」に変更しました。このコントロールは現在、 AWS アカウント で少なくとも 1 つの CloudTrail 証跡が有効になっている場合にPASSED検出結果を生成します。現在の動作を正確に反映するように、タイトルと説明が変更されました。 | 
| 2024 年 4 月 29 日 | [[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある](autoscaling-controls.md#autoscaling-1)  | コントロールのタイトルを「Classic Load Balancer に関連付けられた Auto Scaling グループはロードバランサーのヘルスチェックを使用する必要があります」から「ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要があります」に変更しました。このコントロールは現在、アプリケーション、ゲートウェイ、ネットワーク、Classic Load Balancer を評価します。現在の動作を正確に反映するように、タイトルと説明が変更されました。 | 
| 2024 年 4 月 19 日 | [[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)  | コントロール AWS CloudTrail は、 が有効で、読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡で設定されているかどうかを確認します。以前は、アカウントで CloudTrail が有効で、少なくとも 1 つのマルチリージョン証跡が設定されていると、証跡がキャプチャされた読み取りおよび書き込み管理イベントがない場合でも、コントロールは誤って PASSED 検出結果を生成していました。コントロールは、CloudTrail が有効で、読み取りおよび書き込み管理イベントをキャプチャする少なくとも 1 つのマルチリージョン証跡で設定されている場合にのみ、PASSED 検出結果を生成するようになりました。 | 
| 2024 年 4 月 10 日 | [Athena.1] Athena ワークグループは、保管中に暗号化する必要があります  | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。Athena ワークグループは、Amazon Simple Storage Service (Amazon S3) バケットにログを送信します。Amazon S3 では、新規および既存の S3 バケットで S3 マネージドキー (SS3-S3) によるデフォルトの暗号化を提供するようになりました。 | 
| 2024 年 4 月 10 日 | [AutoScaling.4] Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を超えることはできません  | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのメタデータ応答ホップ制限はワークロードによって異なります。 | 
| 2024 年 4 月 10 日 | [CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります  | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。 AWS CloudFormation スタックを Amazon SNS トピックと統合することは、もはやセキュリティのベストプラクティスではありません。重要な CloudFormation スタックを SNS トピックと統合することは便利ですが、すべてのスタックに必要というわけではありません。 | 
| 2024 年 4 月 10 日 | [CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください  | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。CodeBuild プロジェクトで特権モードを有効にしても、顧客環境に追加のリスクは課されません。 | 
| 2024 年 4 月 10 日 | [IAM.20] ルートユーザーの使用を避けます  | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。このコントロールの目的は、別のコントロール [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1) でカバーされています。 | 
| 2024 年 4 月 10 日 | [SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります  | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。SNS トピックの配信ステータスのログ記録は、もはやセキュリティのベストプラクティスではありません。重要な SNS トピックの配信ステータスのログ記録は便利ですが、すべてのトピックに必要というわけではありません。 | 
| 2024 年 4 月 10 日 | [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10)  | Security Hub CSPM は、このコントロールを AWS Foundational Security Best Practices および Service-Managed Standard: から削除しました AWS Control Tower。このコントロールの目的は、[[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13) と [[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります](s3-controls.md#s3-14) の 2 つの他のコントロールでカバーされています。このコントロールは依然として NIST SP 800-53 Rev. 5 の一部です。 | 
| 2024 年 4 月 10 日 | [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11)  | Security Hub CSPM は、このコントロールを AWS Foundational Security Best Practices および Service-Managed Standard: から削除しました AWS Control Tower。S3 バケットのイベント通知が役立つ場合もありますが、これは一般的なセキュリティのベストプラクティスではありません。このコントロールは依然として NIST SP 800-53 Rev. 5 の一部です。 | 
| 2024 年 4 月 10 日 | [[SNS.1] SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS](sns-controls.md#sns-1)  | Security Hub CSPM は、このコントロールを AWS Foundational Security Best Practices および Service-Managed Standard: から削除しました AWS Control Tower。デフォルトでは、SNS はディスク暗号化を使用して保管中のトピックを暗号化します。詳細については、「[データの暗号化](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html)」を参照してください。 AWS KMS を使用してトピックを暗号化することは、セキュリティのベストプラクティスとしては推奨されなくなりました。このコントロールは依然として NIST SP 800-53 Rev. 5 の一部です。 | 
| 2024 年 4 月 8 日 | [[ELB.6] アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護を有効にする必要があります](elb-controls.md#elb-6)  | コントロールのタイトルを「Application Load Balancer の削除保護を有効化する必要があります」から「アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護が有効になっている必要があります」に変更しました。このコントロールは現在、アプリケーション、ゲートウェイ、Network Load Balancer を評価します。現在の動作を正確に反映するように、タイトルと説明が変更されました。 | 
| 2024 年 3 月 22 日 | [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8)  | コントロールのタイトルを「OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります」から「OpenSearch ドメインへの接続は最新の TLS セキュリティポリシー を使用して暗号化する必要があります」に変更しました。以前は、コントロールは OpenSearch ドメインへの接続で TLS 1.2 が使用されたかどうかのみを確認していました。コントロールは、OpenSearch ドメインが最新の TLS セキュリティポリシーを使用して暗号化されている場合に PASSED 検出結果を生成するようになりました。コントロールのタイトルと説明は、現在の動作を反映して更新されました。 | 
| 2024 年 3 月 22 日 | [[ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](es-controls.md#es-8)  | コントロールのタイトルを「Elasticsearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります」から「Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシー を使用して暗号化する必要があります」に変更しました。以前は、コントロールは Elasticsearch ドメインへの接続で TLS 1.2 が使用されたかどうかのみを確認していました。コントロールは、Elasticsearch ドメインが最新の TLS セキュリティポリシーを使用して暗号化されている場合に PASSED 検出結果を生成するようになりました。コントロールのタイトルと説明は、現在の動作を反映して更新されました。 | 
| 2024 年 3 月 12 日 | [[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)  | タイトルを「S3 パブリックアクセスブロック設定を有効にする必要があります」から「S3 汎用バケットではパブリックアクセスブロック設定を有効にする必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります](s3-controls.md#s3-2)  | タイトルを「S3 バケットはパブリック読み取りアクセスを禁止する必要があります」から「S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。](s3-controls.md#s3-3)  | タイトルを「S3 バケットではパブリック書き込みアクセスを禁止する必要があります」から「S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)  | タイトルを「S3 バケットでは Secure Socket Layer を使用するリクエストが必要です」から「S3 汎用バケットでは SSL を使用するリクエストが必要です」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります AWS アカウント](s3-controls.md#s3-6)  | タイトルを「バケットポリシーで他の AWS アカウント に付与される S3 アクセス許可を制限する必要があります」から「S3 汎用バケットポリシーは他の AWS アカウントへのアクセスを制限する必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7)  | タイトルを「S3 バケットではクロスリージョンレプリケーションが有効になっている必要があります」から「S3 汎用バケットではクロスリージョンレプリケーションを使用する必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7)  | タイトルを「S3 バケットではクロスリージョンレプリケーションが有効になっている必要があります」から「S3 汎用バケットではクロスリージョンレプリケーションを使用する必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)  | タイトルを「S3 パブリックアクセスブロック設定はバケットレベルで有効にする必要があります」から「S3 汎用バケットはパブリックアクセスをブロックする必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります](s3-controls.md#s3-9)  | タイトルを「S3 バケットサーバーのアクセスログ記録を有効にする必要があります」から「S3 汎用バケット のサーバーアクセスログ記録を有効にする必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10)  | タイトルを「バージョニングが有効になっている S3 バケットはライフサイクルポリシーを設定する必要があります」から「バージョニングが有効になっている S3 汎用バケットはライフサイクルポリシーを設定する必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11)  | タイトルを「S3 バケットではイベント通知が有効になっている必要があります」から「S3 汎用バケットではイベント通知が有効になっている必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12)  | タイトルを「S3 アクセスコントロールリスト (ACLs) はバケットへのユーザーアクセスを管理するのに使用しないでください」から「ACLs へのユーザーアクセスは S3 汎用バケット へのユーザーアクセスを管理するために使用しないでください」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13)  | タイトルを「S3 バケットはライフサイクルポリシーをから設定する必要があります」から「S3 汎用バケットはライフサイクル設定する必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります](s3-controls.md#s3-14)  | タイトルを「S3 バケットはバージョニングを使用する必要があります」から「S3 汎用バケットでバージョニングが有効になっている必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります](s3-controls.md#s3-15)  | タイトルを「S3 バケットは Object Lock を使用するように設定する必要があります」から「S3 汎用バケットでは Object Lock が有効になっている必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 12 日 | [[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys](s3-controls.md#s3-17)  | タイトルを「S3 バケットを保管時に AWS KMS keysで暗号化する必要があります」から「S3 汎用バケットを保管時に AWS KMS keysで暗号化する必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 | 
| 2024 年 3 月 7 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub CSPM では、パラメータとして nodejs20.x および ruby3.3 がサポートされるようになりました。 | 
| 2024 年 2 月 22 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub CSPM では、パラメータとして dotnet8 がサポートされるようになりました。 | 
| 2024 年 2 月 5 日 | [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2)  | Security Hub CSPM は、Amazon EKS クラスターが成功の検出結果を生成するために実行できる Kubernetes のサポートされている最も古いバージョンを更新しました。現在サポートされている最も古いバージョンは Kubernetes 1.25 です。 | 
| 2024 年 1 月 10 日 | [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1)  | タイトルを「CodeBuild GitHub または Bitbucket のソースリポジトリの URL は OAuth を使用する必要があります」から「CodeBuild Bitbucket ソースリポジトリ URL に機密認証情報 を含めないでください」に変更しました。Security Hub CSPM は、他の接続方法も安全であるため、OAuth に関する言及を削除しました。Security Hub CSPM は GitHub のソースリポジトリの URL に個人用アクセストークンまたはユーザー名とパスワードを持つことができなくなったため、GitHub の言及を削除しました。 | 
| 2024 年 1 月 8 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。廃止されたランタイムであるため、Security Hub CSPM ではパラメータとして go1.x および java8 がサポートされなくなりました。 | 
| 2023 年 12 月 29 日 | [[RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります](rds-controls.md#rds-8)  | RDS.8 は、サポートされているデータベースエンジンのいずれかを使用する Amazon RDS DB インスタンスで削除保護が有効になっているかどうかをチェックします。Security Hub CSPM では custom-oracle-ee、oracle-ee-cdb、および oracle-se2-cdb がデータベースエンジンとしてサポートされるようになりました。 | 
| 2023 年 12 月 22 日 | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub CSPM では、パラメータとして java21 および python3.12 がサポートされるようになりました。Security Hub CSPM では、パラメータとして ruby2.7 がサポートされなくなりました。 | 
| 2023 年 12 月 15 日 | [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1)  | CloudFront.1 は、Amazon CloudFront ディストリビューションにデフォルトルートオブジェクトが設定されているかどうかを確認します。Security Hub CSPM では、このコントロールの重大度が CRITICAL から HIGH に下げられました。これは、デフォルトルートオブジェクトを追加することがユーザーのアプリケーションと特定の要件に依存する推奨事項であるためです。 | 
| 2023 年 12 月 5 日  | [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)  | コントロールタイトルが「セキュリティグループでは 0.0.0.0/0 からポート 22 へのイングレスは許可しない必要があります」から「セキュリティグループでは 0.0.0.0/0 または ::/0 からポート 22 へのイングレスは許可しない必要があります」に変更されました。 | 
| 2023 年 12 月 5 日  | [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14)  | コントロールタイトルが「セキュリティグループでは 0.0.0.0/0 からポート 3389 へのイングレスは許可されないことを確認します」から「セキュリティグループでは 0.0.0.0/0 または ::/0 からポート 3389 へのイングレスは許可しない必要があります」に変更されました。 | 
| 2023 年 12 月 5 日  | [[RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-9)  | コントロールタイトルが「データベースのログ記録を有効にする必要があります」から「RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります」に変更されました。Security Hub CSPM では、このコントロールはログが Amazon CloudWatch Logs に発行されているかどうかのみをチェックし、RDS ログが有効になっているかどうかはチェックしません。RDS DB インスタンスが CloudWatch Logs にログを発行するように設定されている場合、このコントロールは PASSED 検出結果を生成します。コントロールタイトルは、現在の動作を反映して更新されました。 | 
| 2023 年 12 月 5 日 | [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8)  | このコントロールは、Amazon EKS クラスターで監査ログ記録が有効になっているかどうかをチェックします。Security Hub CSPM がこのコントロールを評価するために使用する AWS Config ルールが から eks-cluster-logging-enabledに変更されましたeks-cluster-log-enabled。 | 
| 2023 年 11 月 17 日  | [[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません](ec2-controls.md#ec2-19)  | EC2.19 は、指定した高リスクと見なされるポートにセキュリティグループの無制限の受信トラフィックがアクセス可能かどうかをチェックします。Security Hub CSPM では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 | 
| 2023 年 11 月 16 日  | [[CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります](cloudwatch-controls.md#cloudwatch-15)  | コントロールタイトルが「CloudWatch アラームには ALARM 状態用に設定されたアクションが必要です」から、「CloudWatch アラームには、指定されたアクションが設定されている必要があります」に変更されました。 | 
| 2023 年 11 月 16 日  | [[CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります](cloudwatch-controls.md#cloudwatch-16)  | コントロールタイトルが「CloudWatch ロググループは少なくとも 1 年間保持する必要があります」から「CloudWatch ロググループは指定された期間保持する必要があります」に変更されました。 | 
| 2023 年 11 月 16 日  | [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5)  | コントロールタイトルが「VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります」から「VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります」に変更されました。 | 
| 2023 年 11 月 16 日  | [[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2)  | コントロールタイトルが「AWS AppSync は、リクエストレベルとフィールドレベルのログ記録をオンにする必要があります」から「AWS AppSync はフィールドレベルのログ記録を有効にする必要があります」に変更されました。 | 
| 2023 年 11 月 16 日  | [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1)  | コントロールタイトルが「Amazon Elastic MapReduce クラスターマスターノードは、パブリック IP アドレスを未設定にする必要があります」から「Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります」に変更されました。 | 
| 2023 年 11 月 16 日  | [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2)  | コントロールタイトルが「OpenSearch ドメインは VPC 内に含まれている必要があります」から「OpenSearch ドメインがパブリックにアクセスできないようにする必要があります」に変更されました。 | 
| 2023 年 11 月 16 日  | [[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります](es-controls.md#es-2)  | コントロールタイトルが「Elasticsearch ドメインは VPC 内に含まれている必要があります」から「Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります」に変更されました。 | 
| 2023 年 10 月 31 日  | [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4)  | ES.4 は Elasticsearch ドメインが、Amazon CloudWatch Logs にエラーログを送信するように設定されているかどうかを確認します。このコントロールは以前、CloudWatch Logs に送信するように設定されているログを含む Elasticsearch ドメインの PASSED 検出結果を生成していました。Security Hub CSPM は、CloudWatch Logs にエラーログを送信するように設定された Elasticsearch ドメインのみの PASSED 検出結果を生成するようにコントロールを更新しました。コントロールも更新され、エラーログをサポートしない Elasticsearch バージョンを評価から除外するようになりました。 | 
| 2023 年 10 月 16 日  | [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)  | EC2.13 は、セキュリティグループがポート 22 への無制限のイングレスアクセスを許可しているかどうかをチェックします。Security Hub CSPM では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 | 
| 2023 年 10 月 16 日  | [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14)  | EC2.14 は、セキュリティグループがポート 3389 への無制限のイングレスアクセスを許可しているかどうかをチェックします。Security Hub CSPM では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 | 
| 2023 年 10 月 16 日  | [[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします](ec2-controls.md#ec2-18)  | EC2.18 は、使用中のセキュリティグループが、無制限の受信トラフィックを許可しているかどうかをチェックします。Security Hub CSPM では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 | 
| 2023 年 10 月 16 日  | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub CSPM では、パラメータとして python3.11 がサポートされるようになりました。 | 
| 2023 年 10 月 4 日  | [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7)  | Security Hub CSPM は、S3 CROSS-REGION バケットで同じリージョンのレプリケーションではなくクロスリージョンレプリケーションを有効にするために、ReplicationType という値を持つパラメータが追加されました。 | 
| 2023 年 9 月 27 日  | [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2)  | Security Hub CSPM は、Amazon EKS クラスターが成功の検出結果を生成するために実行できる Kubernetes のサポートされている最も古いバージョンを更新しました。現在サポートされている最も古いバージョンは Kubernetes 1.24 です。 | 
| 2023 年 9 月 20 日  | [CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります  | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。代わりに、「[[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13)」を参照してください。オリジンのアクセスコントロールは、現在のセキュリティのベストプラクティスです。このコントロールは 90 日後にドキュメントから削除されます。 | 
| 2023 年 9 月 20 日  | [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22)  | Security Hub CSPM は AWS 、 Foundational Security Best Practices (FSBP) と National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 からこのコントロールを削除しました。これはまだサービスマネージドスタンダードの一部です AWS Control Tower。この コントロールでは、セキュリティグループが EC2 インスタンス、または Elastic Network Interface にアタッチされている場合に、合格の検出結果を生成します。ただし、特定のユースケースでは、セキュリティグループがアタッチされていなくてもセキュリティ上のリスクはありません。他の EC2 コントロール (EC2.2、EC2.13、EC2.14、EC2.18、EC2.19 など) を使用すると、セキュリティグループをモニタリングできます。 | 
| 2023 年 9 月 20 日  | [EC2.29] EC2 インスタンスは VPC で起動することをお勧めします  | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。Amazon EC2 では、EC2-Classic インスタンスが VPC に移行されました。このコントロールは 90 日後にドキュメントから削除されます。 | 
| 2023 年 9 月 20 日  | [S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります  | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。Amazon S3 では、新規および既存の S3 バケットで S3 マネージドキー (SS3-S3) によるデフォルトの暗号化を提供するようになりました。SS3-S3 または SS3-KMS のサーバー側の暗号化を使用して暗号化された既存のバケットの場合、暗号化設定は変更されません。このコントロールは 90 日後にドキュメントから削除されます。 | 
| 2023 年 9 月 14 日  | [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)  | コントロールタイトルを「VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックとアウトバウンドトラフィックを許可しないようにする必要があります」から「VPC のデフォルトのセキュリティグループ (複数可) では、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにする必要があります」に変更しました。 | 
| 2023 年 9 月 14 日  | [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)  | コントロールタイトルを「ルートユーザーに対して仮想 MFA を有効にする必要があります」から「ルートユーザーに対して MFA を有効にする必要があります」に変更しました。 | 
|  2023 年 9 月 14 日  | [[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-19)  | コントロールタイトルを「重大なクラスターイベントについて、RDS イベント通知のサブスクリプションを設定する必要があります」から「重大なクラスターイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります」に変更しました。 | 
| 2023 年 9 月 14 日  | [[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-20)  | コントロールタイトルを「重大なデータベースインスタンスイベントに対して RDS イベント通知サブスクリプションを設定する必要があります」から「重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります」に変更しました。 | 
| 2023 年 9 月 14 日  | [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2)  | コントロールタイトルを「WAF リージョンルールには、1 つ以上の条件が必要です」から「AWS WAF Classic リージョンルールには、1 つ以上の条件が必要です」に変更しました。 | 
| 2023 年 9 月 14 日  | [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3)  | コントロールタイトルを「WAF リージョンルールグループには、1 つ以上の条件が必要です」から「AWS WAF Classic リージョンルールグループには、1 つ以上の条件が必要です」に変更しました。 | 
| 2023 年 9 月 14 日  | [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4)  | コントロールタイトルを「WAF リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」から「AWS WAF Classic リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」に変更しました。 | 
| 2023 年 9 月 14 日  | [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6)  | コントロールタイトルを「WAF グローバルルールには、1 つ以上の条件が必要です」から「AWS WAF Classic グローバルルールには、1 つ以上の条件が必要です」に変更しました。 | 
| 2023 年 9 月 14 日  | [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7)  | コントロールタイトルを「WAF グローバルルールグループには、1 つ以上の条件が必要です」から「AWS WAF Classic グローバルルールグループには、1 つ以上の条件が必要です」に変更しました。 | 
| 2023 年 9 月 14 日  | [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8)  | コントロールタイトルを「WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」から「AWS WAF Classic グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」に変更しました。 | 
| 2023 年 9 月 14 日  | [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10)  | コントロールタイトルを「WAFv2 ウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」から「AWS WAF ウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」に変更しました。 | 
| 2023 年 9 月 14 日  | [[WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります](waf-controls.md#waf-11)  | コントロールタイトルを「AWS WAF v2 ウェブ ACL ログ記録を有効にする必要があります」から「AWS WAF ウェブ ACL ログ記録を有効にする必要があります」に変更しました。 | 
|  2023 年 7 月 20 日  | [S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります  | S3.4 は、Amazon S3 バケットでサーバー側の暗号化が有効になっているか、または S3 バケットポリシーでサーバー側の暗号化なしの PutObject リクエストを明示的に拒否しているかどうかをチェックします。Security Hub CSPM はこのコントロールを更新し、KMS キーによる二層式サーバー側の暗号化 (DSSE-KMS) を追加しました。S3 バケットが SSE-S3、SSE-KMS、または DSSE-KMS で暗号化されている場合、このコントロールは合格の検出結果を生成します。 | 
| 2023 年 7 月 17 日  | [[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys](s3-controls.md#s3-17)  | S3.17 は Amazon S3 バケットが AWS KMS keyで暗号化されているかどうかをチェックします。Security Hub CSPM はこのコントロールを更新し、KMS キーによる二層式サーバー側の暗号化 (DSSE-KMS) を追加しました。S3 バケットが SSE-KMS または DSSE-KMS で暗号化されている場合、このコントロールは合格の検出結果を生成します。 | 
| 2023 年 6 月 9 日  | [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2)  | EKS.2 は、Amazon EKS クラスターがサポートされている Kubernetes バージョンで実行されているかどうかをチェックします。サポートされている最も古いバージョンは現在のところ、1.23 です。 | 
| 2023 年 6 月 9 日  | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub CSPM では、パラメータとして ruby3.2 がサポートされるようになりました。 | 
| 2023 年 6 月 5 日  | [[APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります](apigateway-controls.md#apigateway-5)  | APIGateway.5.は、Amazon API Gateway REST API ステージのすべてのメソッドが保存時に暗号化されているかどうかをチェックします。Security Hub CSPM を更新し、特定のメソッドのキャッシュが有効になっている場合にのみ、そのメソッドの暗号化を評価するようにしました。 | 
| 2023 年 5 月 18 日  | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub CSPM では、パラメータとして java17 がサポートされるようになりました。 | 
| 2023 年 5 月 18 日  | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub CSPM では、パラメータとして nodejs12.x がサポートされなくなりました。 | 
| 2023 年 4 月 23 日  | [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10)  | ECS.10 は、Amazon ECS Fargate サービスが最新の Fargate プラットフォームバージョンで実行されているかどうかをチェックします。お客様は ECS を通じて直接、または CodeDeploy を使用して Amazon ECS をデプロイできます。Security Hub CSPM では、このコントロールが更新され、CodeDeploy を使用して ECS Fargate サービスをデプロイすると [成功] という検出結果が表示されるようになりました。 | 
| 2023 年 4 月 20 日  | [[S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります AWS アカウント](s3-controls.md#s3-6)  | S3.6 は、Amazon Simple Storage Service (Amazon S3) バケットポリシーによって、他の のプリンシパルが S3 バケット内のリソースに対して拒否 AWS アカウント されたアクションを実行できないかどうかを確認します。Security Hub CSPM では、このコントロールが更新され、バケットポリシーの条件を考慮するようになりました。 | 
| 2023 年 4 月 18 日  | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub CSPM では、パラメータとして python3.10 がサポートされるようになりました。 | 
| 2023 年 4 月 18 日  | [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)  | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub CSPM では、パラメータとして dotnetcore3.1 がサポートされなくなりました。 | 
| 2023 年 4 月 17 日  | [[RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります](rds-controls.md#rds-11)  | RDS.11 は、Amazon RDS インスタンスで自動バックアップが有効になっているかどうか、およびバックアップ保持期間が 7 日以上であるかどうかをチェックします。Security Hub CSPM では、このコントロールが更新され、リードレプリカを評価から除外するようになりました。すべてのエンジンがリードレプリカの自動バックアップをサポートしているわけではないためです。また、RDS には、リードレプリカの作成時にバックアップ保持期間を指定するオプションはありません。リードレプリカは、デフォルトでバックアップ保持期間 0 で作成されます。 | 

# の Security Hub CSPM コントロール AWS アカウント
<a name="account-controls"></a>

これらの Security Hub CSPM コントロールは を評価します AWS アカウント。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント
<a name="account-1"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.2、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**カテゴリ:** 識別 > リソース設定

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Web Services (AWS) アカウントにセキュリティの連絡先情報があるかどうかを確認します。アカウントにセキュリティの連絡先情報が提供されていない場合、コントロールは失敗します。

代替のセキュリティ連絡先により AWS 、 は、利用できなくなった場合に、アカウントの問題について別のユーザーに連絡することができます。通知は サポート、 AWS アカウント の使用に関連するセキュリティ関連のトピックに関する または他の AWS のサービス チームから行うことができます。

### 修正
<a name="account-1-remediation"></a>

代替連絡先を のセキュリティ連絡先として追加するには AWS アカウント、「 *AWS アカウント管理リファレンスガイド*[」の「 の代替連絡先の更新 AWS アカウント](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html)」を参照してください。

## [Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります
<a name="account-2"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理 > アクセスコントロール

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 AWS アカウント が で管理されている組織の一部であるかどうかをチェックします AWS Organizations。アカウントが組織の一部ではない場合、コントロールは失敗します。

Organizations を使用すると、ワークロードのスケーリングに合わせて環境を一元管理できます AWS。特定のセキュリティ要件があるワークロードの分離や、HIPAA または PCI といったフレームワークへの準拠のため、 AWS アカウント を複数使用できます。組織を作成することで、複数のアカウントを 1 つのユニットとして管理し AWS のサービス、それらのアクセス、リソース、リージョンを一元管理できます。

### 修正
<a name="account-2-remediation"></a>

新しい組織を作成して自動的に追加するには、 AWS アカウント *AWS Organizations 「 ユーザーガイド*」の[「組織の作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)」を参照してください。既存の組織にアカウントを追加するには、「 *AWS Organizations ユーザーガイド*[」の「組織 AWS アカウント への の招待](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)」を参照してください。

# の Security Hub CSPM コントロール AWS Amplify
<a name="amplify-controls"></a>

これらの Security Hub CSPM コントロールは、 AWS Amplify サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Amplify.1] Amplify アプリにはタグを付ける必要があります
<a name="amplify-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Amplify::App`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、 AWS Amplify アプリケーションに `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。アプリにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、アプリにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="amplify-1-remediation"></a>

 AWS Amplify アプリにタグを追加する方法については、「 ホスティングユーザーガイド[」の「リソースタグ付けのサポート](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html)」を参照してください。 *AWS Amplify *

## [Amplify.2] Amplify ブランチにはタグを付ける必要があります
<a name="amplify-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Amplify::Branch`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、 AWS Amplify ブランチに `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。ブランチにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、ブランチにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="amplify-2-remediation"></a>

 AWS Amplify ブランチにタグを追加する方法については、[「 ホスティングユーザーガイド」の「リソースタグ付けのサポート](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html)*AWS Amplify *」を参照してください。

# Amazon API Gateway の Security Hub CSPM コントロール
<a name="apigateway-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon API Gateway サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [APIGateway.1] API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります
<a name="apigateway-1"></a>

**関連する要件:** NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ:** `AWS::ApiGateway::Stage`、`AWS::ApiGatewayV2::Stage`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `loggingLevel`  |  ログ記録レベル  |  列挙型  |  `ERROR`, `INFO`  |  `No default value`  | 

このコントロールは、Amazon API Gateway REST または WebSocket API のすべてのステージでログ記録が有効になっているかどうかをチェックします。API のすべてのステージで、`loggingLevel` が `ERROR` でも `INFO` でもない場合、コントロールは失敗します。特定のログタイプを有効にする必要があることを示すカスタムパラメータ値を指定しない限り、Security Hub CSPM は、ログレベルが `ERROR`または のいずれかである場合に合格した結果を生成します`INFO`。

API Gateway REST または WebSocket API ステージでは、関連するログを有効にする必要があります。API Gateway REST および WebSocket API 実行ログ記録は、API Gateway REST および WebSocket API ステージに対して行われたリクエストの詳細な記録を提供します。ステージには、API 統合バックエンドレスポンス、Lambda オーソライザーレスポンス、 AWS 統合エンドポイント`requestId`の が含まれます。

### 修正
<a name="apigateway-1-remediation"></a>

REST および WebSocket API オペレーションのログ記録を有効にするには、「API Gateway 開発者ガイド」の「[API Gateway コンソールを使用した CloudWatch による API のログの設定](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console)」を参照してください。

## [APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります
<a name="apigateway-2"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、NIST.800-171.r2 3.13.15

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ApiGateway::Stage`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Amazon API Gateway REST API ステージに SSL 証明書が設定されているかどうかをチェックします。バックエンドシステムは、これらの証明書を使用して、API Gateway からの受信リクエストであることを認証します。

API Gateway からのリクエストをバックエンドシステムが認証できるようにするには、API Gateway REST API ステージを SSL 証明書を設定する必要があります。

### 修正
<a name="apigateway-2-remediation"></a>

API Gateway REST API SSL 証明書を生成し設定する方法の詳細については、「API Gateway 開発者ガイド」の「[バックエンド認証用 SSL 証明書の生成と設定](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html)」を参照してください。

## [APIGateway.3] API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります
<a name="apigateway-3"></a>

**関連する要件:** NIST.800-53.r5 CA-7

**カテゴリ:** 検出 > 検出サービス

**重要度:** 低

**リソースタイプ :** `AWS::ApiGateway::Stage`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon API Gateway REST API ステージで AWS X-Ray アクティブトレースが有効になっているかどうかを確認します。

X-Ray アクティブトレースを使用すると、基盤となるインフラストラクチャのパフォーマンスの変化に対してより迅速に対応できます。パフォーマンスの変化により、API が利用できなくなる可能性があります。X-Ray アクティブトレースは、API Gateway REST API オペレーションと接続サービスを介して流れるユーザーリクエストのリアルタイムメトリクスを提供します。

### 修正
<a name="apigateway-3-remediation"></a>

API Gateway REST API オペレーションの X-Ray アクティブトレースを有効にする方法の詳細については、[AWS X-Ray 開発者ガイド]の[[AWS X-Rayの Amazon API Gateway アクティブトレースサポート](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html)]を参照してください。

## [APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります
<a name="apigateway-4"></a>

**関連する要件:** NIST.800-53.r5 AC-4(21)

**カテゴリ:** 保護 > 保護サービス

**重要度:** 中

**リソースタイプ :** `AWS::ApiGateway::Stage`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、API Gateway ステージが AWS WAF ウェブアクセスコントロールリスト (ACL) を使用しているかどうかをチェックします。 AWS WAF ウェブ ACL が REST API Gateway ステージにアタッチされていない場合、このコントロールは失敗します。

AWS WAF は、ウェブアプリケーションと APIsから保護するのに役立つウェブアプリケーションファイアウォールです。これにより、ユーザーが定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルールである ACL を設定することができます。悪意のある攻撃から保護するために、API Gateway ステージが AWS WAF ウェブ ACL に関連付けられていることを確認します。

### 修正
<a name="apigateway-4-remediation"></a>

API Gateway コンソールを使用して AWS WAF リージョンウェブ ACL を既存の API Gateway API ステージに関連付ける方法については、「 API *Gateway デベロッパーガイド*」の[「 を使用して AWS WAF API を保護する APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html)」を参照してください。

## [APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります
<a name="apigateway-5"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ApiGateway::Stage`

**AWS Config rule:** `api-gw-cache-encrypted` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、キャッシュが有効になっている API Gateway REST API ステージ内のすべてのメソッドが暗号化されているかどうかをチェックします。API Gateway REST API ステージ内のメソッドのキャッシュ機能が設定されており、そのキャッシュが暗号化されていない場合、コントロールは失敗します。Security Hub CSPM は、そのメソッドでキャッシュが有効になっている場合にのみ、特定のメソッドの暗号化を評価します。

保管中のデータを暗号化することで、ディスクに保存されているデータが認証されていないユーザーがアクセスするリスクが軽減されます AWS。これにより、権限のないユーザーによるデータへのアクセスを制限するために、別の一連のアクセスコントロールが追加されます。例えば、データを読み取る前にデータを復号化するには、API の許可が必要です。

API Gateway REST API キャッシュは、セキュリティを強化するために、保管中に暗号化する必要があります。

### 修正
<a name="apigateway-5-remediation"></a>

ステージの API キャッシュを設定するには、「*API Gateway デベロッパーガイド*」の「[Amazon API Gateway のキャッシュを有効にする](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching)」を参照してください。**[キャッシュ設定]** で、**[キャッシュデータを暗号化する]** を選択します。

## [APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります
<a name="apigateway-8"></a>

**関連する要件:** NIST.800-53.r5 AC-3、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::ApiGatewayV2::Route`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `authorizationType`  |  API ルートの認可タイプ  |  列挙型  |  `AWS_IAM`, `CUSTOM`, `JWT`  |  デフォルト値なし  | 

このコントロールは、Amazon API Gateway ルートに認可タイプが設定されているかどうかを確認します。API Gateway ルートで認可タイプが指定されていない場合、コントロールは失敗します。`authorizationType` パラメータで指定された認可タイプをルートが使用する場合にのみコントロールを成功させたい場合は、必要に応じてカスタムパラメータ値を指定できます。

API Gateway は API へのアクセスを制御し管理する複数のメカニズムをサポートしています。認可タイプを指定することで、API へのアクセスを許可されたユーザーまたはプロセスのみに制限できます。

### 修正
<a name="apigateway-8-remediation"></a>

HTTP API の認可タイプを設定するには、「*API Gateway デベロッパーガイド*」の「[API Gateway での HTTP API へのアクセスの制御と管理](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html)」を参照してください。WebSocket API の認可タイプを設定するには、「*API Gateway デベロッパーガイド*」の「[API Gateway での WebSocket API へのアクセスの制御と管理](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html)」を参照してください。

## [APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります
<a name="apigateway-9"></a>

**関連する要件:** NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::ApiGatewayV2::Stage`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon API Gateway V2 ステージのアクセスログが設定されているかどうかをチェックします。アクセスログ設定が定義されていない場合、このコントロールは失敗します。

API Gateway アクセスログは、誰が API にアクセスしたかや、発信者が API にアクセスした方法に関する詳細情報を提供します。これらのログは、セキュリティ監査やアクセス監査、証拠調査などのアプリケーションに役立ちます。トラフィックパターンの分析や問題のトラブルシューティングを行うには、これらのアクセスログを有効にします。

その他のベストプラクティスについては、「*API Gateway デベロッパーガイド*」の「[REST API のモニタリング](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html)」を参照してください。

### 修正
<a name="apigateway-9-remediation"></a>

アクセスログ記録を設定するには、「*API Gateway デベロッパーガイド*」の「[API Gateway コンソールを使用した CloudWatch による API のログの設定](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console)」を参照してください。

## [APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります
<a name="apigateway-10"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ApiGatewayV2::Integration`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、API Gateway V2 統合でプライベート接続に対して HTTPS が有効になっているかどうかを確認します。プライベート接続に TLS が設定されていない場合、コントロールは失敗します。

VPC リンクは API Gateway をプライベートリソースに接続します。VPC リンクはプライベート接続を作成しますが、本質的にデータを暗号化しません。TLS を設定すると、API Gateway を介してクライアントからバックエンドへのend-to-end暗号化に HTTPS を使用できます。TLS を使用しない場合、機密性の高い API トラフィックはプライベート接続間で暗号化されません。HTTPS 暗号化は、データ傍受、man-in-the-middle攻撃、認証情報の漏洩からプライベート接続を介してトラフィックを保護します。

### 修正
<a name="apigateway-10-remediation"></a>

API Gateway v2 統合でプライベート接続の転送中の暗号化を有効にするには、*Amazon API Gateway デベロッパーガイド*」の[「プライベート統合の更新](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update)」を参照してください。プライベート統合が HTTPS プロトコルを使用するように [TLS 設定](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig)を構成します。

# の Security Hub CSPM コントロール AWS AppConfig
<a name="appconfig-controls"></a>

これらの Security Hub CSPM コントロールは、 AWS AppConfig サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります
<a name="appconfig-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::AppConfig::Application`

**AWS Config ルール :** `appconfig-application-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS AppConfig アプリケーションにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。アプリケーションにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、アプリケーションにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="appconfig-1-remediation"></a>

 AWS AppConfig アプリケーションにタグを追加するには、 *AWS AppConfig API リファレンス*[https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)の「」を参照してください。

## [AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります
<a name="appconfig-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::AppConfig::ConfigurationProfile`

**AWS Config ルール :** `appconfig-configuration-profile-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS AppConfig 設定プロファイルにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。設定プロファイルにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、設定プロファイルにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、* AWS 「 リソースのタグ付けとタグエディタユーザーガイド」の*[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="appconfig-2-remediation"></a>

 AWS AppConfig 設定プロファイルにタグを追加するには、 *AWS AppConfig API リファレンス*[https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)の「」を参照してください。

## [AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります
<a name="appconfig-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::AppConfig::Environment`

**AWS Config ルール :** `appconfig-environment-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS AppConfig 環境にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。環境にタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、環境にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="appconfig-3-remediation"></a>

 AWS AppConfig 環境にタグを追加するには、 *AWS AppConfig API リファレンス*[https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)の「」を参照してください。

## [AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります
<a name="appconfig-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::AppConfig::ExtensionAssociation`

**AWS Config ルール :** `appconfig-extension-association-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS AppConfig 拡張機能の関連付けにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。拡張機能の関連付けにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、拡張機能の関連付けにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="appconfig-4-remediation"></a>

 AWS AppConfig 拡張機能の関連付けにタグを追加するには、 *AWS AppConfig API リファレンス*[https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)の「」を参照してください。

# Amazon AppFlow の Security Hub CSPM コントロール
<a name="appflow-controls"></a>

これらの Security Hub CSPM コントロールは、Amazon AppFlow サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります
<a name="appflow-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::AppFlow::Flow`

**AWS Config ルール :** `appflow-flow-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon AppFlow フローにパラメータ `requiredKeyTags` で定義された特定のキーを含むタグがあるかどうかをチェックします。フローにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、フローにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="appflow-1-remediation"></a>

Amazon AppFlow フローにタグを追加するには、「*Amazon AppFlow ユーザーガイド*」の「[Creating flows in Amazon AppFlow](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html)」を参照してください。

# の Security Hub CSPM コントロール AWS App Runner
<a name="apprunner-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS App Runner サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [AppRunner.1] App Runner サービスにはタグを付ける必要があります
<a name="apprunner-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::AppRunner::Service`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS App Runner サービスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。App Runner サービスにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、App Runner サービスがキーでタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="apprunner-1-remediation"></a>

 AWS App Runner サービスにタグを追加する方法については、 *AWS App Runner API リファレンス*[https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)の「」を参照してください。

## [AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります
<a name="apprunner-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::AppRunner::VpcConnector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS App Runner VPC コネクタにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。VPC コネクタにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、VPC コネクタにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="apprunner-2-remediation"></a>

 AWS App Runner VPC コネクタにタグを追加する方法については、 *AWS App Runner API リファレンス*[https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)の「」を参照してください。

# の Security Hub CSPM コントロール AWS AppSync
<a name="appsync-controls"></a>

これらの Security Hub CSPM コントロールは、 AWS AppSync サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります
<a name="appsync-1"></a>

**重要**  
Security Hub CSPM は、2026 年 3 月 9 日にこのコントロールを廃止しました。詳細については、「」を参照してください[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)。 AWS AppSync 現在および将来のすべての API キャッシュでデフォルトの暗号化が提供されるようになりました。

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::AppSync::GraphQLApi`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS AppSync API キャッシュが保管中に暗号化されているかどうかをチェックします。API キャッシュが保管時に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。

### 修正
<a name="appsync-1-remediation"></a>

 AWS AppSync API のキャッシュを有効にした後で暗号化設定を変更することはできません。代わりに、キャッシュを削除し、暗号化を有効にして再作成する必要があります。詳細については、「*AWS AppSync デベロッパーガイド*」の「[キャッシュ暗号化](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption)」を参照してください。

## [AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります
<a name="appsync-2"></a>

**関連する要件:** PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::AppSync::GraphQLApi`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** 


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `fieldLoggingLevel`  |  フィールドのログ記録レベル  |  列挙型  |  `ERROR`, `ALL`, `INFO`, `DEBUG`  |  `No default value`  | 

このコントロールは、 AWS AppSync API でフィールドレベルのログ記録が有効になっているかどうかをチェックします。フィールドリゾルバーのログレベルが **[なし]** に設定されている場合、コントロールは失敗します。特定のログタイプを有効にする必要があることを示すカスタムパラメータ値を指定しない限り、フィールドリゾルバーのログレベルが `ERROR`または の場合、Security Hub CSPM は渡された結果を生成します`ALL`。

ログおよびメトリクスを使用して、GraphQL クエリを特定、トラブルシューティング、最適化できます。 AWS AppSync GraphQL のログ記録を有効にすると、API リクエストとレスポンスに関する詳細情報を取得し、問題を特定して対応し、規制要件に準拠できます。

### 修正
<a name="appsync-2-remediation"></a>

のログ記録を有効にするには AWS AppSync、 *AWS AppSync デベロッパーガイド*の[「セットアップと設定](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration)」を参照してください。

## [AppSync.4] AWS AppSync GraphQL APIsにはタグを付ける必要があります
<a name="appsync-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::AppSync::GraphQLApi`

**AWS Config rule:** `tagged-appsync-graphqlapi` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS AppSync GraphQL API にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。GraphQL API にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、GraphQL API にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="appsync-4-remediation"></a>

 AWS AppSync GraphQL API にタグを追加するには、 *AWS AppSync API リファレンス*[https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)の「」を参照してください。

## [AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください
<a name="appsync-5"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

**カテゴリ:** 保護 > セキュアなアクセス管理 > パスワードレス認証

**重要度:** 高

**リソースタイプ :** `AWS::AppSync::GraphQLApi`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (カスタマイズ不可)

このコントロールは、アプリケーションが API キーを使用して AWS AppSync GraphQL API を操作するかどうかをチェックします。 AWS AppSync GraphQL API が API キーで認証されている場合、コントロールは失敗します。

API キーは、認証されていない GraphQL エンドポイントを作成するときに AWS AppSync サービスによって生成されるアプリケーション内のハードコードされた値です。この API キーが侵害されると、エンドポイントは意図しないアクセスに対して脆弱になります。一般にアクセス可能なアプリケーションやウェブサイトをサポートしている場合を除き、API キーを認証に使用することはお勧めしません。

### 修正
<a name="appsync-5-remediation"></a>

 AWS AppSync GraphQL API の認可オプションを設定するには、「 *AWS AppSync デベロッパーガイド*」の[「認可と認証](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html)」を参照してください。

## [AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります
<a name="appsync-6"></a>

**重要**  
Security Hub CSPM は、2026 年 3 月 9 日にこのコントロールを廃止しました。詳細については、「」を参照してください[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)。 AWS AppSync 現在および将来のすべての API キャッシュでデフォルトの暗号化が提供されるようになりました。

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::AppSync::ApiCache`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS AppSync API キャッシュが転送中に暗号化されているかどうかをチェックします。API キャッシュが転送中に暗号化されていない場合、コントロールは失敗します。

転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

### 修正
<a name="appsync-6-remediation"></a>

 AWS AppSync API のキャッシュを有効にした後で暗号化設定を変更することはできません。代わりに、キャッシュを削除し、暗号化を有効にして再作成する必要があります。詳細については、「*AWS AppSync デベロッパーガイド*」の「[キャッシュ暗号化](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption)」を参照してください。

# Amazon Athena の Security Hub CSPM コントロール
<a name="athena-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Athena サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Athena.1] Athena ワークグループは、保管中に暗号化する必要があります
<a name="athena-1"></a>

**重要**  
Security Hub CSPM は、2024 年 4 月にこのコントロールを廃止しました。詳細については、「[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)」を参照してください。

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**重要度:** 中

**リソースタイプ :** `AWS::Athena::WorkGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Athena ワークグループが保管中に暗号化されているかどうかをチェックします。Athena ワークグループが保管中に暗号化されていない場合、コントロールは失敗します。

Athena では、チーム、アプリケーション、またはさまざまなワークロードのクエリを実行するためのワークグループを作成できます。各ワークグループには、すべてのクエリで暗号化を有効にする設定があります。Amazon Simple Storage Service (Amazon S3) マネージドキーによるサーバー側の暗号化、 AWS Key Management Service (AWS KMS) キーによるサーバー側の暗号化、またはカスタマーマネージド KMS キーによるクライアント側の暗号化を使用できます。保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。暗号化は、このようなデータの機密性を保護し、権限のないユーザーがデータにアクセスするリスクを低減するのに役立ちます。

### 修正
<a name="athena-1-remediation"></a>

Athena ワークグループの保管中の暗号化を有効にするには、「*Amazon Athena ユーザーガイド*」の「[ワークグループの編集](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups)」を参照してください。**[クエリ結果の設定]** セクションで **[クエリ結果の暗号化]** をクリックします。

## [Athena.2] Athena データカタログにはタグを付ける必要があります
<a name="athena-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Athena::DataCatalog`

**AWS Config rule:** `tagged-athena-datacatalog` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon Athena データカタログにパラメータ `requiredTagKeys` で定義された特定のキーを含むタグがあるかどうかをチェックします。データカタログにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、データカタログにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="athena-2-remediation"></a>

Athena データカタログにタグを追加するには、「*Amazon Athena ユーザーガイド*」の「[Athena リソースのタグ付け](https://docs.aws.amazon.com/athena/latest/ug/tags.html)」を参照してください。

## [Athena.3] Athena ワークグループにはタグを付ける必要があります
<a name="athena-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Athena::WorkGroup`

**AWS Config rule:** `tagged-athena-workgroup` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon Athena ワークグループにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。ワークグループにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ワークグループにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="athena-3-remediation"></a>

Athena ワークグループにタグを追加するには、「*Amazon Athena ユーザーガイド*」の「[個々のワークグループでのタグの追加と削除](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete)」を参照してください。

## [Athena.4] Athena ワークグループではログ記録が有効になっている必要があります
<a name="athena-4"></a>

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::Athena::WorkGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Athena ワークグループのログ記録が有効になっているかどうかを確認します。ワークグループでログ記録が有効になっていない場合、コントロールは失敗します。

監査ログは、システムアクティビティを追跡およびモニタリングします。これらは、セキュリティ違反の検出、インシデントの調査、規制の遵守に役立つイベントの記録を提供します。監査ログは、組織の全体的な説明責任と透明性も強化します。

### 修正
<a name="athena-4-remediation"></a>

Athena ワークグループのログ記録を有効にする方法については、「*Amazon Athena ユーザーガイド*」の「[Athena で CloudWatch クエリメトリクスを有効にする](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html)」を参照してください。

# の Security Hub CSPM コントロール AWS Backup
<a name="backup-controls"></a>

これらの Security Hub CSPM コントロールは、 AWS Backup サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります
<a name="backup-1"></a>

**関連する要件:** NIST.800-53.r5 CP-9(8)、NIST.800-53.r5 SI-12

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::Backup::RecoveryPoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、保管時に AWS Backup 復旧ポイントが暗号化されているかどうかを確認します。復旧ポイントが保管時に暗号化されていない場合、コントロールは失敗します。

 AWS Backup 復旧ポイントとは、バックアッププロセスの一部として作成されるデータの特定のコピーまたはスナップショットを指します。データがバックアップされた特定の瞬間を表し、元のデータが失われたり、破損したり、アクセス不能になったりした場合の復元ポイントとして機能します。バックアップ復旧ポイントを暗号化すると、不正アクセスに対する保護をさらに強化することができます。暗号化は、バックアップデータの機密性、完全性、およびセキュリティを保護するためのベストプラクティスです。

### 修正
<a name="backup-1-remediation"></a>

 AWS Backup 復旧ポイントを暗号化するには、 *AWS Backup デベロッパーガイド*の「 [でのバックアップの暗号化 AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)」を参照してください。

## [Backup.2] AWS Backup 復旧ポイントにはタグを付ける必要があります
<a name="backup-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Backup::RecoveryPoint`

**AWS Config rule:** `tagged-backup-recoverypoint` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS Backup 復旧ポイントにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。リカバリポイントにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、復旧ポイントにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="backup-2-remediation"></a>

**AWS Backup 復旧ポイントにタグを追加するには**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. ナビゲーションペインで、**[バックアッププラン]** を選択します。

1. リストからバックアッププランを選択します。

1. **[バックアッププランタグ]** セクションで、**[タグを管理]** を選択します。

1. タグのキーと値を入力します。追加のキーと値のペアについては **[新しいタグの追加]** を選択します。

1. タグの追加を完了したら、**[保存]** を選択します。

## [Backup.3] AWS Backup ボールトにはタグを付ける必要があります
<a name="backup-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Backup::BackupVault`

**AWS Configルール:** `tagged-backup-backupvault` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS Backup ボールトにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。リカバリポイントにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、復旧ポイントにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="backup-3-remediation"></a>

**AWS Backup ボールトにタグを追加するには**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. ナビゲーションペインで、**[バックアップボールト]** を選択します。

1. リストからバックアップボールトを選択します。

1. **[バックアップボールトタグ]** セクションで、**[タグを管理]** を選択します。

1. タグのキーと値を入力します。追加のキーと値のペアについては **[新しいタグの追加]** を選択します。

1. タグの追加を完了したら、**[保存]** を選択します。

## [Backup.4] AWS Backup レポートプランにはタグを付ける必要があります
<a name="backup-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Backup::ReportPlan`

**AWS Config rule:** `tagged-backup-reportplan` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS Backup レポートプランにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。レポートプランにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、レポートプランにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="backup-4-remediation"></a>

**AWS Backup レポートプランにタグを追加するには**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. ナビゲーションペインで、**[バックアップボールト]** を選択します。

1. リストからバックアップボールトを選択します。

1. **[バックアップボールトタグ]** セクションで、**[タグを管理]** を選択します。

1. [**新しいタグを追加**] をクリックします。タグのキーと値を入力します。追加のキーと値のペアについても繰り返します。

1. タグの追加を完了したら、**[保存]** を選択します。

## [Backup.5] AWS Backup バックアッププランにはタグを付ける必要があります
<a name="backup-5"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Backup::BackupPlan`

**AWS Config rule:** `tagged-backup-backupplan` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS Backup バックアッププランにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。バックアッププランにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、バックアッププランにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="backup-5-remediation"></a>

**AWS Backup バックアッププランにタグを追加するには**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. ナビゲーションペインで、**[バックアップボールト]** を選択します。

1. リストからバックアップボールトを選択します。

1. **[バックアップボールトタグ]** セクションで、**[タグを管理]** を選択します。

1. [**新しいタグを追加**] をクリックします。タグのキーと値を入力します。追加のキーと値のペアについても繰り返します。

1. タグの追加を完了したら、**[保存]** を選択します。

# の Security Hub CSPM コントロール AWS Batch
<a name="batch-controls"></a>

これらの Security Hub CSPM コントロールは、 AWS Batch サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Batch.1] バッチジョブキューにはタグを付ける必要があります
<a name="batch-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Batch::JobQueue`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS Batch ジョブキューにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。ジョブキューにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ジョブキューにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="batch-1-remediation"></a>

バッチジョブキューにタグを追加するには、「*AWS Batch ユーザーガイド*」の「[リソースのタグ付け](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html)」を参照してください。

## [Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります
<a name="batch-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Batch::SchedulingPolicy`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS Batch スケジューリングポリシーにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。スケジューリングポリシーにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、スケジューリングポリシーにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="batch-2-remediation"></a>

バッチスケジューリングポリシーにタグを追加するには、「*AWS Batch ユーザーガイド*」の「[リソースのタグ付け](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html)」を参照してください。

## [Batch.3] バッチコンピューティング環境にはタグを付ける必要があります
<a name="batch-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Batch::ComputeEnvironment`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS Batch コンピューティング環境にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。コンピューティング環境にタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、コンピューティング環境にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="batch-3-remediation"></a>

バッチコンピューティング環境にタグを追加するには、「*AWS Batch ユーザーガイド*」の「[リソースのタグ付け](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html)」を参照してください。

## [Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります
<a name="batch-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Batch::ComputeEnvironment`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、マネージド AWS Batch コンピューティング環境のコンピューティングリソースプロパティに、`requiredKeyTags` パラメータで指定されたタグキーがあるかどうかをチェックします。コンピューティングリソースプロパティにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、コンピューティングリソースプロパティにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。このコントロールは、アンマネージド型のコンピューティング環境や、 AWS Fargate リソースを使用するマネージド環境を評価しません。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="batch-4-remediation"></a>

マネージドコンピューティング環境で AWS Batch コンピューティングリソースにタグを追加する方法については、*AWS Batch 「 ユーザーガイド*」の[「リソースのタグ付け](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html)」を参照してください。

# の Security Hub CSPM コントロール AWS Certificate Manager
<a name="acm-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Certificate Manager (ACM) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります
<a name="acm-1"></a>

**関連する要件:** NIST.800-53.r5 SC-28(3)、NIST.800-53.r5 SC-7(16)、NIST.800-171.r2 3.13.15、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ACM::Certificate`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)

**スケジュールタイプ:** 変更がトリガーされ、定期的に行われる場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `daysToExpiration`  |  ACM 証明書を更新する必要がある日数  |  整数  |  `14`～`365`  |  `30`  | 

このコントロールは、 AWS Certificate Manager (ACM) 証明書が指定された期間内に更新されるかどうかをチェックします。インポートした証明書と ACM によって提供された証明書の両方をチェックします。指定された期間内に証明書が更新されない場合、コントロールは失敗します。更新期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 30 日を使用します。

ACM は DNS 検証を使用する証明書を自動的に更新できます。E メール検証を使用する証明書の場合、ドメイン検証 E メールに応答する必要があります。ACM は、ユーザーがインポートした証明書を自動的に更新しません。インポートした証明書を手動で更新する必要があります。

### 修正
<a name="acm-1-remediation"></a>

ACM は、Amazon 発行の SSL/TLS 証明書のマネージド更新が可能です。つまり、ACM は証明書を自動的に更新するか (DNS 検証を使用している場合)、有効期限が近づくと E メール通知を送信します。これらのサービスは、パブリック ACM 証明書とプライベート ACM 証明書の両方に対して提供されます。

**E メールで検証されたドメイン**  
証明書の有効期限まで 45 日間の時点で、ACM はドメイン所有者にドメイン名ごとに E メールを送信します。ドメインを検証して更新を完了するには、E メール通知に応答する必要があります。  
詳細については、「AWS Certificate Manager ユーザーガイド」の「[E メールで検証されたドメインの更新](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html)」を参照してください。

**DNS によって検証されたドメイン**  
ACM は DNS 検証を使用する証明書を自動的に更新します。有効期限の 60 日前に、ACM は証明書が更新できることを確認します。  
ドメイン名を検証できない場合、ACM は手動検証が必要である旨の通知を送信します。これらの通知は、有効期限の 45 日、30 日、7 日、1 日前に送信されます。  
詳細については、「AWS Certificate Manager ユーザーガイド」の「[DNS によって検証されたドメインの更新](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html)」を参照してください。

## [ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります
<a name="acm-2"></a>

**関連する要件:** PCI DSS v4.0.1/4.2.1

**カテゴリ:** 識別 > インベントリ > インベントリサービス

**重要度:** 高

**リソースタイプ :** `AWS::ACM::Certificate`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 によって管理される RSA 証明書が少なくとも 2,048 ビットのキー長 AWS Certificate Manager を使用しているかどうかをチェックします。キーの長さが 2,048 ビットより小さい場合、コントロールは失敗します。

暗号化の強度はキーサイズと直接相関します。コンピューティング能力が安価になり、サーバーがより高度になるため、 AWS リソースを保護するために、キーの長さを 2,048 ビット以上にすることをお勧めします。

### 修正
<a name="acm-2-remediation"></a>

ACM が発行する RSA 証明書における最小のキーの長さは、既に 2,048 ビットです。ACM で新しい RSA 証明書を発行する手順については、「*AWS Certificate Manager ユーザーガイド*」の「[証明書の発行と管理](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)」を参照してください。

ACM では短いキーの長さで証明書をインポートできますが、この制御を行うには少なくとも 2,048 ビットのキーを使用する必要があります。証明書をインポートした後で、キーの長さを変更することはできません。代わりに、キーの長さが 2,048 ビット未満の証明書を削除する必要があります。ACM への証明書のインポートに関する詳細については、「*AWS Certificate Manager ユーザーガイド*」の「[証明書をインポートするための前提条件](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html)」を参照してください。

## [ACM.3] ACM 証明書にはタグを付ける必要があります
<a name="acm-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::ACM::Certificate`

**AWS Config rule:** `tagged-acm-certificate` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS Certificate Manager (ACM) 証明書にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。証明書にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、証明書にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="acm-3-remediation"></a>

ACM 証明書にタグを追加するには、*AWS Certificate Manager 「 ユーザーガイド*[」の AWS Certificate Manager 「証明書のタグ付け](https://docs.aws.amazon.com/acm/latest/userguide/tags.html)」を参照してください。

# の Security Hub CSPM コントロール CloudFormation
<a name="cloudformation-controls"></a>

これらの Security Hub CSPM コントロールは、 AWS CloudFormation サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります
<a name="cloudformation-1"></a>

**重要**  
Security Hub CSPM は、2024 年 4 月にこのコントロールを廃止しました。詳細については、「[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)」を参照してください。

**関連する要件:** NIST.800-53.r5 SI-4(12)、NIST.800-53.r5 SI-4(5)

**カテゴリ:** 検出 > 検出サービス > アプリケーションモニタリング

**重要度:** 低

**リソースタイプ :** `AWS::CloudFormation::Stack`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Simple Notification Service の通知が CloudFormation スタックに統合されているかどうかをチェックします。CloudFormation スタックに関連付けられた SNS 通知がない場合、そのコントロールは失敗します。

SNS 通知を、CloudFormation スタックを使って設定すると、スタックで発生したイベントや変更を、ステークホルダーにすぐに通知することができます。

### 修正
<a name="cloudformation-1-remediation"></a>

CloudFormation スタックと SNS トピックを統合するには、「*AWS CloudFormation ユーザーガイド*」の「[スタックの直接更新](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html)」を参照してください。

## [CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります
<a name="cloudformation-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::CloudFormation::Stack`

**AWS Config rule:** `tagged-cloudformation-stack` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS CloudFormation スタックにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。スタックにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、スタックにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="cloudformation-2-remediation"></a>

CloudFormation スタックにタグを追加するには、「*AWS CloudFormation API リファレンス*」の「[CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)」を参照してください。

## [CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります
<a name="cloudformation-3"></a>

**カテゴリ:** 保護 > データ保護 > データ削除保護

**重要度:** 中

**リソースタイプ :** `AWS::CloudFormation::Stack`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS CloudFormation スタックで終了保護が有効になっているかどうかを確認します。CloudFormation スタックで終了保護が有効になっていない場合、コントロールは失敗します。

CloudFormation は、関連するリソースを スタックと呼ばれる単一のユニットとして管理するのに役立ちます。スタックの削除保護を有効にして、スタックが誤って削除されるのを防ぐことができます。削除保護を有効にした状態でスタックを削除しようとすると、削除は失敗し、ステータスを含め、スタックが変更されることはありません。スタックの削除保護は、任意のステータスで設定できます ([`DELETE_IN_PROGRESS`] または [`DELETE_COMPLETE`] を除く)。

**注記**  
スタックで削除保護を有効または無効にすると、そのスタックに属するネストされたスタックにも同じ選択が適用されます。ネストされたスタックの削除保護を直接有効または無効にすることはできません。終了保護が有効になっているスタックに属するネストされたスタックを直接削除することはできません。スタック名の横に [ネスト] と表示されている場合、そのスタックは、ネストされたスタックです。ネストされたスタックが属するルートスタックの削除保護のみ変更することができます。

### 修正
<a name="cloudformation-3-remediation"></a>

CloudFormation スタックで終了保護を有効にするには、「 *AWS CloudFormation ユーザーガイド*」の[CloudFormation スタックが削除されないように保護する](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html)」を参照してください。

## [CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です
<a name="cloudformation-4"></a>

**カテゴリ:** 検出 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::CloudFormation::Stack`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS CloudFormation スタックにサービスロールが関連付けられているかどうかをチェックします。CloudFormation スタックにサービスロールが関連付けられていない場合、コントロールは失敗します。

サービスマネージド StackSets は、 AWS Organizations の信頼されたアクセス統合を通じて実行ロールを使用します。コントロールは、サービスマネージド StackSets によって作成された AWS CloudFormation スタックの FAILED 検出結果も生成します。これは、サービスロールが関連付けられていないためです。サービスマネージド StackSets の認証方法により、これらのスタックに `roleARN`フィールドを入力することはできません。

CloudFormation スタックでサービスロールを使用すると、スタックを作成/更新するユーザーとCloudFormation がリソースを作成/更新するために必要なアクセス許可を分離することで、最小特権アクセスを実装できます。これにより、特権エスカレーションのリスクが軽減され、さまざまな運用ロール間のセキュリティ境界を維持するのに役立ちます。

**注記**  
スタックの作成後に、スタックにアタッチされたサービスロールを削除することはできません。このスタックで操作を実行する権限を持つ他のユーザーは、`iam:PassRole` 権限の有無にかかわらず、このロールを使用できます。ユーザーが持つべきではないアクセス許可がロールに含まれる場合、ユーザーのアクセス許可を非意図的にエスカレーションできてしまいます。ロールが 最小特権 を付与することを確認します。

### 修正
<a name="cloudformation-4-remediation"></a>

サービスロールを CloudFormation スタックに関連付けるには、*AWS CloudFormation 「 ユーザーガイド*」の[CloudFormation サービスロール](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html)」を参照してください。

# Amazon CloudFront の Security Hub CSPM コントロール
<a name="cloudfront-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon CloudFront サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります
<a name="cloudfront-1"></a>

**関連する要件:** NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、PCI DSS v4.0.1/2.2.6

**カテゴリ:** 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

**重要度:** 高

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、S3 オリジンタイプの Amazon CloudFront ディストリビューションが、デフォルトのルートオブジェクトである特定のオブジェクトを返すように設定されているかどうかをチェックします。CloudFront ディストリビューションが S3 オリジンを使用しており、デフォルトのルートオブジェクトが設定されていない場合、コントロールは失敗します。このコントロールは、カスタムオリジンを使用する CloudFront ディストリビューションには適用されません。

ユーザーは、ディストリビューション内のオブジェクトではなく、ディストリビューションのルート URL を要求することがあります。この場合、デフォルトのルートオブジェクトを指定することで、ウェブディストリビューションのコンテンツの漏洩を防止できます。

### 修正
<a name="cloudfront-1-remediation"></a>

CloudFront ディストリビューションのデフォルトルートオブジェクトを設定するには、「*Amazon CloudFront デベロッパーガイド*」の「[デフォルトルートオブジェクトを指定する方法](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine)」を参照してください。

## [CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります
<a name="cloudfront-3"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Amazon CloudFront ディストリビューションで視聴者が HTTPS を直接使用する必要性、またはリダイレクトを使用するかどうかをチェックします。`ViewerProtocolPolicy` が `defaultCacheBehavior` または `cacheBehaviors` の `allow-all` に設定されている場合、コントロールは失敗します。

HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。TLS のパフォーマンスプロファイルと TLS の影響を把握するには、この機能を使用してアプリケーションをテストする必要があります。

### 修正
<a name="cloudfront-3-remediation"></a>

転送中の CloudFront ディストリビューションを暗号化するには、「*Amazon CloudFront デベロッパーガイド*」の「[ビューワーと CloudFront 間の通信で HTTPS を必須にする](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html)」を参照してください。

## [CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります
<a name="cloudfront-4"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 低

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Amazon CloudFront ディストリビューションが 2 つ以上のオリジンを使用するオリジングループで構成されているかどうかをチェックします。

CloudFront オリジンのフェイルオーバーにより、可用性を向上できます。オリジンフェイルオーバーは、プライマリオリジンが使用できない場合、または特定の HTTP レスポンスステータスコードを返した場合に、自動的にセカンダリーオリジンにトラフィックをリダイレクトします。

### 修正
<a name="cloudfront-4-remediation"></a>

CloudFront ディストリビューションのオリジンフェイルオーバーを設定するには、「*Amazon CloudFront デベロッパーガイド*」の「[オリジングループの作成](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating)」を参照してください。

## [CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります
<a name="cloudfront-5"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、CloudFront ディストリビューションでサーバーアクセスのログ記録が有効になっているかどうかをチェックします。ディストリビューションでアクセスのログ記録が有効でない場合、コントロールは失敗します。このコントロールは、ディストリビューションに対して標準ログ記録 (レガシー) が有効になっているかどうかのみを評価します。

CloudFront アクセスログは、CloudFront が受信するすべてのユーザーリクエストに関する詳細情報を提供します。各ログには、リクエストが受信された日時、リクエストを行ったビューワーの IP アドレス、リクエストソース、ビューワーからのリクエストポート番号などの情報が含まれます。これらのログは、セキュリティ監査やアクセス監査、証拠調査などのアプリケーションに役立ちます。アクセスログの分析の詳細については、「*Amazon Athena ユーザーガイド*」の「[Amazon CloudFront ログのクエリ](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html)」を参照してください。

### 修正
<a name="cloudfront-5-remediation"></a>

CloudFront ディストリビューションの標準ログ記録 (レガシー) を設定するには、「*Amazon CloudFront デベロッパーガイド*」の「[標準ログ記録 (レガシー) を設定する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html)」を参照してください。

## [CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります
<a name="cloudfront-6"></a>

**関連する要件:** NIST.800-53.r5 AC-4(21)、PCI DSS v4.0.1/6.4.2

**カテゴリ:** 保護 > 保護サービス

**重要度:** 中

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、CloudFront ディストリビューションが Classic または AWS WAF ウェブ ACLs に関連付けられている AWS WAF かどうかをチェックします。ディストリビューションがウェブ ACL に関連付けられていない場合、コントロールは失敗します。

AWS WAF は、ウェブアプリケーションと APIsから保護するのに役立つウェブアプリケーションファイアウォールです。これで、ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれる一連のルールを設定することができます。このルールは、ユーザーが定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントします。CloudFront ディストリビューションが AWS WAF ウェブ ACL に関連付けられていることを確認し、悪意のある攻撃から保護します。

### 修正
<a name="cloudfront-6-remediation"></a>

 AWS WAF ウェブ ACL を CloudFront ディストリビューションに関連付けるには、*Amazon CloudFront デベロッパーガイド*[AWS WAF 」の「 を使用してコンテンツへのアクセスを制御する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html)」を参照してください。

## [CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります
<a name="cloudfront-7"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、NIST.800-171.r2 3.13.15

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 低

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、CloudFront ディストリビューションで、CloudFront が提供するデフォルトの SSL/TLS 証明書を使用しているかどうかをチェックします。CloudFront ディストリビューションで、カスタム SSL/TLS 証明書が使用されている場合に、このコントロールは成功します。CloudFront ディストリビューションで、デフォルト SSL/TLS 証明書が使用されている場合に、このコントロールは失敗します。

 カスタム SSL/TLS を使用すると、ユーザーは代替ドメイン名を使用してコンテンツにアクセスできます。カスタム証明書は、 AWS Certificate Manager (推奨）、または IAM に保存できます。

### 修正
<a name="cloudfront-7-remediation"></a>

カスタム SSL/TLS 証明書を使用して CloudFront ディストリビューション用の代替ドメイン名を追加するには、「*Amazon CloudFront デベロッパーガイド*」の「[代替ドメイン名の追加](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME)」を参照してください。

## [CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります
<a name="cloudfront-8"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 低

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon CloudFront ディストリビューションでカスタム SSL/TLS 証明書が使用されていて、SNI を使用して HTTPS リクエストを処理するように設定されているかチェックします。カスタム SSL/TLS 証明書が関連付けられているものの、SSL/TLS サポートメソッドが専用 IP アドレスである場合、このコントロールは失敗します。

Server Name Indication (SNI) は、2010 年以降にリリースされたブラウザとクライアントでサポートされている TLS プロトコルを拡張したものです。SNI を使用して HTTPS リクエストに対応するように CloudFront を設定した場合、CloudFront は代替ドメイン名を各エッジロケーションの IP アドレスと関連付けます。ビューワーがコンテンツに対して HTTPS リクエストを送信すると、DNS は、正しいエッジロケーションの IP アドレスにリクエストをルーティングします。ドメイン名の IP アドレスが SSL/TLS ハンドシェイクネゴシエーション中に決定されます。IP アドレスはディストリビューション専用にはなりません。

### 修正
<a name="cloudfront-8-remediation"></a>

SNI を使用して HTTPS リクエストを処理するように CloudFront ディストリビューションを設定するには、「CloudFront デベロッパーガイド」の「[SNI を使用した HTTPS リクエストの処理 (ほとんどのクライアントで動作)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni)」を参照してください。カスタム SSL 証明書の詳細については、「[CloudFront で SSL/TLS 証明書を使用するための要件](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html)」を参照してください。

## [CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります
<a name="cloudfront-9"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Amazon CloudFront ディストリビューションがカスタムオリジンへのトラフィックを暗号化しているかチェックします。このコントロールは、オリジンプロトコルポリシーが「http-only」を許可されている CloudFront ディストリビューションでは失敗します。ディストリビューションのオリジンプロトコルポリシーが「match-viewer」で、ビューワープロトコルポリシーが「allow-all」である場合にも、このコントロールは失敗します。

HTTPS (TLS) は、ネットワークトラフィックの傍受や操作を防止するために使用できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。

### 修正
<a name="cloudfront-9-remediation"></a>

CloudFront 接続の暗号化を義務付けするようにオリジンプロトコルポリシーを更新するには、「*Amazon CloudFront デベロッパーガイド*」の「[CloudFront とカスタムオリジン間の通信で HTTPS を必須にする](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html)」を参照してください。

## [CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください
<a name="cloudfront-10"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、NIST.800-171.r2 3.13.15、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon CloudFront ディストリビューションが、CloudFront エッジロケーションとカスタムオリジン間の HTTPS 通信に、非推奨の SSL プロトコルを使用しているかどうかをチェックします。CloudFront ディストリビューションに、`OriginSslProtocols` が `SSLv3` を含む `CustomOriginConfig` が使用されていると、このコントロールは失敗します。

2015 年、Internet Engineering Task Force (IETF) は、SSL 3.0 はプロトコルの安全性が不十分であることから廃止すべきであると、正式に発表しました。カスタムオリジンへの HTTPS 通信には、TLSv1.2 以降を使用することが推奨されます。

### 修正
<a name="cloudfront-10-remediation"></a>

CloudFront ディストリビューションのオリジン SSL プロトコルを更新する方法については、「*Amazon CloudFront デベロッパーガイド*」の「[CloudFront とカスタムオリジン間の通信で HTTPS を必須にする](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html)」を参照してください。

## [CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります
<a name="cloudfront-12"></a>

**関連する要件:** NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、PCI DSS v4.0.1/2.2.6

**カテゴリ:** 識別 > リソース設定

**重要度:** 高

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon CloudFront ディストリビューションが存在しない Amazon S3 オリジンをポイントしていないかどうかを確認します。存在しないバケットをポイントするようにオリジンが設定されている場合、CloudFront ディストリビューション用のコントロールは失敗します。このコントロールは、静的ウェブサイトホスティングのない S3 バケットが S3 オリジンである CloudFront ディストリビューションのみに適用されます。

アカウントの CloudFront ディストリビューションが、存在しないバケットをポイントする設定になっている場合、悪意のある第三者が参照先のバケットを作成し、ディストリビューションを通して独自のコンテンツを供給してくる恐れがあります。ルーティング動作に関係なくすべてのオリジンをチェックして、ディストリビューションが適切なオリジンをポイントしていることを確認することをお勧めします。

### 修正
<a name="cloudfront-12-remediation"></a>

CloudFront ディストリビューションを変更して新しいオリジンをポイントさせるには、「*Amazon CloudFront デベロッパーガイド*」の「[ディストリビューションの更新](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html)」を参照してください。

## [CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります
<a name="cloudfront-13"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

**重要度:** 中

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon S3 オリジンを使用する Amazon CloudFront ディストリビューションにオリジンアクセスコントロール (OAC) が設定されているかどうかをチェックします。OAC が CloudFront ディストリビューション用に設定されていない場合、コントロールは失敗します。

S3 バケットを CloudFront ディストリビューションのオリジンとして使用する場合、OAC を有効にできます。これにより、指定した CloudFront ディストリビューションを介してのみバケット内のコンテンツにアクセスでき、バケットや他のディストリビューションからの直接アクセスは禁止されます。CloudFront はオリジンアクセスアイデンティティ (OAI) をサポートしていますが、OAC には追加機能があり、OAI を使用するディストリビューションは OAC に移行できます。OAI は S3 オリジンに安全にアクセスする方法を提供しますが、きめ細かなポリシー設定や、 AWS 署名バージョン 4 (SigV4) AWS リージョン を必要とする で POST メソッドを使用する HTTP/HTTPS リクエストのサポートがないなどの制限があります。OAI は による暗号化もサポートしていません AWS Key Management Service。OAC は、IAM サービスプリンシパルを使用して S3 オリジンで認証するという AWS ベストプラクティスに基づいています。

### 修正
<a name="cloudfront-13-remediation"></a>

S3 オリジンの CloudFront ディストリビューション用に OAC を設定するには、「*Amazon CloudFront デベロッパーガイド*」の「[Amazon S3 オリジンへのアクセス制限](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)」を参照してください。

## [CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります
<a name="cloudfront-14"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config rule:**`tagged-cloudfront-distribution` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon CloudFront ディストリビューションにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。ディストリビューションにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ディストリビューションにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="cloudfront-14-remediation"></a>

CloudFront ディストリビューションにタグを追加するには、「*Amazon CloudFront デベロッパーガイド*」の「[Amazon CloudFront ディストリビューションのタグ付け](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html)」を参照してください。

## [CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります
<a name="cloudfront-15"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** `securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (カスタマイズ不可)

このコントロールは、Amazon CloudFront ディストリビューションが推奨 TLS セキュリティポリシーを使用するように設定されているかどうかを確認します。CloudFront ディストリビューションが推奨される TLS セキュリティポリシーを使用するように設定されていない場合、コントロールは失敗します。

ビューワーが HTTPS を使用してコンテンツにアクセスするように Amazon CloudFront ディストリビューションを設定する場合は、セキュリティポリシーを選択し、使用する最小 SSL/TLS プロトコルバージョンを指定する必要があります。これにより、CloudFront がビューワーとの通信に使用するプロトコルバージョンと、CloudFront が通信の暗号化に使用する暗号が決まります。CloudFront が提供する最新のセキュリティポリシーを使用することをお勧めします。これにより、CloudFront は最新の暗号スイートを使用して、ビューワーと CloudFront ディストリビューション間の転送中のデータを暗号化します。

**注記**  
このコントロールは、カスタム SSL 証明書を使用するように設定され、レガシークライアントをサポートするように設定されていない CloudFront ディストリビューションについてのみ結果を生成します。

### 修正
<a name="cloudfront-15-remediation"></a>

CloudFront ディストリビューションのセキュリティポリシー設定の詳細については、「*Amazon CloudFront デベロッパーガイド*」の「[ディストリビューションの更新](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html)」を参照してください。ディストリビューションのセキュリティポリシーを設定するときは、最新のセキュリティポリシーを選択してください。

## [CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります
<a name="cloudfront-16"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理 > アクセスコントロール

**重要度:** 中

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、オリジンとして AWS Lambda 関数 URL を持つ Amazon CloudFront ディストリビューションでオリジンアクセスコントロール (OAC) が有効になっているかどうかを確認します。CloudFront ディストリビューションがオリジンとして Lambda 関数 URL を持っており、かつ OAC が有効になっていない場合、コントロールは失敗します。

 AWS Lambda 関数 URL は、Lambda 関数専用の HTTPS エンドポイントです。Lambda 関数 URL が CloudFront ディストリビューションのオリジンである場合、その関数 URL はパブリックアクセス可能である必要があります。したがって、セキュリティのベストプラクティスとして、OAC を作成し、ディストリビューションの Lambda 関数 URL に追加する必要があります。OAC は IAM サービスプリンシパルを使用して、CloudFront と関数 URL 間のリクエストを認証します。また、リソースベースのポリシーを使用して、リクエストがポリシーで指定された CloudFront ディストリビューションに代わって実行されている場合にのみ、関数の呼び出しを許可します。

### 修正
<a name="cloudfront-16-remediation"></a>

Lambda 関数 URL をオリジンとして使用する Amazon CloudFront ディストリビューションの OAC の設定については、*Amazon CloudFront * [デベロッパーガイド」の AWS Lambda 「関数 URL オリジンへのアクセスを制限する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html)」を参照してください。

## [CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります
<a name="cloudfront-17"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理 > アクセスコントロール

**重要度:** 中

**リソースタイプ :** `AWS::CloudFront::Distribution`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon CloudFront ディストリビューションが、署名付き URL または署名付き Cookie 認証に信頼されたキーグループを使用するように設定されているかどうかをチェックします。CloudFront ディストリビューションが信頼された署名者を使用する場合、またはディストリビューションに認証が設定されていない場合、コントロールは失敗します。

署名付き URL または署名付き Cookie を使用するには、*署名者*が必要です。署名者は、CloudFront で作成する信頼されたキーグループ、または CloudFront キーペアを含む AWS アカウントのいずれかです。CloudFront キーグループでは、CloudFront 署名付き URLsと署名付き Cookie のパブリックキーを管理するために AWS アカウントのルートユーザーを使用する必要がないため、信頼されたキーグループを使用することをお勧めします。

**注記**  
このコントロールは、マルチテナント CloudFront ディストリビューション を評価しません`(connectionMode=tenant-only)`。

### 修正
<a name="cloudfront-17-remediation"></a>

署名付き URLs*Amazon CloudFront * [デベロッパーガイド」の「信頼されたキーグループ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html)の使用」を参照してください。

# の Security Hub CSPM コントロール AWS CloudTrail
<a name="cloudtrail-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS CloudTrail サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。
<a name="cloudtrail-1"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.1、 CIS AWS Foundations Benchmark v1.2.0/2.1、 CIS AWS Foundations Benchmark v1.4.0/3.1、 CIS AWS Foundations Benchmark v3.0.0/3.1、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9)、 NIST.800-53.r5 AU-10、 NIST.800-53.r5 AU-12、 NIST.800-53.r5 AU-2、 NIST.800-53.r5 AU-3、 NIST.800-53.r5 AU-6(3)、 NIST.800-53.r5 AU-6(4)、 NIST.800-53.r5 AU-14(1)、 NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、 NIST.800-53.r5 SI-3(8)、 NIST.800-53.r5 SI-4(20)、 NIST.800-53.r5 SI-7(8)、 NIST.800-53.r5 SA-8(22)

**カテゴリ:** 識別 > ログ記録

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :**
+ `readWriteType`: `ALL` (カスタマイズ不可)

  `includeManagementEvents`: `true` (カスタマイズ不可)

このコントロールは、読み取りおよび書き込み管理イベントをキャプチャするマルチリージョン AWS CloudTrail 証跡が少なくとも 1 つあるかどうかを確認します。CloudTrail が無効になっているか、読み取りおよび書き込み管理イベントをキャプチャする CloudTrail 証跡が少なくとも 1 つ存在しない場合、コントロールは失敗します。

AWS CloudTrail は、アカウントの AWS API コールを記録し、ログファイルを配信します。記録された情報には、以下の情報が含まれます。
+ API 発信者の ID
+ API コールの時刻
+ API 発信者の送信元 IP アドレス
+ リクエストパラメータ
+ によって返されるレスポンス要素 AWS のサービス

CloudTrail は、、 AWS SDKs AWS マネジメントコンソール、コマンドラインツールからの AWS API コールなど、アカウントの API コールの履歴を提供します。履歴には、 AWS のサービス などの上位レベルの API コールも含まれます AWS CloudFormation。

CloudTrail によって生成された AWS API コール履歴により、セキュリティ分析、リソース変更の追跡、コンプライアンス監査が可能になります。マルチリージョン追跡には、次の利点もあります。
+ マルチリージョン追跡により、使用していないリージョンで発生する予期しないアクティビティを検出できます。
+ マルチリージョン追跡では、グローバルサービスイベントのログ記録がデフォルトで追跡に対して確実に有効になっています。グローバルサービスイベントのログ記録は、 AWS グローバルサービスによって生成されたイベントを記録します。
+ マルチリージョン追跡では、すべての読み取りオペレーションと書き込みオペレーションの管理イベントによって、CloudTrail がすべての AWS アカウントアカウントのリソースに対する管理オペレーションを確実に記録します。

デフォルトでは、 を使用して作成された CloudTrail 証跡はマルチリージョン証跡 AWS マネジメントコンソール です。

### 修正
<a name="cloudtrail-1-remediation"></a>

CloudTrail で新しいマルチリージョンの追跡を作成するには、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。以下の値を使用します。


| フィールド | 値 | 
| --- | --- | 
|  追加設定、ログファイル検証  |  有効  | 
|  ログイベント、管理イベント、API アクティビティを選択  |  **[読み取り]** と **[書き込み]** 除外にするチェックボックスはオフにしてください。  | 

既存の追跡を更新するには、「*AWS CloudTrail ユーザーガイド*」の「[追跡の更新](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html)」を参照してください。**[管理イベント]** の **[API アクティビティ]** で、**[読み取り]** と **[書き込み]** を選択します。

## [CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります
<a name="cloudtrail-2"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.5、CIS AWS Foundations Benchmark v1.2.0/2.7、CIS AWS Foundations Benchmark v1.4.0/3.7、CIS AWS Foundations Benchmark v3.0.0/3.5、NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53SC-28.r5 SC-28 (1)、NIST.800-53.r5 SC-7 SI-710.3.2

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::CloudTrail::Trail`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ:** なし

このコントロールは、CloudTrail がサーバー側の暗号化 (SSE) AWS KMS key 暗号化を使用するよう設定されているかどうかをチェックします。`KmsKeyId` が定義されていない場合、コントロールは失敗します。

機密性の高い CloudTrail ログファイルのセキュリティを強化するには、CloudTrail ログファイルに [AWS KMS keys (SSE-KMS) を使用したサーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html)を使用して保管時の暗号化を行う必要があります。デフォルトでは、CloudTrail によってバケットに配信されるログファイルは、「[Amazon S3 マネージド暗号化キーによる Amazon サーバー側の暗号化 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)」によって暗号化されることに注意してください。

### 修正
<a name="cloudtrail-2-remediation"></a>

CloudTrail ログファイルの SSE-KMS 暗号化を有効にするには、「*AWS CloudTrail ユーザーガイド*」の「[KMS キーを使用するように追跡を更新する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail)」を参照してください。

## [CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります
<a name="cloudtrail-3"></a>

**関連する要件:** NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7、PCI DSS v3.2.1/10.1、PCI DSS v3.2.1/10.2.1、PCI DSS v3.2.1/10.2.2、PCI DSS v3.2.1/10.2.3、PCI DSS v3.2.1/10.2.4、PCI DSS v3.2.1/10.2.5、PCI DSS v3.2.1/10.2.6、PCI DSS v3.2.1/10.2.7、PCI DSS v3.2.1/10.3.1、PCI DSS v3.2.1/10.3.2、PCI DSS v3.2.1/10.3.3、PCI DSS v3.2.1/10.3.4、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.6、PCI DSS v4.0.1/10.2.1

**カテゴリ:** 識別 > ログ記録

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 で AWS CloudTrail 証跡が有効になっているかどうかを確認します AWS アカウント。アカウントに少なくとも 1 つの CloudTrail 追跡が有効になっていない場合、コントロールは失敗します。

ただし、一部の AWS サービスでは、すべての APIsとイベントのログ記録が有効になっていません。CloudTrail 以外の監査追跡を追加で実装し、「[CloudTrail のサポートされているサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)」内の各サービスのドキュメントを確認してください。

### 修正
<a name="cloudtrail-3-remediation"></a>

CloudTrail の使用を開始し、証跡を作成するには、*AWS CloudTrail 「 ユーザーガイド*」の[「Getting started with AWS CloudTrail tutorial](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html)」を参照してください。

## [PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります
<a name="cloudtrail-4"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.2、CIS AWS Foundations Benchmark v1.2.0/2.2、CIS AWS Foundations Benchmark v1.4.0/3.2、CIS AWS Foundations Benchmark v3.0.0/3.2、NIST.800-53.r5 AU-9、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-7(1)、NIST.800-53.r5 SI-7(3)、NIST.800-53.r5 SI-7(7)、NIST.800-1.r2 3.3.8、PCI v3.210.5.210.5.510.3.2

**カテゴリ:** データ保護 > データの整合性

**重要度:** 低

**リソースタイプ :** `AWS::CloudTrail::Trail`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ:** なし

このコントロールは、CloudTrail 追跡でログファイルの整合性の検証が有効になっているかどうかをチェックします。

CloudTrail ログファイルの検証では、CloudTrail が Amazon S3 に書き込む各ログのハッシュを含むデジタル署名されたダイジェストファイルを作成します。これらのダイジェストファイルを使用して、CloudTrail がログを配信した後でログファイルが変更、削除、または変更されなかったかどうかを判断できます。

Security Hub CSPM では、すべての証跡でファイル検証を有効にすることをお勧めします。ログファイルの検証により、CloudTrail ログの追加の整合性チェックが提供されます。

### 修正
<a name="cloudtrail-4-remediation"></a>

CloudTrail ログファイルの検証を有効にするには、「*AWS CloudTrail ユーザーガイド*」の「[CloudTrail のログファイルの整合性検証を有効にする](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html)」を参照してください。

## [CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります
<a name="cloudtrail-5"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.4、 PCI DSS v3.2.1/10.5.3、 CIS AWS Foundations Benchmark v1.2.0/2.4、 CIS AWS Foundations Benchmark v1.4.0/3.4、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9)、 NIST.800-53.r5 AU-10、 NIST.800-53.r5 AU-12、 NIST.800-53.r5 AU-2、 NIST.800-53.r5 AU-3、 NIST.800-53.r5 AU-6(1)、 NIST.800-53.r5 AU-6(3)、 NIST.800-53.r5 AU-6(4)、 NIST.800-53.r5 AU-6(5)、 NIST.800-53.r5 AU-7(1)、 NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、 NIST.800-53.r5 SI-20、 NIST.800-53.r5 SI-3(8)、 NIST.800-53.r5 SI-4(20)、 NIST.800-53.r5 SI-4(5)、 NIST.800-53.r5 SI-7(8)

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::CloudTrail::Trail`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ:** なし

このコントロールは、CloudWatch Logs にログを送信するように CloudTrail 追跡が設定されているかどうかをチェックします。追跡の `CloudWatchLogsLogGroupArn` プロパティが空の場合、コントロールは失敗します。

CloudTrail は、特定のアカウントで行われた AWS API コールを記録します。記録された情報には、以下が含まれます。
+ API 発信者のアイデンティティ
+ API コールの時刻
+ API 発信者の送信元 IP アドレス
+ リクエストパラメータ
+ によって返されるレスポンス要素 AWS のサービス

CloudTrail はログファイルの保存と配信に Amazon S3 を使用します。長期分析のために、指定した S3 バケットの CloudTrail ログをキャプチャできます。リアルタイム分析を実行するには、CloudWatch Logs にログを送信するように CloudTrail を設定できます。

アカウント内のすべてのリージョンで有効になっている追跡では、CloudTrail はそれらすべてのリージョンからログファイルを CloudWatch Logs ロググループに送信します。

Security Hub CSPM では、CloudTrail ログを CloudWatch Logs に送信することをお勧めします。この推奨事項は、アカウントアクティビティが確実にキャプチャおよびモニタリングされ、適切なアラームが出されることを確認する目的であることにご注意ください CloudWatch Logs を使用して、 でこれをセットアップできます AWS のサービス。この推奨事項は、別のソリューションの使用を除外するものではありません。

CloudTrail ログを CloudWatch Logs に送信すると、ユーザー、API、リソース、および IP アドレスに基づいてリアルタイムおよび過去のアクティビティを簡単にログに記録できます。この方法を使用して、異常または機密性の高いアカウントアクティビティに対してアラームと通知を確立できます。

### 修正
<a name="cloudtrail-5-remediation"></a>

CloudTrail を CloudWatch Logs と統合するには、「*AWS CloudTrail ユーザーガイド*」の「[CloudWatch Logs へのイベントの送信](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html)」を参照してください。

## [CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します
<a name="cloudtrail-6"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/2.3、CIS AWS Foundations Benchmark v1.4.0/3.3、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 識別 > ログ記録

**重要度:** 非常事態

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ:** 定期的および変更がトリガーされた場合

**パラメータ :** なし

CloudTrail は、アカウント内で実行された API コールをすべて記録します。これらのログファイルは S3 バケットに保存されます。CIS では、CloudTrail が記録する S3 バケットに S3 バケットポリシーまたはアクセスコントロールリスト (ACL) を適用して、CloudTrail ログへのパブリックアクセスを禁止することを推奨しています。CloudTrail ログコンテンツへのパブリックアクセスを許可すると、攻撃者が感染したアカウントの使用または設定における弱点を特定する手助けとなる可能性があります。

このチェックを実行するために、Security Hub CSPM はまずカスタムロジックを使用して、CloudTrail ログが保存されている S3 バケットを探します。次に、 AWS Config マネージドルールを使用して、バケットがパブリックにアクセス可能であることを確認します。

ログを 1 つの一元化された S3 バケットに集約する場合、Security Hub CSPM は、一元化された S3 バケットがあるアカウントとリージョンに対してのみチェックを実行します。他のアカウントとリージョンでは、コントロールステータスは **[No data]** (データなし) となります。

バケットがパブリックアクセス可能な場合、チェックにより結果 (失敗) が生成されます。

### 修正
<a name="cloudtrail-6-remediation"></a>

CloudTrail S3 バケットへのパブリックアクセスをブロックするには、「*Amazon Simple Storage Service ユーザーガイド*」の「[3 バケットへのパブリックアクセスブロック設定の構成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)」を参照してください。4 つの Amazon S3 パブリックアクセスブロック設定をすべて選択します。

## [CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します
<a name="cloudtrail-7"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/2.6、CIS AWS Foundations Benchmark v1.4.0/3.6、CIS AWS Foundations Benchmark v3.0.0/3.4、PCI DSS v4.0.1/10.2.1

**カテゴリ:** 識別 > ログ記録

**重要度:** 低

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

S3 バケットアクセスログ記録により、S3 バケットに対して行われたリクエストごとのアクセスレコードを含むログが生成されます。アクセスログレコードには、リクエストのタイプ、リクエストに指定されたリソース、リクエストが処理された日時など、リクエストの詳細が記録されます。

CIS では、CloudTrail S3 バケットでバケットアクセスログ記録を有効にすることを推奨しています。

ターゲット S3 バケットで S3 バケットのログ記録を有効にすることで、ターゲットバケット内のオブジェクトに影響を与える可能性のあるすべてのイベントをキャプチャできます。ログを別のバケットに配置するように設定すると、ログ情報にアクセスできるようになり、セキュリティおよびインシデント対応のワークフローで役立ちます。

このチェックを実行するために、Security Hub CSPM はまずカスタムロジックを使用して CloudTrail ログが保存されているバケットを検索し、次に AWS Config マネージドルールを使用してログ記録が有効になっているかどうかを確認します。

CloudTrail が複数の から 1 つの送信先 Amazon S3 バケット AWS アカウント にログファイルを配信する場合、Security Hub CSPM はこのコントロールが配置されているリージョンの送信先バケットに対してのみこのコントロールを評価します。これにより、結果が効率化されます。ただし、宛先バケットにログを配信するすべてのアカウントで CloudTrail を有効にする必要があります。宛先バケットを保持しているアカウントを除くすべてのアカウントの制御ステータスは「**データなし**」です。

### 修正
<a name="cloudtrail-7-remediation"></a>

CloudTrail S3 バケットのサーバーアクセスのログ記録を有効にするには、「*Amazon Simple Storage Service ユーザーガイド*」の「[Amazon S3 サーバーアクセスログの有効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging)」を参照してください。

## [CloudTrail.9] CloudTrail 証跡にはタグを付ける必要があります
<a name="cloudtrail-9"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::CloudTrail::Trail`

**AWS Config rule:** `tagged-cloudtrail-trail` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS CloudTrail 証跡にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。証跡にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、証跡にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="cloudtrail-9-remediation"></a>

CloudTrail 証跡にタグを追加するには、「*AWS CloudTrail API リファレンス*」の「[AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)」を参照してください。

## [CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys
<a name="cloudtrail-10"></a>

**関連する要件:** NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::CloudTrail::EventDataStore`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  評価 AWS KMS keys に含める の Amazon リソースネーム (ARNs) のリスト。イベントデータストアがリスト内の KMS キーで暗号化されていない場合、コントロールは `FAILED` 結果を生成します。  |  StringList (最大 3 項目)  |  既存の KMS キーの 1～3 個の ARN。例: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。  |  デフォルト値なし  | 

このコントロールは、 AWS CloudTrail Lake イベントデータストアがカスタマーマネージドで保管中に暗号化されているかどうかをチェックします AWS KMS key。イベントデータストアがカスタマーマネージド KMS キーで暗号化されていない場合、コントロールは失敗します。必要に応じて、コントロールの評価に含める KMS キーのリストを指定することができます。

デフォルトでは、 AWS CloudTrail Lake は AES-256 アルゴリズムを使用して Amazon S3 マネージドキー (SSE-S3) でイベントデータストアを暗号化します。追加の制御のために、代わりにカスタマーマネージド AWS KMS key (SSE-KMS) を使用してイベントデータストアを暗号化するように CloudTrail Lake を設定できます。カスタマーマネージド KMS キーは、 AWS KMS key で作成、所有、管理する です AWS アカウント。ユーザーは、このタイプの KMS キーについては完全なコントロール権を持ちます。これには、キーポリシーの定義と維持管理、許可の管理、暗号化マテリアルのローテーション、タグの割り当て、エイリアスの作成、キーの有効化と無効化が含まれます。CloudTrail データの暗号化オペレーションでカスタマーマネージド KMS キーを使用して、CloudTrail ログでその使用を監査することができます。

### 修正
<a name="cloudtrail-10-remediation"></a>

指定した を使用して AWS CloudTrail Lake イベントデータストアを暗号化する方法については、*AWS CloudTrail 「 ユーザーガイド*」の AWS KMS key [「イベントデータストアの更新](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html)」を参照してください。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。

# Amazon CloudWatch の Security Hub CSPM コントロール
<a name="cloudwatch-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon CloudWatch サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります
<a name="cloudwatch-1"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/1.1、CIS AWS Foundations Benchmark v1.2.0/3.3、CIS AWS Foundations Benchmark v1.4.0/1.7、CIS AWS Foundations Benchmark v1.4.0/4.3、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7、PCI DSS v3.2.1/7.2.1

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

ルートユーザーは、 AWS アカウントのすべてのリソースとサービスに完全かつ無制限にアクセスできます。日常的なタスクにはルートユーザーを使用しないことが強く推奨されます。ルートユーザーの使用を最小限にし、アクセス管理の最小特権の原則を採用することにより、高い権限を持つ認証情報の意図しない変更や偶発的な開示のリスクが軽減されます。

ベストプラクティスは、[アカウントおよびサービスの管理タスクを実行する](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)ときに必要となる場合のみ、ルートユーザー認証情報を使用することです。 AWS Identity and Access Management (IAM) ポリシーをグループとロールに直接適用しますが、ユーザーには適用されません。日常的に使用する管理者を設定する方法のチュートリアルについては、「*IAM ユーザーガイド*」の「[Creating your first IAM admin user and group](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)」を参照してください。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 1.7 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-1-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-2"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.1、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、不正な API コールに対するメトリクスフィルターとアラームを作成することを推奨しています。不正な API コールをモニタリングすることでアプリケーションエラーを明らかにし、悪意のあるアクティビティを検出するのにかかる時間を短縮できる可能性があります。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.2 のコントロール 3.1 ](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-2-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-3"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.2

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、MFA で保護されていないコンソールログインに対するメトリクスフィルターとアラームを作成することを推奨しています。単一要素のコンソールログインをモニタリングすることにより、MFA によって保護されていないアカウントへの可視性が向上します。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.2 のコントロール 3.2 ](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-3-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-4"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.4、CIS AWS Foundations Benchmark v1.4.0/4.4、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行するかどうかを確認します。

CIS では、IAM ポリシーに加えられた変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、認証と認可の管理が損なわれないようにできます。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-4-remediation"></a>

**注記**  
これらの修復手順で推奨されるフィルターパターンは、CIS ガイダンスのフィルターパターンとは異なります。推奨フィルターは IAM API 呼び出しからのイベントのみを対象としています。

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-5"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.5、CIS AWS Foundations Benchmark v1.4.0/4.5、NIST.800-171.r2 3.3.8、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、CloudTrail 構成設定の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、アカウント内のアクティビティを継続的に可視化できます。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.5 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-5-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する
<a name="cloudwatch-6"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.6、CIS AWS Foundations Benchmark v1.4.0/4.6、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、コンソール認証の試行の失敗に対するメトリクスフィルターとアラームを作成することを推奨しています。コンソールログインの失敗をモニタリングすることにより、認証情報へのブルートフォース攻撃の試行の検出にかかるリードタイムを短縮できる可能性があり、ソース IP などの、他のイベント相関で使用できるインジケータが得られる可能性もあります。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.6 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-6-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-7"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.7、CIS AWS Foundations Benchmark v1.4.0/4.7、NIST.800-171.r2 3.13.10、NIST.800-171.r2 3.13.16、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、状態が無効またはスケジュールされた削除に変更されたカスタマーマネージドキーに対するメトリクスフィルターとアラームを作成することを推奨しています。無効になっているか、または削除されたキーで暗号化されたデータには、アクセスできなくなります。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.7 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。`ExcludeManagementEventSources` が `kms.amazonaws.com` を含む場合も、コントロールは失敗します。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-7-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-8"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.8、CIS AWS Foundations Benchmark v1.4.0/4.8、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、S3 バケットポリシーの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、機密性の高い S3 バケットの過剰な権限のあるポリシーを検出して修正するまでの時間を短縮できます。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.8 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-8-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する
<a name="cloudwatch-9"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.9、CIS AWS Foundations Benchmark v1.4.0/4.9、NIST.800-171.r2 3.3.8、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、 AWS Config 構成設定の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、アカウント内の設定項目を継続的に可視化できます。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.9 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-9-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-10"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.10、CIS AWS Foundations Benchmark v1.4.0/4.10、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。セキュリティグループは、VPC の入力トラフィックと出力トラフィックを制御するステートフルパケットフィルターです。

CIS では、セキュリティグループの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることにより、リソースやサービスが意図せずに公開されないようにできます。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.10 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-10-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-11"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.11、CIS AWS Foundations Benchmark v1.4.0/4.11、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。NACL は、VPC 内のサブネットの入力トラフィックと出力トラフィックを制御するためのステートレスパケットフィルターとして使用されます。

CIS では、NACL の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、 AWS リソースとサービスが意図せずに公開されないようにすることができます。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.11 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-11-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-12"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.12、CIS AWS Foundations Benchmark v1.4.0/4.12、NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.13.1

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。ネットワークゲートウェイは、VPC の外部にある送信先との間でトラフィックを送受信する必要があります。

CIS では、ネットワークゲートウェイの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることにより、すべての入力トラフィックと出力トラフィックが制御されたパスを通じて VPC 境界を通過するようになります。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.2 のコントロール 4.12 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-12-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-13"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.13、CIS AWS Foundations Benchmark v1.4.0/4.13、NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行するかどうかを確認します。ルーティングテーブルは、サブネット間およびネットワークゲートウェイへのネットワークトラフィックをルーティングします。

CIS では、ルートテーブルの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、すべての VPC トラフィックが確実に想定どおりのパスを通過するようにできます。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-13-remediation"></a>

**注記**  
これらの修復手順で推奨されるフィルターパターンは、CIS ガイダンスのフィルターパターンとは異なります。推奨フィルターは Amazon Elastic Compute Cloud (EC2) 呼び出しからのイベントのみを対象としています。

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-14"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.14、CIS AWS Foundations Benchmark v1.4.0/4.14、NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。1 つのアカウントに複数の VPC を含めることができるのに加えて、2 つの VPC 間にピア接続を作成し、ネットワークトラフィックを VPC 間でルーティングすることができます。

CIS では、VPC の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、認証と認可の管理が損なわれないようにできます。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.14 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-14-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります
<a name="cloudwatch-15"></a>

**関連する要件:** NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 IR-4(1)、NIST.800-53.r5 IR-4(5)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-4(12)、NIST.800-53.r5 SI-4(5)、NIST.800-171.r2 3.3.4、NIST.800-171.r2 3.14.6

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::CloudWatch::Alarm`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) ``

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  パラメータが `true` に設定されていて、アラームの状態が `ALARM` に変わるとアラームがアクションを起こす場合に、コントロールが `PASSED` 検出結果を生成します。  |  ブール値  |  カスタマイズ不可  |  `true`  | 
|  `insufficientDataActionRequired`  |  パラメータが `true` に設定されていて、アラームの状態が `INSUFFICIENT_DATA` に変わるとアラームがアクションを起こす場合に、コントロールが `PASSED` 検出結果を生成します。  |  ブール値  |  `true` または `false`  |  `false`  | 
|  `okActionRequired`  |  パラメータが `true` に設定されていて、アラームの状態が `OK` に変わるとアラームがアクションを起こす場合に、コントロールが `PASSED` 検出結果を生成します。  |  ブール値  |  `true` 、、または `false`  |  `false`  | 

このコントロールは、Amazon CloudWatch アラームに `ALARM` 状態に応じて設定されたアクションが 1 つ以上あるかどうかを確認します。`ALARM` 状態に対して設定されたアクションがアラームにない場合、コントロールは失敗します。必要に応じて、カスタムパラメータ値を含めて、`INSUFFICIENT_DATA` 状態または `OK` 状態のアラームアクションを要求することもできます。

**注記**  
Security Hub CSPM は、CloudWatch メトリクスアラームに基づいてこのコントロールを評価します。メトリクスアラームは、指定されたアクションが設定された複合アラームの一部である場合があります。コントロールは、次の場合に `FAILED` 検出結果を生成します。  
指定されたアクションは、メトリクスアラーム用に設定されていません。
メトリクスアラームは、指定されたアクションが設定された複合アラームの一部です。

このコントロールは CloudWatch アラームでアラームアクションが設定されているかどうかに重点を置いていますが、[CloudWatch.17](#cloudwatch-17) は CloudWatch アラームアクションのアクティベーションステータスに重点を置いています。

モニタリング対象のメトリクスが定義されたしきい値を超えると自動的に警告する CloudWatch アラームアクションを使用することをお勧めします。アラームをモニタリングすることで、異常なアクティビティを特定し、アラームが特定の状態になったときのセキュリティや運用上の問題に迅速に対応できます。アラームアクションの最も一般的なタイプは、Amazon Simple Notification Service (Amazon SNS) トピックにメッセージを送信して、1 人または複数のユーザーに通知することです。

### 修正
<a name="cloudwatch-15-remediation"></a>

CloudWatch アラームでサポートされているアクションの詳細については、「*Amazon CloudWatch ユーザーガイド*」の「[アラームアクション](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions)」を参照してください。

## [CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります
<a name="cloudwatch-16"></a>

**カテゴリ:** 識別 > ログ記録

**関連する要件:** NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-11、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-12

**重要度:** 中

**リソースタイプ :** `AWS::Logs::LogGroup`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html) ``

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |  CloudWatch ロググループの最小保持期間 (日数)  |  列挙型  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

このコントロールは、Amazon CloudWatch ロググループの保持期間が少なくとも指定された日数以上あるかどうかをチェックします。保持期間が指定された日数未満の場合、コントロールは失敗します。保持期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 365 日を使用します。

CloudWatch Logs は、すべてのシステム、アプリケーション、および からのログを 1 つの高度にスケーラブルなサービス AWS のサービス に一元化します。CloudWatch Logs を使用して、Amazon Elastic Compute Cloud (EC2) インスタンス、Amazon Route 53、およびその他のソースからログファイルをモニタリング AWS CloudTrail、保存、およびアクセスできます。ログを少なくとも 1 年間保存することで、ログ保持標準への準拠に役立ちます。

### 修正
<a name="cloudwatch-16-remediation"></a>

ログ保持の設定については、「*Amazon CloudWatch ユーザーガイド*」の「[Change log data retention in CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)」を参照してください。

## [CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります
<a name="cloudwatch-17"></a>

**カテゴリ:** 検出 > 検出サービス

**関連する要件:** NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-4(12)

**重要度:** 高

**リソースタイプ :** `AWS::CloudWatch::Alarm`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html) ``

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、CloudWatch アラームアクションがアクティブになっているかどうかをチェックします (`ActionEnabled` を true に設定する必要があります)。CloudWatch アラームのアラームアクションが非アクティブ化されていると、コントロールは失敗します。

**注記**  
Security Hub CSPM は、CloudWatch メトリクスアラームに基づいてこのコントロールを評価します。メトリクスアラームは、アラームアクションがアクティブ化された複合アラームの一部である場合があります。コントロールは、次の場合に `FAILED` 検出結果を生成します。  
指定されたアクションは、メトリクスアラーム用に設定されていません。
メトリクスアラームは、アラームアクションがアクティブ化された複合アラームの一部です。

このコントロールは CloudWatch アラームアクションのアクティベーションステータスに重点を置いていますが、[CloudWatch.15](#cloudwatch-15) は CloudWatch アラームで `ALARM` アクションが設定されているかどうかに重点を置いています。

アラームアクションは、モニタリング対象のメトリクスが定義されたしきい値を超えると自動的に警告します。アラームアクションが非アクティブ化されている場合、アラームの状態が変わってもアクションは実行されず、モニタリング対象メトリクスの変更に関する警告は表示されません。セキュリティや運用上の問題に迅速に対応できるように、CloudWatch アラームアクションをアクティブにすることをお勧めします。

### 修正
<a name="cloudwatch-17-remediation"></a>

**CloudWatch アラームアクションを有効にアクティブにするには (コンソール)**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. ナビゲーションペインの **[アラーム]** で、**[すべてのアラーム]** を選択します。

1. アクションをアクティブにするアラームを選択します。

1. **[アクション]** で、**[アラームアクション — 新規]** を選択し、**[有効化]** を選択します。

CloudWatch アラームアクションのアクティブ化の詳細については、「*Amazon CloudWatch ユーザーガイド*」の「[アラームアクション](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions)」を参照してください。

# CodeArtifact の Security Hub CSPM コントロール
<a name="codeartifact-controls"></a>

これらの Security Hub CSPM コントロールは、 AWS CodeArtifact サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります
<a name="codeartifact-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::CodeArtifact::Repository`

**AWS Config rule:** `tagged-codeartifact-repository` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS CodeArtifact リポジトリにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。リポジトリにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、リポジトリにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="codeartifact-1-remediation"></a>

CodeArtifact リポジトリにタグを追加するには、「*AWS CodeArtifact ユーザーガイド*」の「[CodeArtifact のリポジトリにタグを付ける](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html)」を参照してください。

# CodeBuild の Security Hub CSPM コントロール
<a name="codebuild-controls"></a>

これらの Security Hub CSPM コントロールは、 AWS CodeBuild サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください
<a name="codebuild-1"></a>

**関連する要件:** NIST.800-53.r5 SA-3、PCI DSS v3.2.1/8.2.1、PCI DSS v4.0.1/8.3.2

**カテゴリ:** 保護 > セキュアな開発

**重要度:** 非常事態

**リソースタイプ :** `AWS::CodeBuild::Project`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS CodeBuild プロジェクトの Bitbucket ソースリポジトリ URL に個人用アクセストークンが含まれているか、ユーザー名とパスワードが含まれているかをチェックします。コントロールは、Bitbucket のソースレポジトリの URL に、個人用のアクセストークンまたはユーザー名とパスワードが含まれているかどうかをチェックします。

**注記**  
このコントロールは、CodeBuild ビルドプロジェクトのプライマリソースとセカンダリソースの両方を評価します。プロジェクトソースの詳細については、「*AWS CodeBuild ユーザーガイド*」の「[複数の入力ソースと出力アーティファクトのサンプル](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html)」を参照してください。

サインイン認証情報は、クリアテキストで保存または送信したり、ソースリポジトリ URL に表示しないでください。個人用アクセストークンやサインイン認証情報の代わりに、CodeBuild のソースプロバイダーにアクセスし、Bitbucket リポジトリの場所へのパスのみを含むようにソースリポジトリ URL を変更する必要があります。個人用アクセストークンまたはサインイン認証情報を使用すると、意図しないデータ漏えいや不正アクセスに認証情報が公開される可能性があります。

### 修正
<a name="codebuild-1-remediation"></a>

CodeBuild プロジェクトを更新することで OAuth を使用できます。

**基本認証/(GitHub) 個人用のアクセストークンを CodeBuild プロジェクトソースから削除するには**

1. CodeBuild コンソール ([https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/)) を開きます。

1. 個人用のアクセストークンまたはユーザー名とパスワードを含むビルドプロジェクトを選択します。

1. **[Edit]** (編集) から、**[Source]** (ソース) を選択します。

1. **[Disconnect from GitHub / Bitbucket]** (GitHub/Bitbucket から切断) を選択します。

1. **[Connect using OAuth]** (OAuth を使用して接続する) を選択し、**[Connect to GitHub / Bitbucket]** (GitHub/Bitbucket に接続する) を選択します。

1. プロンプトが表示されたら、**[authorize as appropriate**] (必要に応じて認可)を選択します。

1. 必要に応じて、[Repository URL] (リポジトリ URL) と [additional configuration] (追加の設定) を再設定します。

1. **[Update source]** (ソースの更新) を選択します。

詳細については、「AWS CodeBuild ユーザーガイド」の「[CodeBuild ユースケースベースのサンプル](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html)」を参照してください。

## [CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません
<a name="codebuild-2"></a>

**関連する要件:** NIST.800-53.r5 IA-5(7)、NIST.800-53.r5 SA-3、PCI DSS v3.2.1/8.2.1、PCI DSS v4.0.1/8.3.2

**カテゴリ:** 保護 > セキュアな開発

**重要度:** 非常事態

**リソースタイプ :** `AWS::CodeBuild::Project`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、プロジェクトに環境変数 `AWS_ACCESS_KEY_ID` と `AWS_SECRET_ACCESS_KEY` が含まれているかどうかをチェックします。

認証情報 `AWS_ACCESS_KEY_ID` および `AWS_SECRET_ACCESS_KEY` はクリアテキストで保存しないでください。これは、意図しないデータ漏えいや不正アクセスに認証情報が公開される可能性があるためです。

### 修正
<a name="codebuild-2-remediation"></a>

CodeBuild プロジェクトから環境変数を削除するには、「*AWS CodeBuild ユーザーガイド*」の「[AWS CodeBuildでのビルドプロジェクトの設定の変更](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html)」を参照してください。**[環境変数]** に何も選択されていないことを確認します。

機密値を持つ環境変数を Parameter Store AWS Systems Manager または に保存し AWS Secrets Manager 、ビルド仕様から取得できます。手順については、「*AWS CodeBuild ユーザーガイド*」の「[Environment section](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment)」セクションで、「**重要**」ラベルの付いたボックスを参照してください。

## [CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります
<a name="codebuild-3"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)、PCI DSS v4.0.1/10.3.2

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 低

**リソースタイプ :** `AWS::CodeBuild::Project`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS CodeBuild プロジェクトの Amazon S3 ログが暗号化されているかどうかを確認します。CodeBuild プロジェクトの S3 ログの暗号化が無効になっていると、コントロールは失敗します。

保管中のデータの暗号化は、データ周辺にアクセス管理のレイヤーを追加するために推奨されるベストプラクティスです。保管中のログを暗号化すると、 によって認証されていないユーザーがディスクに保存されているデータにアクセスするリスクが軽減 AWS されます。権限のないユーザーがデータにアクセスできる能力を制限するための一連のアクセスコントロールが追加されます。

### 修正
<a name="codebuild-3-remediation"></a>

CodeBuild プロジェクトの S3 ログの暗号化設定を変更するには、「*AWS CodeBuild ユーザーガイド*」の「[Change a build project's settings in AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html)」を参照してください。

## [CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です
<a name="codebuild-4"></a>

**関連する要件:** NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::CodeBuild::Project`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、CodeBuild プロジェクト環境で S3 または CloudWatch ログが有効になっているログオプションが、少なくとも 1 つあるかどうかをチェックします。CodeBuild プロジェクト環境で少なくとも 1 つのログオプションが有効になっていない場合は、このコントロールは失敗します。

セキュリティの観点から、ログ記録はセキュリティインシデントが発生した場合に、将来的に証拠の取り組みを可能にするために重要な機能です。CodeBuild プロジェクトの異常を脅威検出と関連付けることで、これらの脅威検出の精度に対する信頼性を高めることができます。

### 修正
<a name="codebuild-4-remediation"></a>

CodeBuild プロジェクトログの設定方法の詳細については、「CodeBuild ユーザーガイド」の「[ビルドプロジェクトの作成 (コンソール)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs)」を参照してください。

## [CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください
<a name="codebuild-5"></a>

**重要**  
Security Hub CSPM は、2024 年 4 月にこのコントロールを廃止しました。詳細については、「[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)」を参照してください。

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(10)、NIST.800-53.r5 AC-6(2)

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 高

**リソースタイプ :** `AWS::CodeBuild::Project`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS CodeBuild プロジェクト環境の特権モードが有効か無効かをチェックします。コントロールは、CodeBuild プロジェクト環境で特権モードが有効な場合は失敗します。

デフォルトでは、Docker コンテナはどのデバイスにもアクセスを許可できません。権限モードは、ビルドプロジェクトの Docker コンテナにすべてのデバイスへのアクセスを許可します。Docker コンテナ内で Docker デーモンの実行を許可するには、`privilegedMode` に `true` の値を設定します。Docker デーモンは、Docker API リクエストをリッスンし、イメージ、コンテナ、ネットワーク、ボリュームなどの Docker オブジェクトを管理します。このパラメータは、ビルドプロジェクトを使用して Docker イメージをビルドする場合にのみ、true に設定する必要があります。それ以外の場合、Docker API およびコンテナの基盤となるハードウェアへの意図しないアクセスを防ぐため、この設定を無効にする必要があります。`privilegedMode` を `false` に設定すると、重要なリソースを改ざんや削除から保護するのに役立ちます。

### 修正
<a name="codebuild-5-remediation"></a>

CodeBuild プロジェクト環境設定を設定するには、「*CodeBuild ユーザーガイド*」の「[Create a build project (console)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment)」を参照してください。**[環境]** セクションでは、**[特権付与]** 設定を選択しないでください。

## [CodeBuild.7] CodeBuild レポートグループのエクスポートは保管時に暗号化する必要があります
<a name="codebuild-7"></a>

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::CodeBuild::ReportGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Simple Storage Service (Amazon S3) バケットにエクスポートされた AWS CodeBuild レポートグループのテスト結果が保管時に暗号化されているかどうかを確認します。レポートグループのエクスポートが保管時に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。

### 修正
<a name="codebuild-7-remediation"></a>

S3 へのレポートグループのエクスポートを暗号化するには、 「*AWS CodeBuild ユーザーガイド*」の「[レポートグループの更新](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html)」を参照してください。

# Amazon CodeGuru Profiler の Security Hub CSPM コントロール
<a name="codeguruprofiler-controls"></a>

これらの Security Hub CSPM コントロールは、Amazon CodeGuru Profiler サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります
<a name="codeguruprofiler-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::CodeGuruProfiler::ProfilingGroup`

**AWS Config ルール :** `codeguruprofiler-profiling-group-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon CodeGuru Profiler プロファイリンググループに、パラメータ `requiredKeyTags` で定義された特定のキーを持つタグがあるかどうかをチェックします。プロファイリンググループにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、プロファイリンググループがキーでタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="codeguruprofiler-1-remediation"></a>

CodeGuru Profiler プロファイリンググループにタグを追加するには、「[Amazon CodeGuru Profiler ユーザーガイド](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html)」の「*Tagging profiling groups*」を参照してください。

# Amazon CodeGuru Reviewer の Security Hub CSPM コントロール
<a name="codegurureviewer-controls"></a>

これらの Security Hub CSPM コントロールは、Amazon CodeGuru Reviewer サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります
<a name="codegurureviewer-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::CodeGuruReviewer::RepositoryAssociation`

**AWS Config ルール :** `codegurureviewer-repository-association-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon CodeGuru Reviewer リポジトリの関連付けにパラメータ `requiredKeyTags` で定義された特定のキーを持つタグがあるかどうかをチェックします。リポジトリの関連付けにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、リポジトリの関連付けにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="codegurureviewer-1-remediation"></a>

CodeGuru Reviewer リポジトリの関連付けにタグを追加するには、「*Amazon CodeGuru Reviewer ユーザーガイド*」の「[Tagging a repository association](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html)」を参照してください。

# Amazon Cognito の Security Hub CSPM コントロール
<a name="cognito-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Cognito サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります
<a name="cognito-1"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::Cognito::UserPool`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `SecurityMode`  |  コントロールがチェックする脅威保護の強制適用モード。  |  String  |  `AUDIT`, `ENFORCED`  |  `ENFORCED`  | 

このコントロールは、Amazon Cognito ユーザープールで、標準認証のフル機能に強制モードが設定された状態で脅威保護が有効になっているかどうかをチェックします。ユーザープールで脅威保護が無効になっている場合、または標準認証のフル機能に強制モードが設定されていない場合、コントロールは失敗します。カスタムパラメータ値を指定しない限り、Security Hub CSPM は、標準認証`ENFORCED`の完全な 関数に設定されたエンフォースメントモードに のデフォルト値を使用します。

Amazon Cognito ユーザープールを作成したら、脅威保護をアクティブ化し、さまざまなリスクに応じて実行されるアクションをカスタマイズできます。また、監査モードを使用して、セキュリティ緩和策を適用せずに、検出されたリスクに関するメトリクスを収集できます。監査モードでは、脅威保護は Amazon CloudWatch にメトリクスを発行します。Amazon Cognito が最初のイベントを生成した後にメトリクスを確認できます。

### 修正
<a name="cognito-1-remediation"></a>

Amazon Cognito ユーザープールの脅威保護のアクティブ化については、「*Amazon Cognito デベロッパーガイド*」の「[Advanced security with threat protection](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html)」を参照してください。

## [Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと
<a name="cognito-2"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理 > パスワードレス認証

**重要度:** 中

**リソースタイプ :** `AWS::Cognito::IdentityPool`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Cognito アイデンティティプールが認証されていない ID を許可するように設定されているかどうかをチェックします。ゲストアクセスがアクティブ化されている場合 (`AllowUnauthenticatedIdentities`パラメータが `true` に設定されている場合)、アイデンティティプールに対してコントロールは失敗します。

Amazon Cognito ID プールで認証されていない ID が許可されている場合、ID プールは ID プロバイダー (ゲスト) を介して認証されていないユーザーに一時的な AWS 認証情報を提供します。これにより、 AWS リソースへの匿名アクセスが許可されるため、セキュリティリスクが発生します。ゲストアクセスを非アクティブ化すると、適切に認証されたユーザーのみが AWS リソースにアクセスできるため、不正アクセスや潜在的なセキュリティ違反のリスクが軽減されます。ベストプラクティスとして、アイデンティティプールは、サポートされている ID プロバイダーによる認証を必要とするよう設定してください。認証されていないアクセスが必要な場合は、認証されていない ID のアクセス許可を慎重に制限し、その使用状況を定期的にレビューおよびモニタリングすることが重要です。

### 修正
<a name="cognito-2-remediation"></a>

Amazon Cognito アイデンティティプールのゲストアクセスを無効にする方法については、「*Amazon Cognito デベロッパーガイド*」の「[Activate or deactivate guest access](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities)」を参照してください。

## [Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です
<a name="cognito-3"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::Cognito::UserPool`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `minLength`  | パスワードの最小必要文字数。 | 整数 | `8`～`128` | `8 ` | 
|  `requireLowercase`  | パスワードには少なくとも 1 つの小文字が必要です。 | ブール値 | `True`, `False` | `True`  | 
|  `requireUppercase`  | パスワードには少なくとも 1 つの大文字が必要です。 | ブール値 | `True`, `False` | `True`  | 
|  `requireNumbers`  | パスワードには少なくとも 1 つの数字が必要です。 | ブール値 | `True`, `False` | `True`  | 
|  `requireSymbols`  | パスワードには少なくとも 1 つの記号が必要です。 | ブール値 | `True`, `False` | `True`  | 
|  `temporaryPasswordValidity`  | パスワードの有効期限が切れるまでの最大使用可能日数。 | 整数 | `7`～`365` | `7`  | 

このコントロールは、Amazon Cognito ユーザープールのパスワードポリシーが、パスワードポリシーの推奨設定に基づく強力なパスワードの使用を義務付けているかどうかを確認します。ユーザープールのパスワードポリシーが強力なパスワードの使用を義務付けていない場合、コントロールは失敗します。オプションで、コントロールがチェックするポリシー設定のカスタム値を指定できます。

強力なパスワードの使用は、Amazon Cognito ユーザープールのセキュリティのためのベストプラクティスです。パスワードが弱いと、パスワードを推測してデータにアクセスしようとするシステムにユーザーの認証情報が漏洩する可能性があります。これは特に、インターネットに公開されているアプリケーションの場合に当てはまります。パスワードポリシーは、ユーザーディレクトリのセキュリティの中心的な要素です。パスワードポリシーを使用することで、自組織のセキュリティ標準や要件に応じたパスワードの複雑度やその他の設定を義務付けするようにユーザープールを構成できます。

### 修正
<a name="cognito-3-remediation"></a>

Amazon Cognito ユーザープールのパスワードポリシーの作成または更新の詳細については、「*Amazon Cognito デベロッパーガイド*」の「[Adding user pool password requirements](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies)」を参照してください。

## [Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります
<a name="cognito-4"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::Cognito::UserPool`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Cognito ユーザープールで脅威保護が有効になっているかどうかをチェックし、エンフォースメントモードをカスタム認証の完全な 関数に設定します。ユーザープールで脅威保護が無効になっている場合、またはカスタム認証の強制モードがフル関数に設定されていない場合、コントロールは失敗します。

脅威保護 (以前は高度なセキュリティ機能と呼ばれていました) は、ユーザープール内の望ましくないアクティビティをモニタリングするツールと、潜在的に悪意のあるアクティビティを自動的にシャットダウンする設定ツールのセットです。Amazon Cognito ユーザープールを作成したら、カスタム認証用のフル関数強制モードで脅威保護をアクティブ化し、さまざまなリスクに応じて実行されるアクションをカスタマイズできます。フル機能モードには、不要なアクティビティや侵害されたパスワードを検出するための一連の自動リアクションが含まれています。

### 修正
<a name="cognito-4-remediation"></a>

Amazon Cognito ユーザープールの脅威保護のアクティブ化については、「*Amazon Cognito デベロッパーガイド*」の「[Advanced security with threat protection](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html)」を参照してください。

## [Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります
<a name="cognito-5"></a>

**カテゴリ:** 保護 > 安全なアクセス管理 > 多要素認証

**重要度:** 中

**リソースタイプ :** `AWS::Cognito::UserPool`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、パスワードのみのサインインポリシーで設定された Amazon Cognito ユーザープールで多要素認証 (MFA) が有効になっているかどうかを確認します。パスワードのみのサインインポリシーで設定されたユーザープールで MFA が有効になっていない場合、コントロールは失敗します。

多要素認証 (MFA) は、既知の要素 (通常はユーザー名とパスワード) に認証要素を持つものを追加します。フェデレーティッドユーザーの場合、Amazon Cognito は認証を ID プロバイダー (IdP) に委任し、追加の認証要素を提供しません。ただし、パスワード認証を使用するローカルユーザーがいる場合、ユーザープールに MFA を設定するとセキュリティが向上します。

**注記**  
このコントロールは、フェデレーティッドユーザーおよびパスワードレス要素でサインインするユーザーには適用されません。

### 修正
<a name="cognito-5-remediation"></a>

Amazon Cognito ユーザープールの MFA を設定する方法については、*Amazon Cognito デベロッパーガイド*」の[「ユーザープールへの MFA の追加](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html)」を参照してください。

## [Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります
<a name="cognito-6"></a>

**カテゴリ:** 保護 > データ保護 > データ削除保護

**重要度:** 中

**リソースタイプ :** `AWS::Cognito::UserPool`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Cognito ユーザープールで削除保護が有効になっているかどうかを確認します。ユーザープールの削除保護が無効になっている場合、コントロールは失敗します。

削除保護は、ユーザープールが誤って削除されないようにするのに役立ちます。削除保護を使用してユーザープールを設定すると、どのユーザーもプールを削除することはできません。削除保護では、最初にプールを変更して削除保護を非アクティブ化しない限り、ユーザープールの削除をリクエストすることはできません。

### 修正
<a name="cognito-6-remediation"></a>

Amazon Cognito ユーザープールの削除保護を設定するには、*Amazon Cognito デベロッパーガイド*」の[「ユーザープールの削除保護](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html)」を参照してください。

# の Security Hub CSPM コントロール AWS Config
<a name="config-controls"></a>

これらの Security Hub CSPM コントロールは、 AWS Config サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります
<a name="config-1"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.3、CIS AWS Foundations Benchmark v1.2.0/2.5、CIS AWS Foundations Benchmark v1.4.0/3.5、CIS AWS Foundations Benchmark v3.0.0/3.3、NIST.800-53.r5 CM-3、NIST.800-53.r5 CM-6(1)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(2)、PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/1.5

**カテゴリ:** 識別 > インベントリ

**重要度:** 非常事態

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `includeConfigServiceLinkedRoleCheck`  |  パラメータが に設定されている場合、コントロールは がサービスにリンクされたロール AWS Config を使用するかどうかを評価しません`false`。  |  ブール値  |  `true` 、、または `false`  |  `true`  | 

このコントロール AWS Config は、現在の のアカウントで が有効になっているかどうかをチェックし AWS リージョン、現在のリージョンで有効になっているコントロールに対応するすべてのリソースを記録し、[サービスにリンクされた AWS Config ロール](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)を使用します。サービスにリンクされたロールの名前は、**AWSServiceRoleForConfig** です。サービスにリンクされたロールを使用せず、 `includeConfigServiceLinkedRoleCheck`パラメータを に設定しない場合`false`、他のロールには AWS Config がリソースを正確に記録するために必要なアクセス許可がないため、コントロールは失敗します。

この AWS Config サービスは、アカウントでサポートされている AWS リソースの設定管理を実行し、ログファイルをユーザーに配信します。記録された情報には、設定項目 (AWS リソース）、設定項目間の関係、リソース内の設定変更が含まれます。グローバルリソースは、どのリージョンでも利用できるリソースです。

コントロールは次のように評価されます。
+ 現在のリージョンが[集約リージョン](finding-aggregation.md)として設定されている場合、コントロールは AWS Identity and Access Management (IAM) グローバルリソースが記録されている (それらを必要とするコントロールを有効にしている場合) 場合にのみ`PASSED`結果を生成します。
+ 現在のリージョンがリンクされたリージョンとして設定されている場合、コントロールは IAM グローバルリソースが記録されているかどうかを評価しません。
+ 現在のリージョンがアグリゲータにない場合、またはクロスリージョン集約がアカウントで設定されていない場合、コントロールは IAM グローバルリソースが記録されている (それらを必要とするコントロールを有効にしている場合) 場合にのみ `PASSED` 検出結果を生成します。

コントロールの結果は、 AWS Configでリソースの状態の変化を毎日記録するか、継続的に記録するかにかかわらず、影響を受けません。ただし、新しいコントロールの自動有効化を設定している場合、または新しいコントロールを自動的に有効にする中央設定ポリシーがある場合、新しいコントロールがリリースされると、このコントロールの結果が変わる可能性があります。このような場合、すべてのリソースを記録しない場合は、`PASSED` 検出結果を受け取るために新しいコントロールに関連付けられているリソースの記録を設定する必要があります。

Security Hub CSPM セキュリティチェックは、すべてのリージョン AWS Config で を有効にし、それを必要とするコントロールのリソース記録を設定する場合にのみ、意図したとおりに機能します。

**注記**  
Config.1 では AWS Config 、Security Hub CSPM を使用するすべてのリージョンで が有効になっている必要があります。  
Security Hub CSPM はリージョン別サービスであるため、このコントロールに対して実行されるチェックでは、アカウントの現在のリージョンのみが評価されます。  
グローバルリソースに対するセキュリティチェックをリージョンで許可するには、そのリージョン内の IAM グローバルリソースを記録する必要があります。IAM グローバルリソースが記録されていないリージョンには、IAM グローバルリソースをチェックするコントロールのデフォルトの `PASSED` 検出結果が送信されます。IAM グローバルリソースは 間で同じであるため AWS リージョン、IAM グローバルリソースはホームリージョンのみに記録することをお勧めします (クロスリージョン集約がアカウントで有効になっている場合）。IAM リソースはグローバルリソース記録が有効になっているリージョンでのみ記録されます。  
 AWS Config がサポートする IAM グローバルに記録されたリソースタイプは、IAM ユーザー、グループ、ロール、カスタマー管理ポリシーです。グローバルリソース記録がオフになっているリージョンで、これらのリソースタイプをチェックする Security Hub CSPM コントロールを無効にすることを検討できます。詳細については、「[Security Hub CSPM で無効化を推奨するコントロール](controls-to-disable.md)」を参照してください。

### 修正
<a name="config-1-remediation"></a>

ホームリージョンとアグリゲータの一部ではないリージョンでは、IAM グローバルリソースを必要とするコントロールを有効にしている場合は、IAM グローバルリソースを含め、現在のリージョンで有効になっているコントロールに必要なすべてのリソースを記録します。

リンクされたリージョンでは、現在のリージョンで有効になっているコントロールに対応するすべてのリソースを記録する限り、任意の記録 AWS Config モードを使用できます。リンクされたリージョンで、IAM グローバルリソースの記録を必要とするコントロールを有効にしている場合、`FAILED` 検出結果を受け取ることはできません (他のリソースの記録で十分です)。

検出結果の `Compliance` オブジェクトの `StatusReasons` フィールドは、このコントロールの検出結果に失敗した理由を特定するのに役立ちます。詳細については、「[コントロールの検出結果のコンプライアンスの詳細](controls-findings-create-update.md#control-findings-asff-compliance)」を参照してください。

コントロールごとに記録する必要があるリソースのリストについては、「[コントロールの検出結果に必要な AWS Config リソース](controls-config-resources.md)」を参照してください。リソース記録の有効化 AWS Config と設定に関する一般的な情報については、「」を参照してください[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)。

# Amazon Connect の Security Hub CSPM コントロール
<a name="connect-controls"></a>

これらの Security Hub CSPM コントロールは、Amazon Connect サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります
<a name="connect-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::CustomerProfiles::ObjectType`

**AWS Config ルール :** `customerprofiles-object-type-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon Connect Customer Profiles オブジェクトタイプに、パラメータ `requiredKeyTags` で定義された特定のキーを持つタグがあるかどうかをチェックします。オブジェクトタイプにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、オブジェクトタイプにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="connect-1-remediation"></a>

Customer Profiles オブジェクトタイプにタグを追加するには、「[Amazon Connect 管理者ガイド](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html)」の「*Add tags to resources in Amazon Connect*」を参照してください。

## [Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります
<a name="connect-2"></a>

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::Connect::Instance`

**AWS Config ルール:** [connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Connect インスタンスが、Amazon CloudWatch ロググループにフローログを生成して保存するように構成されているかどうかをチェックします。Amazon Connect インスタンスが CloudWatch ロググループにフローログを生成して保存するように設定されていない場合、コントロールは失敗します。

Amazon Connect フローログは、Amazon Connect フロー内のイベントに関するリアルタイムの詳細を提供します。*フロー*により、Amazon Connect コンタクトセンターでのカスタマーエクスペリエンスを最初から最後まで定義します。デフォルトでは、新しい Amazon Connect インスタンスを作成すると、Amazon CloudWatch ロググループが自動的に作成され、インスタンスのフローログが保存されます。フローログは、フローの分析、エラーの検索、運用メトリクスのモニタリングに役立ちます。フローで発生する可能性のある特定のイベントのアラートを設定することもできます。

### 修正
<a name="connect-2-remediation"></a>

Amazon Connect インスタンスのフローログを有効にする方法については、「*Amazon Connect 管理者ガイド*」の「[Enable Amazon Connect flow logs in an Amazon CloudWatch log group](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html)」を参照してください。

# Amazon Data Firehose の Security Hub CSPM コントロール
<a name="datafirehose-controls"></a>

これらの Security Hub CSPM コントロールは、Amazon Data Firehose サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります
<a name="datafirehose-1"></a>

**関連する要件:** NIST.800-53.r5 AC-3、NIST.800-53.r5 AU-3、NIST.800-53.r5 SC-12、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::KinesisFirehose::DeliveryStream`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし 

このコントロールは、Amazon Data Firehose 配信ストリームが保管中にサーバー側の暗号化を使用して暗号化されているかどうかをチェックします。Firehose 配信ストリームが、保管中にサーバー側の暗号化を使用して暗号化されていない場合、このコントロールは失敗します。

サーバー側の暗号化は、Amazon Data Firehose 配信ストリームの機能であり、 AWS Key Management Service () で作成されたキーを使用して、保管中のデータを自動的に暗号化しますAWS KMS。データは、Data Firehose ストリームストレージレイヤーに書き込まれる前に暗号化され、ストレージから取得された後で復号されます。これにより、厳格な規制要件に準拠し、データのセキュリティを強化することが可能になります。

### 修正
<a name="datafirehose-1-remediation"></a>

Firehose 配信ストリームでサーバー側の暗号化を有効にするには、「*Amazon Data Firehose デベロッパーガイド*」の「[Amazon Data Firehose でのデータ保護](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html)」を参照してください。

# の Security Hub CSPM コントロール AWS Database Migration Service
<a name="dms-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Database Migration Service (AWS DMS) と AWS DMS リソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります
<a name="dms-1"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.6、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 非常事態

**リソースタイプ :** `AWS::DMS::ReplicationInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 AWS DMS レプリケーションインスタンスがパブリックかどうかをチェックします。これを行うために、`PubliclyAccessible` フィールドの値を調査します。

プライベートレプリケーションインスタンスには、レプリケーションネットワーク外からアクセスできないプライベート IP アドレスがあります。ソースデータベースとターゲットデータベースが同じネットワーク内にある場合、レプリケーションインスタンスにはプライベート IP アドレスが必要です。ネットワークは、VPN、 Direct Connect、または VPC ピアリングを使用してレプリケーションインスタンスの VPC に接続する必要があります。パブリックおよびプライベートレプリケーションインスタンスの詳細については、「AWS Database Migration Service ユーザーガイド」の「[パブリックおよびプライベートレプリケーションインスタンス](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate)」を参照してください。

また、 AWS DMS インスタンス設定へのアクセスが承認されたユーザーのみに制限されていることを確認する必要があります。これを行うには、ユーザーの IAM アクセス許可を制限して、 AWS DMS 設定とリソースを変更します。

### 修正
<a name="dms-1-remediation"></a>

DMS レプリケーションインスタンスのパブリックアクセス設定は、作成後に変更できません。パブリックアクセス設定を変更するには、[現在のインスタンスを削除](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html)してから[再作成](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html)します。**[パブリックアクセス可能]** オプションは選択しないでください。

## [DMS.2] DMS 証明書にはタグを付ける必要があります
<a name="dms-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::DMS::Certificate`

**AWS Config rule:** `tagged-dms-certificate` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS DMS 証明書にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。証明書にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、証明書にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="dms-2-remediation"></a>

DMS 証明書にタグを追加するには、「*AWS Database Migration Service ユーザーガイド*」の「[AWS Database Migration Serviceのリソースのタグ付け](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html)」を参照してください。

## [DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります
<a name="dms-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::DMS::EventSubscription`

**AWS Config rule:** `tagged-dms-eventsubscription` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS DMS イベントサブスクリプションにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。イベントサブスクリプションにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、イベントサブスクリプションにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="dms-3-remediation"></a>

DMS イベントサブスクリプションにタグを追加するには、「*AWS Database Migration Service ユーザーガイド*」の「[AWS Database Migration Serviceのリソースのタグ付け](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html)」を参照してください。

## [DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります
<a name="dms-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::DMS::ReplicationInstance`

**AWS Config rule:** `tagged-dms-replicationinstance` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、レ AWS DMS プリケーションインスタンスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。レプリケーションインスタンスにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、レプリケーションインスタンスにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="dms-4-remediation"></a>

DMS レプリケーションインスタンスにタグを追加するには、「*AWS Database Migration Service ユーザーガイド*」の「[AWS Database Migration Serviceのリソースのタグ付け](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html)」を参照してください。

## [DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります
<a name="dms-5"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::DMS::ReplicationSubnetGroup`

**AWS Config rule:** `tagged-dms-replicationsubnetgroup` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS DMS レプリケーションサブネットグループにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。レプリケーションサブネットグループにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、レプリケーションサブネットグループにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="dms-5-remediation"></a>

DMS レプリケーションサブネットグループにタグを追加するには、「*AWS Database Migration Service ユーザーガイド*」の「[AWS Database Migration Serviceのリソースのタグ付け](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html)」を参照してください。

## [DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。
<a name="dms-6"></a>

**関連する要件:** NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 中

**リソースタイプ :** `AWS::DMS::ReplicationInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS DMS レプリケーションインスタンスで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。このコントロールは、DMS レプリケーションインスタンスのマイナーバージョンの自動アップグレードが有効になっているかどうかを確認します。

DMS は、サポートされている各レプリケーションエンジンに自動的にマイナーバージョンアップグレードを行うため、レプリケーションインスタンスを最新の状態に保つことができます。マイナーバージョンには、ソフトウェアの新機能、バグ修正、セキュリティパッチ、およびパフォーマンスの向上を含む可能性があります。DMS レプリケーションインスタンスでマイナーバージョン自動アップグレードを有効にすると、マイナーアップグレードはメンテナンス期間中に自動的に適用され、**[変更を今すぐ適用]** オプションが選択されている場合はすぐに適用されます。

### 修正
<a name="dms-6-remediation"></a>

DMS レプリケーションインスタンスのマイナーバージョン自動アップグレードを有効にするには、「**AWS Database Migration Service ユーザーガイド」の「[レプリケーションインスタンスの変更](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html)」を参照してください。

## [DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。
<a name="dms-7"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::DMS::ReplicationTask`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、DMS レプリケーションタスク `TARGET_APPLY` および `TARGET_LOAD` の `LOGGER_SEVERITY_DEFAULT` の最小重要度レベルでログ記録が有効になっているかどうかを確認します。これらのタスクでロギングが有効になっていない場合や、最小重大度レベルが `LOGGER_SEVERITY_DEFAULT` よりも低い場合、コントロールは失敗します。

DMS は、移行プロセス中に Amazon CloudWatch を使用して情報をログ記録します。ロギングタスク設定を使用して、ログ記録するコンポーネントアクティビティとログに記録する情報量を指定できます。次のタスクにはロギングを指定する必要があります。
+ `TARGET_APPLY` - データおよびデータ定義言語 (DDL) ステートメントがターゲットデータベースに適用されます。
+ `TARGET_LOAD` — データはターゲットデータベースにロードされます。

ロギングは、モニタリング、トラブルシューティング、監査、パフォーマンス分析、エラー検出、リカバリのほか、履歴分析やレポート作成を可能にするため、DMS のレプリケーションタスクにおいて重要な役割を果たします。これにより、データの整合性と規制要件の遵守を維持しながら、データベース間のデータレプリケーションを正常に行うことができます。これらのコンポーネントでは、トラブルシューティング時に `DEFAULT` 以外のログレベルが必要になることは、ほぼありません。 サポートにより特に変更の要求がない限り、これらのコンポーネントには `DEFAULT` と同じログレベルを維持するようにしてください。`DEFAULT` の最低限のロギングレベルでは、情報メッセージ、警告、エラーメッセージが確実にログに書き込まれます。このコントロールは、前述のレプリケーションタスクのログレベルが、`LOGGER_SEVERITY_DEFAULT`、`LOGGER_SEVERITY_DEBUG` または `LOGGER_SEVERITY_DETAILED_DEBUG` のいずれかのログレベルであるかどうかを確認します。

### 修正
<a name="dms-7-remediation"></a>

ターゲットデータベースの DMS レプリケーションタスクのログ記録を有効にするには、*AWS Database Migration Service 「 ユーザーガイド*[」の AWS DMS 「タスクログの表示と管理](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs)」を参照してください。

## [DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。
<a name="dms-8"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::DMS::ReplicationTask`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、DMS レプリケーションタスク `SOURCE_CAPTURE` および `SOURCE_UNLOAD` の `LOGGER_SEVERITY_DEFAULT` の最小重要度レベルでログ記録が有効になっているかどうかを確認します。これらのタスクでロギングが有効になっていない場合や、最小重大度レベルが `LOGGER_SEVERITY_DEFAULT` よりも低い場合、コントロールは失敗します。

DMS は、移行プロセス中に Amazon CloudWatch を使用して情報をログ記録します。ロギングタスク設定を使用して、ログ記録するコンポーネントアクティビティとログに記録する情報量を指定できます。次のタスクにはロギングを指定する必要があります。
+ `SOURCE_CAPTURE`— 進行中のレプリケーションまたは変更データキャプチャ (CDC) データがソースデータベースまたはサービスからキャプチャされ、`SORTER` サービスコンポーネントに渡されます。
+ `SOURCE_UNLOAD`— 全ロード中に、データがソースデータベースまたはサービスからアンロードされます。

ロギングは、モニタリング、トラブルシューティング、監査、パフォーマンス分析、エラー検出、リカバリのほか、履歴分析やレポート作成を可能にするため、DMS のレプリケーションタスクにおいて重要な役割を果たします。これにより、データの整合性と規制要件の遵守を維持しながら、データベース間のデータレプリケーションを正常に行うことができます。これらのコンポーネントでは、トラブルシューティング時に `DEFAULT` 以外のログレベルが必要になることは、ほぼありません。 サポートにより特に変更の要求がない限り、これらのコンポーネントには `DEFAULT` と同じログレベルを維持するようにしてください。`DEFAULT` の最低限のロギングレベルでは、情報メッセージ、警告、エラーメッセージが確実にログに書き込まれます。このコントロールは、前述のレプリケーションタスクのログレベルが、`LOGGER_SEVERITY_DEFAULT`、`LOGGER_SEVERITY_DEBUG` または `LOGGER_SEVERITY_DETAILED_DEBUG` のいずれかのログレベルであるかどうかを確認します。

### 修正
<a name="dms-8-remediation"></a>

ソースデータベースの DMS レプリケーションタスクのログ記録を有効にするには、*AWS Database Migration Service 「 ユーザーガイド*[」の AWS DMS 「タスクログの表示と管理](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs)」を参照してください。

## [DMS.9] DMS エンドポイントは SSL を使用する必要があります。
<a name="dms-9"></a>

**関連する要件:** NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::DMS::Endpoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS DMS エンドポイントが SSL 接続を使用しているかどうかをチェックします。エンドポイントが SSL を使用していない場合、コントロールは失敗します。

SSL/TLS 接続は、DMS レプリケーションインスタンスとデータベースの間の接続を暗号化することによって、セキュリティレイヤーを 1 つ提供します。証明書を使用すると、想定されるデータベースへの接続が確立されていることを検証することによって、追加のセキュリティレイヤーが提供されます。これを行うには、プロビジョニングしたすべての DB インスタンスに自動インストールされたサーバー証明書を確認します。DMS エンドポイントで SSL 接続を有効にすることで、移行中のデータの機密性を保護できます。

### 修正
<a name="dms-9-remediation"></a>

SSL 接続を新規または既存の DMS エンドポイントに追加するには、「**AWS Database Migration Service ユーザーガイド」の「[AWS Database Migration Serviceでの SSL の使用](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure)」を参照してください。

## [DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります
<a name="dms-10"></a>

**関連する要件:** NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-17、NIST.800-53.r5 IA-2、NIST.800-53.r5 IA-5、PCI DSS v4.0.1/7.3.1

**カテゴリ:** 保護 > セキュアなアクセス管理 > パスワードレス認証

**重要度:** 中

**リソースタイプ :** `AWS::DMS::Endpoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Neptune データベースの AWS DMS エンドポイントが IAM 認可で設定されているかどうかを確認します。DMS エンドポイントで IAM 認証が有効になっていない場合、コントロールは失敗します。

AWS Identity and Access Management (IAM) は、 全体できめ細かなアクセスコントロールを提供します AWS。IAM では、誰がどのサービスとリソースにアクセスできるか、またどの条件下でアクセスできるかを指定できます。IAM ポリシーを使用すると、ワークフォースとシステムへのアクセス許可を管理し、最小特権のアクセス許可を確保できます。Neptune データベースの AWS DMS エンドポイントで IAM 認可を有効にすると、 `ServiceAccessRoleARN`パラメータで指定されたサービスロールを使用して、IAM ユーザーに認可権限を付与できます。

### 修正
<a name="dms-10-remediation"></a>

Neptune データベースの DMS エンドポイントで IAM 認証を有効にするには、「*AWS Database Migration Service ユーザーガイド*」の「[Amazon Neptune を AWS Database Migration Serviceのターゲットとして使用する](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html)」を参照してください。

## [DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります
<a name="dms-11"></a>

**関連する要件:** NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-6、NIST.800-53.r5 IA-2、NIST.800-53.r5 IA-5、PCI DSS v4.0.1/7.3.1

**カテゴリ:** 保護 > セキュアなアクセス管理 > パスワードレス認証

**重要度:** 中

**リソースタイプ :** `AWS::DMS::Endpoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、MongoDB の AWS DMS エンドポイントが認証メカニズムで設定されているかどうかをチェックします。エンドポイントに認証タイプが設定されていない場合、コントロールは失敗します。

AWS Database Migration Service は、MongoDB の 2 つの認証方法をサポートしています。MongoDB バージョン 2.x の場合は **MONGODB-CR**、MongoDB バージョン 3.x 以降の場合は **SCRAM-SHA-1** です。これらの認証方法は、ユーザーがパスワードを使用してデータベースにアクセスする場合に MongoDB パスワードを認証および暗号化するために使用されます。 AWS DMS エンドポイントでの認証により、承認されたユーザーのみがデータベース間で移行されるデータにアクセスして変更できるようになります。適切な認証がないと、移行プロセス中に権限のないユーザーが機密データにアクセスできる可能性があります。これにより、データ侵害、データ損失、またはその他のセキュリティインシデントが発生する可能性があります。

### 修正
<a name="dms-11-remediation"></a>

MongoDB の DMS エンドポイントで認証メカニズムを有効にするには、「*AWS Database Migration Service ユーザーガイド*」の「[MongoDB を AWS DMSのソースとして使用する](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html)」を参照してください。

## [DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります
<a name="dms-12"></a>

**関連する要件:** NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-13、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::DMS::Endpoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Redis OSS の AWS DMS エンドポイントが TLS 接続で設定されているかどうかを確認します。エンドポイントで TLS が有効になっていない場合、コントロールは失敗します。

TLS は、データがインターネット経由でアプリケーションまたはデータベース間で送信されるときに、エンドツーエンドのセキュリティを提供します。DMS エンドポイントに SSL 暗号化を設定すると、移行プロセス中にソースデータベースとターゲットデータベース間の暗号化された通信が可能になります。これにより、悪意のある攻撃者による機密データの盗聴や傍受を防ぐことができます。SSL 暗号化を使用しないと、機密データにアクセスされ、データ侵害、データ損失、またはその他のセキュリティインシデントが発生する可能性があります。

### 修正
<a name="dms-12-remediation"></a>

Redis の DMS エンドポイントで TLS 接続を有効にするには、「*AWS Database Migration Service ユーザーガイド*」の「[AWS Database Migration Serviceのターゲットとして Redis を使用する](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html)」を参照してください。

## [DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります
<a name="dms-13"></a>

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::DMS::ReplicationInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS Database Migration Service (AWS DMS) レプリケーションインスタンスが複数のアベイラビリティーゾーン (マルチ AZ 配置) を使用するように設定されているかどうかを確認します。 AWS DMS レプリケーションインスタンスがマルチ AZ 配置を使用するように設定されていない場合、コントロールは失敗します。

マルチ AZ 配置では、 は別のアベイラビリティーゾーン (AZ) にレプリケーションインスタンスのスタンバイレプリカ AWS DMS を自動的にプロビジョニングして維持します。その後、プライマリレプリケーションインスタンスは、同期的にスタンバイレプリカにレプリケートされます。プライマリレプリケーション インスタンスに障害が発生するか、応答しない場合、スタンバイ状態で中断時間をできる限り抑えて、実行中のタスクを再開します。詳細については、「*AWS Database Migration Service ユーザーガイド*」の「[Working with a replication instance](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html)」を参照してください。

### 修正
<a name="dms-13-remediation"></a>

 AWS DMS レプリケーションインスタンスを作成したら、そのインスタンスのマルチ AZ デプロイ設定を変更できます。既存のレプリケーションインスタンスのこの設定やその他の設定を変更する方法については、「*AWS Database Migration Service ユーザーガイド*」の「[Modifying a replication instance](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html)」を参照してください。

# の Security Hub CSPM コントロール AWS DataSync
<a name="datasync-controls"></a>

これらの Security Hub CSPM コントロールは、 AWS DataSync サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [DataSync.1] DataSync タスクではログ記録が有効になっている必要があります
<a name="datasync-1"></a>

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::DataSync::Task`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS DataSync タスクでログ記録が有効になっているかどうかを確認します。タスクでログ記録が有効になっていない場合、コントロールは失敗します。

監査ログは、システムアクティビティを追跡およびモニタリングします。これらは、セキュリティ違反の検出、インシデントの調査、規制の遵守に役立つイベントの記録を提供します。監査ログは、組織の全体的な説明責任と透明性も強化します。

### 修正
<a name="datasync-1-remediation"></a>

 AWS DataSync タスクのログ記録の設定については、「 *AWS DataSync ユーザーガイド*」の[Amazon CloudWatch Logs によるデータ転送のモニタリング](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html)」を参照してください。

## [DataSync.2] DataSync タスクにはタグを付ける必要があります
<a name="datasync-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::DataSync::Task`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、 AWS DataSync タスクに `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。タスクにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、タスクにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="datasync-2-remediation"></a>

 AWS DataSync タスクにタグを追加する方法については、*AWS DataSync 「 ユーザーガイド*[」の AWS DataSync 「タスクのタグ付け](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html)」を参照してください。

# Amazon Detective の Security Hub CSPM コントロール
<a name="detective-controls"></a>

この AWS Security Hub CSPM コントロールは、Amazon Detective サービスとリソースを評価します。コントロールは、すべての AWS リージョンで使用できるとは限りません。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Detective.1] 検出動作グラフにはタグを付ける必要があります
<a name="detective-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Detective::Graph`

**AWS Config rule:** `tagged-detective-graph` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon Detective 動作グラフにパラメータ `requiredTagKeys` で定義された特定のキーを含むタグがあるかどうかをチェックします。動作グラフにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、動作グラフにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="detective-1-remediation"></a>

Detective 動作グラフにタグを追加するには、「*Amazon Detective 管理ガイド*」の「[動作グラフにタグを追加する](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console)」を参照してください。

# Amazon DocumentDB の Security Hub CSPM コントロール
<a name="documentdb-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon DocumentDB (MongoDB 互換) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります
<a name="documentdb-1"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon DocumentDB クラスターが保管中に暗号化されているかどうかをチェックします。Amazon DocumentDB クラスターが保管中に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。暗号化は、このようなデータの機密性を保護し、権限のないユーザーがデータにアクセスするリスクを低減するのに役立ちます。Amazon DocumentDB クラスター内のデータは、セキュリティを強化するために、保管中に暗号化する必要があります。Amazon DocumentDB は、256 ビット高度暗号化標準 (AES-256) を使用し、 AWS Key Management Service (AWS KMS) に保存されている暗号化キーを使用してデータを暗号化します。

### 修正
<a name="documentdb-1-remediation"></a>

Amazon DocumentDB クラスターを作成するときに、保管中の暗号化を有効にできます。クラスターを作成した後で暗号化設定を変更することはできません。詳細については、「*Amazon DocumentDB デベロッパーガイド*」の「[Enabling encryption at rest for an Amazon DocumentDB cluster](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling)」を参照してください。

## [DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です
<a name="documentdb-2"></a>

**関連する要件:** NIST.800-53.r5 SI-12、PCI DSS v4.0.1/3.2.1

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  最小バックアップ保持期間 (日数)  |  整数  |  `7`～`35`  |  `7`  | 

このコントロールは、Amazon DocumentDB クラスターのバックアップ保持期間が指定された時間枠以上であるかどうかをチェックします。バックアップ保持期間が指定された時間枠未満の場合、コントロールは失敗します。バックアップ保持期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 7 日間を使用します。

バックアップは、セキュリティインシデントからの迅速な復元と、システムの耐障害性の強化に役立ちます。Amazon DocumentDB クラスターのバックアップを自動化すると、システムを特定の時点に復元し、ダウンタイムとデータ損失を最小限に抑えることができます。Amazon DocumentDB では、クラスターのデフォルトのバックアップ保持期間は 1 日です。このコントロールを成功させるには、この値を 7 日から 35 日までの値に増やす必要があります。

### 修正
<a name="documentdb-2-remediation"></a>

Amazon DocumentDB クラスターのバックアップ保持期間を変更するには、「*Amazon DocumentDB デベロッパーガイド*」の「[Amazon DocumentDB クラスターの変更](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html)」を参照してください。**[バックアップ]** で、バックアップ保持期間を選択します。

## [DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
<a name="documentdb-3"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 非常事態

**リソースタイプ :** `AWS::RDS::DBClusterSnapshot`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon DocumentDB の手動クラスタースナップショットがパブリックかどうかをチェックします。手動クラスタースナップショットがパブリックの場合、コントロールは失敗します。

Amazon DocumentDB 手動クラスタースナップショットは、意図しない限りパブリックにしないでください。暗号化されていない手動スナップショットをパブリックとして共有すると、すべての AWS アカウントでこのスナップショットを使用できるようになります。パブリックスナップショットは、意図しないデータ漏えいにつながる可能性があります。

**注記**  
このコントロールは手動クラスタースナップショットを評価します。Amazon DocumentDB 自動クラスタースナップショットを共有することはできません。ただし、自動スナップショットをコピーして手動スナップショットを作成し、そのコピーを共有できます。

### 修正
<a name="documentdb-3-remediation"></a>

Amazon DocumentDB 手動クラスタースナップショットへのパブリックアクセスを削除するには、「*Amazon DocumentDB* デベロッパーガイド」の「[スナップショットの共有](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots)」を参照してください。プログラムでは、Amazon DocumentDB のオペレーション `modify-db-snapshot-attribute` を使用できます。`attribute-name` を `restore` として、`values-to-remove` を `all` として設定します。

## [DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります
<a name="documentdb-4"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.3.3

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon DocumentDB クラスターが監査ログを Amazon CloudWatch Logs に発行しているかどうかを確認します。クラスターが監査ログを CloudWatch Logs に発行していない場合、コントロールは失敗します。

Amazon DocumentDB (MongoDB 互換) を使用すると、クラスター内で実行されたイベントを監査できます。ログに記録されるイベントの例としては、認証の成功と失敗、データベース内のコレクションの削除、インデックスの作成などがあります。デフォルトでは、監査が Amazon DocumentDB 上で無効化されているため、この機能を有効化する必要があります。

### 修正
<a name="documentdb-4-remediation"></a>

Amazon DocumentDB 監査ログを CloudWatch Logs に公開するには、「*Amazon DocumentDB デベロッパーガイド*」の「[監査の有効化](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing)」を参照してください。

## [DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります
<a name="documentdb-5"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**カテゴリ:** 保護 > データ保護 > データ削除保護

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon DocumentDB クラスターで削除保護が有効になっているかどうかを確認します。クラスターで削除保護が有効になっていない場合、コントロールは失敗します。

クラスターの削除保護を有効にすることで、偶発的なデータベース削除や権限のないユーザーによる削除に対して保護の強化を提供します。削除保護が有効の間、Amazon DocumentDB クラスターは削除できません。削除リクエストを成功させるには、まず削除保護を無効にする必要があります。Amazon DocumentDB コンソールを使用してクラスターを作成する場合は、デフォルトで削除保護が有効になっています。

### 修正
<a name="documentdb-5-remediation"></a>

*既存の Amazon DocumentDB クラスターの削除保護を有効にするには、「Amazon DocumentDB デベロッパーガイド*」の「[Amazon DocumentDB クラスターの変更](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html)」を参照してください。**[クラスターの変更]** セクションで、******[削除保護の有効化]**を選択します。

## [DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります
<a name="documentdb-6"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)

**スケジュールタイプ:** 定期的

**パラメータ:** `excludeTlsParameters`: `disabled`、`enabled` (カスタマイズ不可)

このコントロールは、Amazon DocumentDB クラスターがクラスターへの接続に TLS を要求するかどうかをチェックします。クラスターに関連付けられたクラスターパラメータグループが同期していない場合、または TLS クラスターパラメータが `disabled` または `enabled` に設定されている場合、コントロールは失敗します。

TLS を使用して、アプリケーションと Amazon DocumentDB クラスター間の接続を暗号化できます。TLS を使用すると、アプリケーションと Amazon DocumentDB クラスター間の転送中にデータが傍受されるのを防ぐことができます。Amazon DocumentDB クラスターの転送中の暗号化は、クラスターに関連付けられているクラスターパラメータグループ の TLS パラメータを使用して管理されます。転送中の暗号化が有効になっている場合、クラスターに接続するには TLS を使用したセキュアな接続が必要です。TLS パラメータ `tls1.2+`、`tls1.3+`、`fips-140-3` を使用することをお勧めします。

### 修正
<a name="documentdb-6-remediation"></a>

Amazon DocumentDB クラスターの TLS 設定を変更する方法については、「*Amazon DocumentDB デベロッパーガイド*」の「[Encrypting data in transit](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html)」を参照してください。

# DynamoDB の Security Hub CSPM コントロール
<a name="dynamodb-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon DynamoDB サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります
<a name="dynamodb-1"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::DynamoDB::Table`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 有効なカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `minProvisionedReadCapacity`  |  DynamoDB 自動スケーリング用にプロビジョニングされた読み込みキャパシティユニットの最小数  |  整数  |  `1`～`40000`  |  デフォルト値なし  | 
|  `targetReadUtilization`  |  読み込みキャパシティのターゲット使用率 (%)  |  整数  |  `20`～`90`  |  デフォルト値なし  | 
|  `minProvisionedWriteCapacity`  |  DynamoDB 自動スケーリング用にプロビジョニングされた書き込みキャパシティユニットの最小数  |  整数  |  `1`～`40000`  |  デフォルト値なし  | 
|  `targetWriteUtilization`  |  書き込みキャパシティのターゲット使用率 (%)  |  整数  |  `20`～`90`  |  デフォルト値なし  | 

このコントロールは、Amazon DynamoDB テーブルが必要に応じて読み取りおよび書き込み容量をスケーリングできるかどうかをチェックします。テーブルで自動スケーリングが設定されたオンデマンドキャパシティモードまたはプロビジョンモードを使用しない場合、コントロールは失敗します。デフォルトでは、このコントロールは、特定のレベルの読み込みまたは書き込みキャパシティに関係なく、これらのモードのいずれかを設定するだけで済みます。必要に応じて、特定のレベルの読み込みおよび書き込みキャパシティ、またはターゲット使用率を必要とするカスタムパラメータ値を指定できます。

需要に応じて容量をスケーリングすると、スロットリング例外を回避し、アプリケーションの可用性を維持するのに役立ちます。オンデマンドキャパシティモードを使用する DynamoDB テーブルは、DynamoDB スループットのデフォルトテーブルクォータによってのみ制限されます。これらのクォータを引き上げるには、 にサポートチケットを提出できます サポート。自動スケーリングを使うプロビジョニングモードを使用する DynamoDB テーブルでは、トラフィックパターンに応じてプロビジョンドスループットキャパシティ性能を動的に調整します。DynamoDB リクエストスロットリングの詳細については、「*Amazon DynamoDB デベロッパーガイド*」の「[Request throttling and burst capacity](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling)」を参照してください。

### 修正
<a name="dynamodb-1-remediation"></a>

キャパシティモードで既存テーブルの DynamoDB 自動スケーリングを有効にするには、「*Amazon DynamoDB デベロッパーガイド*」の「[既存のテーブルでの DynamoDB Auto Scaling の有効化](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable)」を参照してください。

## [DynamoDB.2] DynamoDB テーブルでは、ポイントインタイムリカバリが有効になっている必要があります。
<a name="dynamodb-2"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化

**重要度:** 中

**リソースタイプ :** `AWS::DynamoDB::Table`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Amazon DynamoDB テーブルに対してポイントインタイムリカバリ (PITR) が有効になっているかどうかをチェックします。

バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。また、システムの耐障害性を強化します。DynamoDB のポイントインタイムリカバリでは、DynamoDB テーブルのバックアップがオートメーションされます。偶発的な削除や書き込み操作から回復する時間が短縮されます。PITR を有効にした DynamoDB テーブルは、過去 35 日間の任意の時点に復元できます。

### 修正
<a name="dynamodb-2-remediation"></a>

DynamoDB テーブルを特定の時点に復元するには、「*Amazon DynamoDB デベロッパーガイド*」の「[DynamoDB テーブルを特定の時点に復元](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html)」を参照してください。

## [DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります
<a name="dynamodb-3"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::DAX::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon DynamoDB Accelerator (DAX) クラスターが保管時に暗号化されているかどうかをチェックします。DAX クラスターが保管中に暗号化されていない場合、コントロールは失敗します。

保管中のデータを暗号化することで、ディスクに保存されているデータが認証されていないユーザーがアクセスするリスクが軽減されます AWS。暗号化により、権限のないユーザーがデータにアクセスする能力を制限するために、別の一連のアクセスコントロールが追加されます。例えば、データを読み取る前にデータを復号化するには、API の許可が必要です。

### 修正
<a name="dynamodb-3-remediation"></a>

クラスターが作成された後は、保管中の暗号化を有効または無効にすることはできません。保管中の暗号化を有効にするにはクラスターを再作成する必要があります。保管中の暗号化が有効な DAX クラスターを作成する方法の詳細については、「Amazon DynamoDB 開発者ガイド」の「[AWS マネジメントコンソールを使用して保管中の暗号化を有効にする](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console)」を参照してください。

## [DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります
<a name="dynamodb-4"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化

**重要度:** 中

**リソースタイプ :** `AWS::DynamoDB::Table`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html) ``

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  パラメータが に設定`true`され、リソースが AWS Backup ボールトロックを使用する場合、コントロールは`PASSED`結果を生成します。  |  ブール値  |  `true` 、、または `false`  |  デフォルト値なし  | 

このコントロールは、`ACTIVE` 状態の Amazon DynamoDB テーブルがバックアッププランの対象になっているかどうかを評価します。DynamoDB テーブルがバックアッププランの対象になっていない場合、コントロールは失敗します。`backupVaultLockCheck` パラメータを に設定すると`true`、DynamoDB テーブルが AWS Backup ロックされたボールトにバックアップされている場合にのみコントロールが成功します。

AWS Backup は、 全体のデータのバックアップを一元化および自動化するのに役立つフルマネージドバックアップサービスです AWS のサービス。を使用すると AWS Backup、データのバックアップ頻度やバックアップの保持期間など、バックアップ要件を定義するバックアッププランを作成できます。バックアッププランに DynamoDB テーブルを含めると、意図しない損失や削除からデータを保護できます。

### 修正
<a name="dynamodb-4-remediation"></a>

 AWS Backup バックアッププランに DynamoDB テーブルを追加するには、「 *AWS Backup デベロッパーガイド*[」の「バックアッププランへのリソースの割り当て](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)」を参照してください。

## [DynamoDB.5] DynamoDB テーブルにはタグを付ける必要があります
<a name="dynamodb-5"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::DynamoDB::Table`

**AWS Config rule:** `tagged-dynamodb-table` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon DynamoDB テーブルにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。テーブルにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、テーブルにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="dynamodb-5-remediation"></a>

DynamoDB テーブルにタグを追加するには、「*Amazon DynamoDB デベロッパーガイド*」の「[DynamoDB でのリソースのタグ付け](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html)」を参照してください。

## [DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります
<a name="dynamodb-6"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**カテゴリ:** 保護 > データ保護 > データ削除保護

**重要度:** 中

**リソースタイプ :** `AWS::DynamoDB::Table`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html) ``

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon DynamoDB テーブルで削除保護が有効になっているかどうかをチェックします。DynamoDB テーブルで削除保護が有効になっていない場合、コントロールは失敗します。

削除保護プロパティを使用すると、DynamoDB テーブルを誤って削除しないように保護できます。テーブルに対してこのプロパティを有効にすると、管理者が通常のテーブル管理オペレーションを行うときにテーブルが誤って削除されるのを防ぐことができます。これにより、通常業務が中断されるのを防ぐことができます。

### 修正
<a name="dynamodb-6-remediation"></a>

DynamoDB テーブルの削除保護を有効にするには、「*Amazon DynamoDB デベロッパーガイド*」の「[削除保護の使用](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection)」を参照してください。

## [DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります
<a name="dynamodb-7"></a>

**関連する要件:** NIST.800-53.r5 AC-17、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::DAX::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon DynamoDB Accelerator (DAX) クラスターが転送中に暗号化され、エンドポイント暗号化タイプが TLS に設定されているかどうかを確認します。DAX クラスターが転送中に暗号化されていない場合、コントロールは失敗します。

HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。DAX クラスターへのアクセスには、TLS 経由の暗号化された接続のみを許可する必要があります。ただし、転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。TLS のパフォーマンスプロファイルと TLS の影響を把握するには、暗号化を有効にしてアプリケーションをテストする必要があります。

### 修正
<a name="dynamodb-7-remediation"></a>

DAX クラスターを作成した後で TLS 暗号化設定を変更することはできません。既存の DAX クラスターを暗号化するには、転送中の暗号化を有効にした新しいクラスターを作成し、アプリケーションのトラフィックをそのクラスターに移行してから、古いクラスターを削除します。詳細については、「Amazon DynamoDB ディベロッパーガイド」の「[削除保護の使用](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection)」を参照してください。**

# Amazon EC2 の Security Hub CSPM コントロール
<a name="ec2-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Elastic Compute Cloud (Amazon EC2) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします
<a name="ec2-1"></a>

**関連する要件:** PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 非常事態 

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Elastic Block Store スナップショットがパブリックではないかどうかをチェックします。Amazon EBS スナップショットを誰でも復元できる場合、コントロールは失敗します。

EBS スナップショットは、特定の時点の EBS ボリュームのデータを Amazon S3 にバックアップするために使用されます。スナップショットを使用して、EBS ボリュームを以前の状態に復元できます。スナップショットのパブリックへの共有は滅多に認められていません。一般的に、スナップショットを公開する決定は、誤って行われたか、影響を完全に理解せずに行われています。このチェックは、そのような共有がすべて完全に計画され、意図的であったことを確認するのに役立ちます。

### 修正
<a name="ec2-1-remediation"></a>

パブリック EBS スナップショットをプライベートにするには、「*Amazon EC2 ユーザーガイド*」の「[スナップショットの共有](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot)」を参照してください。**[アクション、権限の変更]** で、**[非公開]** を選択します。

## [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします
<a name="ec2-2"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/5.5、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/2.1、CIS AWS Foundations Benchmark v1.2.0/4.3、CIS AWS Foundations Benchmark v1.4.0/5.3、CIS AWS Foundations Benchmark v3.0.0/5.4、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(1) NIST.800-53.r5 SC-7 、

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 高 

**リソースタイプ :** `AWS::EC2::SecurityGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、VPC のデフォルトのセキュリティグループがインバウンドとアウトバウンドのいずれかのトラフィックを許可しているかをチェックします。セキュリティグループがインバウンドまたはアウトバウンドのトラフィックを許可している場合、このコントロールは失敗します。

[デフォルトのセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html)のルールでは、同じセキュリティグループに割り当てられているネットワークインターフェイス (および関連するインスタンス) からのすべてのアウトバウンドトラフィックとインバウンドトラフィックを許可します。デフォルトのセキュリティグループを使用しないことをお勧めします。デフォルトのセキュリティグループは削除できないため、デフォルトのセキュリティグループルール設定を変更して、インバウンドトラフィックとアウトバウンドトラフィックを制限する必要があります。これにより、デフォルトのセキュリティグループが EC2 インスタンスなどのリソースに対して誤って設定されている場合に、意図しないトラフィックが防止されます。

### 修正
<a name="ec2-2-remediation"></a>

この問題を解決するには、まず新しい最小特権のセキュリティグループを作成することから始めます。手順については、「*Amazon VPC ユーザーガイド*」の「[セキュリティグループの作成](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups)」を参照してください。次に、新しいセキュリティグループを EC2 インスタンスに割り当てます。手順については、「*Amazon EC2 ユーザーガイド*」の「[インスタンスのセキュリティグループの変更](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group)」を参照してください。

新しいセキュリティグループをリソースに割り当てた後、デフォルトのセキュリティグループからすべてのインバウンドルールとアウトバウンドルールを削除します。手順については、「*Amazon VPC ユーザーガイド*」の「[セキュリティグループの設定](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html)」を参照してください。

## [EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします
<a name="ec2-3"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::EC2::Volume`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、添付済みの EBS ボリュームが暗号化されているかどうかをチェックします。このチェックに合格するには、EBS ボリュームが使用中であり、暗号化されている必要があります。EBS ボリュームが添付済みでない場合、このチェックは対象外です。

EBS ボリュームの機密データのセキュリティを強化するには、保管中の EBS 暗号化を有効にする必要があります。Amazon EBS 暗号化は、EBS リソースに対して、独自のキー管理インフラストラクチャの構築、保守、および保護を必要としない、簡単な暗号化ソリューションを提供します。暗号化されたボリュームとスナップショットを作成する際に、KMS キー を使用します。

Amazon EBS 暗号化の詳細については、「[Amazon EC2 ユーザーガイド](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)」の「*Amazon EBS 暗号化*」を参照してください。

### 修正
<a name="ec2-3-remediation"></a>

暗号化されていない既存のボリュームまたはスナップショットを暗号化する直接的な方法はありません。新しいボリュームまたはスナップショットは、作成時にのみ暗号化できます。

暗号化をデフォルトで有効にした場合、Amazon EBS は Amazon EBS 暗号化のデフォルトキーを使用して、作成された新しいボリュームまたはスナップショットを暗号化します。デフォルトで暗号化を有効にしていない場合でも、個々のボリュームまたはスナップショットを作成するときに暗号化を有効にすることができます。どちらの場合も、Amazon EBS 暗号化のデフォルトキーを上書きし、対称カスタマーマネージドキーを選択できます。

詳細については、「[Amazon EC2 ユーザーガイド](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html)」の「*Amazon EBS ボリュームの作成*」および「[Amazon EBS スナップショットのコピー](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html)」を参照してください。

## [EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります
<a name="ec2-4"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**カテゴリ:** 識別 > インベントリ

**重要度:** 中

**リソースタイプ :** `AWS::EC2::Instance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `AllowedDays`  |  失敗の検出結果が生成される前に、EC2 インスタンスが停止状態になっても許容される日数。  |  整数  |  `1`～`365`  |  `30`  | 

このコントロールは、許可されている日数よりも長く停止している Amazon EC2 インスタンスがあるかどうかをチェックします。EC2 インスタンスが最大許容期間よりも長く停止すると、コントロールは失敗します。最大許容期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 30 日を使用します。

EC2 インスタンスが長期間実行されていないと、インスタンスがアクティブに保守 (分析、パッチ適用、更新) されていないため、セキュリティリスクが発生します。後で起動すると、適切なメンテナンスを行わないと、 AWS 環境で予期しない問題が発生する可能性があります。EC2 インスタンスを非アクティブ状態で長期間安全に維持するには、メンテナンスのために定期的に起動し、メンテナンス後に停止します。これは自動化されたプロセスであるべきです。

### 修正
<a name="ec2-4-remediation"></a>

非アクティブな EC2 インスタンスを終了するには、「*Amazon EC2 ユーザーガイド*」の「[インスタンスの終了](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console)」を参照してください。

## [EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします
<a name="ec2-6"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.7、 CIS AWS Foundations Benchmark v1.2.0/2.9、 CIS AWS Foundations Benchmark v1.4.0/3.9、 CIS AWS Foundations Benchmark v3.0.0/3.7、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AU-12、 NIST.800-53.r5 AU-2、 NIST.800-53.r5 AU-3、 NIST.800-53.r5 AU-6(3)、 NIST.800-53.r5 AU-6(4)、 NIST.800-53.r5 CA-7、 NIST.800-53.r5 SI-7(8)、 NIST.800-171.r2 3.1.20、 NIST.800-171.r2 3.3.1、 NIST.800-171.r2 3.13.1、 PCI DSS v3.2.1/10.3.3、 PCI DSS v3.2.1/10.3.4、 PCI DSS v3.2.1/10.3.5、 PCI DSS v3.2.1/10.3.6

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::EC2::VPC`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :**
+ `trafficType`: `REJECT` (カスタマイズ不可)

このコントロールは、Amazon VPC フローログが見つかり、VPC に対して有効になっているかどうかをチェックします。トラフィックタイプは `Reject` に設定されています。アカウント内の VPC に対して VPC フローログが有効になっていない場合、コントロールは失敗します。

**注記**  
このコントロールは、 AWS アカウントの Amazon Security Lake を介して Amazon VPC フローログが有効になっているかどうかをチェックしません。

VPC フローログ機能を使用して、VPC のネットワークインターフェイスとの間で行き来する IP アドレストラフィックに関する情報をキャプチャします。フローログを作成すると、そのデータを CloudWatch Logs で表示し、取得できます。コストを削減するために、フローログを Amazon S3 に送信することもできます。

Security Hub CSPM では、VPCs のパケット拒否のフローログ記録を有効にすることをお勧めします。フローログは、VPC を通過するネットワークトラフィックを可視化し、セキュリティワークフロー中の異常なトラフィックを検出したりインサイトを提供できます。

デフォルトでは、レコードには送信元、送信先、プロトコルなど、IP アドレスフローのさまざまなコンポーネントの値が含まれています。ログフィールドの詳細と説明については、「Amazon VPC ユーザーガイド」の「[VPC フローログ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)」を参照してください。

### 修正
<a name="ec2-6-remediation"></a>

VPC フローログを作成するには、「*Amazon VPC ユーザーガイド*」の「[フローログの作成](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log)」を参照してください。Amazon VPC コンソールを開いたら、**[お客様の VPC]** を選択します。**[フィルター]** で、**[拒否]** または **[すべて]** を選択します。

## [EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします
<a name="ec2-7"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/5.1.1、CIS AWS Foundations Benchmark v1.4.0/2.2.1、CIS AWS Foundations Benchmark v3.0.0/2.2.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Elastic Block Store (Amazon EBS) ボリュームでアカウントレベルの暗号化がデフォルトで有効になっているかどうかをチェックします。EBS ボリュームでアカウントレベルの暗号化が有効になっていない場合、コントロールは失敗します。

アカウントで暗号化が有効になっている場合、Amazon EBS ボリュームとスナップショットのコピーは保管中に暗号化されます。これにより、データの保護レイヤーが追加されます。詳細については、「*Amazon EC2 ユーザーガイド*」の「[デフォルトでの暗号化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)」を参照してください。

### 修正
<a name="ec2-7-remediation"></a>

Amazon EBS ボリュームのデフォルト暗号化の設定については、「*Amazon EC2 ユーザーガイド*」の「[デフォルトでの暗号化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)」を参照してください。

## [EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします
<a name="ec2-8"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/5.7、CIS AWS Foundations Benchmark v3.0.0/5.6、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、PCI DSS v4.0.1/2.2.6

**カテゴリ:** 保護 > ネットワークセキュリティ

**重要度:** 高

**リソースタイプ :** `AWS::EC2::Instance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、EC2 インスタンスメタデータバージョンが、インスタンスメタデータサービスバージョン 2 (IMDSv2) で設定されているかどうかをチェックします。IMDSv2 で `HttpTokens` が必須に設定されている場合、コントロールは成功します。`HttpTokens` が `optional` に設定されている場合、コントロールは失敗します。

インスタンスメタデータは、実行中のインスタンスを設定または管理するために使用します。IMDS は、一時的で頻繁にローテーションされる認証情報へのアクセスを提供します。これらの認証情報を使用すると、機密認証情報を手動でまたはプログラムでインスタンスにハードコーディングや、配信する必要がなくなります。IMDS は、すべての EC2 インスタンスにローカルに添付されます。これは、特別な「リンクローカル」IP アドレス 169.254.169.254 で実行されます。この IP アドレスは、インスタンスで実行されるソフトウェアによってのみアクセスできます。

IMDS のバージョン 2 では、次の種類の脆弱性に対する新しい保護が追加されています。これらの脆弱性は IMDS へのアクセスに利用される可能性があります。
+ ウェブサイトアプリケーションのファイアウォールを開く
+ リバースプロキシを開く
+ サーバー側リクエスト偽造 (SSRF) の脆弱性
+ レイヤー 3 ファイアウォールおよびネットワークアドレス変換 (NAT) を開く

Security Hub CSPM では、IMDSv2 を使用して EC2 インスタンスを設定することをお勧めします。 IMDSv2

### 修正
<a name="ec2-8-remediation"></a>

EC2 インスタンスを IMDSv2 で設定するには、「[Amazon EC2 ユーザーガイド](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2)」の「*IMDSv2 を必要とする場合の推奨方法*」を参照してください。

## [EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします
<a name="ec2-9"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 高

**リソースタイプ :** `AWS::EC2::Instance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、EC2 インスタンスにパブリック IP アドレスがあるかどうかをチェックします。EC2 インスタンスの設定項目に `publicIp` フィールドが存在する場合、コントロールは失敗します。このコントロールは、IPv4 アドレスにのみ適用されます。

パブリック IPv4 アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用してインスタンスを起動すると、EC2 インスタンスはインターネットから到達可能です。プライベート IPv4 アドレスは、インターネットから到達できない IP アドレスです。プライベート IPv4 アドレスは、同じ VPC 内の EC2 インスタンス間または接続されたプライベートネットワークの通信に使用できます。

IPv6 アドレスはグローバルに一意であるため、インターネットから到達できます。ただし、デフォルトではすべてのサブネットで IPv6 アドレス指定属性が false に設定されています。VPC での IPv6 の詳細については、「Amazon VPC ユーザーガイド」の「[VPC での IP アドレス指定](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html)」を参照してください。

パブリック IP アドレスで EC2 インスタンスを維持する正当なユースケースがある場合は、このコントロールの結果を抑制できます。フロントエンドアーキテクチャオプションの詳細については、[AWS 「アーキテクチャブログ](https://aws.amazon.com/blogs/architecture/)」または[「This Is My Architecture series](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile) AWS video series」を参照してください。

### 修正
<a name="ec2-9-remediation"></a>

デフォルト以外の VPC を使用し、デフォルトでインスタンスがパブリック IP アドレスに割り当てられないようにします。

デフォルトの VPC で EC2 インスタンスを起動すると、パブリック IP アドレスが割り当てられます。EC2 インスタンスをデフォルト以外の VPC で起動すると、サブネット設定によって、パブリック IP アドレスを受信するかどうかが決まります。サブネットには、サブネット内の新しい EC2 インスタンスがパブリック IPv4 アドレスプールからパブリック IP アドレスを受け取るかどうかを判断する属性があります。

自動で割り当てられたパブリック IP アドレスを EC2 インスタンスから関連付け解除することができます。詳細については、「*Amazon EC2 ユーザーガイド*」の「[パブリック IPv4 アドレスと外部 DNS ホスト名](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses)」を参照してください。

## [EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします
<a name="ec2-10"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.13.1

**カテゴリ:** 保護 > セキュアなネットワーク設定 > API プライベートアクセス

**重要度:** 中

**リソースタイプ :** `AWS::EC2::VPC`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** 
+ `serviceName`: `ec2` (カスタマイズ不可)

このコントロールは、Amazon EC2 のサービスエンドポイントが各 VPC に対して作成しているかどうかをチェックします。VPC に Amazon EC2 サービス用に作成した VPC エンドポイントがない場合、コントロールは失敗します。

このコントロールは、単一のアカウントのリソースを評価します。アカウント外のリソースは記述できません。 AWS Config と Security Hub CSPM はクロスアカウントチェックを実行しないため、アカウント間で共有されている VPCs `FAILED`の検出結果が表示されます。Security Hub CSPM では、これらの`FAILED`検出結果を抑制することをお勧めします。

VPC のセキュリティ体制を強化するために、インターフェイス VPC エンドポイントを使用するように Amazon EC2 を設定できます。インターフェイスエンドポイントは AWS PrivateLink、Amazon EC2 API オペレーションにプライベートにアクセスできるテクノロジーである を利用しています。これは、VPC と Amazon EC2 間のすべてのネットワークトラフィックを Amazon ネットワークに限定します。エンドポイントは同じリージョンでのみサポートされるため、別のリージョンの VPC とサービス間にエンドポイントを作成することはできません。これにより、他のリージョンへの意図しない Amazon EC2 API コールを防ぐことができます。

Amazon EC2 の VPC エンドポイントの作成の詳細については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 とインターフェイス VPC エンドポイント](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html)」を参照してください。

### 修正
<a name="ec2-10-remediation"></a>

Amazon VPC コンソールから Amazon EC2 へのインターフェイスエンドポイントを作成するには、「*AWS PrivateLink ガイド*」の「[VPC エンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」を参照してください。**[サービス名]** で **[com.amazonaws.*region*.ec2]** を選択します。

また、エンドポイントポリシーを作成し、VPC エンドポイントにアタッチして Amazon EC2 API へのアクセスを制御することもできます。VPC エンドポイントポリシーを作成する手順については、「*Amazon EC2 ユーザーガイド*」の「[エンドポイントポリシーの作成](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy)」を参照してください。

## [EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします
<a name="ec2-12"></a>

**関連する要件:** PCI DSS v3.2.1/2.4、NIST.800-53.r5 CM-8(1)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 低

**リソースタイプ :** `AWS::EC2::EIP`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、VPC に割り当てられた Elastic IP (EIP) アドレスが、 EC2 インスタンスまたは使用中の Elastic Network Interface (ENI) にアタッチされているかどうかを確認します。

検出に失敗した場合は、未使用の EC2 EIP がある可能性があります。

これにより、カード所有者データ環境 (CDE) 内の EIP のアセットインベントリを正確な状態に維持できます。

### 修正
<a name="ec2-12-remediation"></a>

未使用の EIP をリリースするには、「*Amazon EC2 ユーザーガイド*」の「[Elastic IP アドレスを解放する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing)」を参照してください。

## [EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります
<a name="ec2-13"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/4.1、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7800-53.r5 SC-7(5)、NIST.800-171

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 高

**リソースタイプ :** `AWS::EC2::SecurityGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)

**スケジュールタイプ:** 変更がトリガーされ、定期的に行われる場合

**パラメータ :** なし

このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 または ::/0 からポート 22 への入力を許可しているかどうかをチェックします。セキュリティグループが 0.0.0.0/0 または ::/0 からポート 22 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループはポート 22 への無制限の入力を許可しません。SSH などのリモートコンソールサービスへの自由な接続を制限することにより、サーバーがリスクにさらされることを軽減できます。

### 修正
<a name="ec2-13-remediation"></a>

ポート 22 への進入を禁止するには、VPC に関連付けられている各セキュリティグループにそのようなアクセスを許可するルールを削除します。手順については、「*Amazon EC2 ユーザーガイド*」の「[セキュリティグループのルールの更新](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules)」を参照してください。Amazon EC2 コンソールでセキュリティグループを選択したら、**[アクション、インバウンドルールの編集]** を選択します。ポート 22 へのアクセスを許可するルールを削除します。

## [EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります
<a name="ec2-14"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/4.2、PCI DSS v4.0.1/1.3.1

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 高

**リソースタイプ :** `AWS::EC2::SecurityGroup`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) (作成されたルールは `restricted-rdp`)

**スケジュールタイプ:** 変更がトリガーされ、定期的に行われる場合

**パラメータ :** なし

このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しているかどうかをチェックします。セキュリティグループが 0.0.0.0/0 または ::/0 からポート 3389 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループはポート 3389 への無制限の入力を許可しません。RDP などのリモートコンソールサービスへの自由な接続を制限することにより、サーバーがリスクにさらされることを軽減できます。

### 修正
<a name="ec2-14-remediation"></a>

ポート 3389 への進入を禁止するには、VPC に関連付けられている各セキュリティグループにそのようなアクセスを許可するルールを削除します。手順については、「*Amazon VPC ユーザーガイド*」の「[Update security group rules](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules)」を参照してください。Amazon VPC コンソールでセキュリティグループを選択したら、**[アクション、インバウンドルールの編集]** を選択します。ポート 3389 へのアクセスを許可するルールを削除します。

## [EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします
<a name="ec2-15"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > ネットワークセキュリティ

**重要度:** 中

**リソースタイプ :** `AWS::EC2::Subnet`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) サブネットがパブリック IP アドレスを自動的に割り当てるように設定されているかどうかをチェックします。サブネットがパブリック IPv4 アドレスまたは IPv6 アドレスを自動的に割り当てるように設定されている場合、コントロールは失敗します。

サブネットには、ネットワークインターフェイスがパブリック IPv4 アドレスと IPv6 アドレスを自動的に受信するかどうかを決定する属性があります。IPv4 `TRUE`の場合、この属性はデフォルトサブネットの場合は に、デフォルト以外のサブネット`FALSE`の場合は に設定されます (EC2 インスタンス起動ウィザードで作成されたデフォルト以外のサブネットは例外で、 に設定されます`TRUE`)。IPv6 の場合、この属性はデフォルトですべてのサブネット`FALSE`に対して に設定されます。これらの属性を有効にすると、サブネットで起動されたインスタンスは、プライマリネットワークインターフェイスで対応する IP アドレス (IPv4 または IPv6) を自動的に受信します。

### 修正
<a name="ec2-15-remediation"></a>

パブリック IP アドレスを割り当てないようにサブネットを設定するには、「*Amazon VPC ユーザーガイド*」の「[サブネットの IP アドレス指定属性を変更する](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html)」を参照してください。

## [EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします
<a name="ec2-16"></a>

**関連する要件:** NIST.800-53.r5 CM-8(1)、NIST.800-171.r2 3.4.7、PCI DSS v4.0.1/1.2.7

**カテゴリ:** 保護 > ネットワークセキュリティ

**重要度:** 低

**リソースタイプ :** `AWS::EC2::NetworkAcl`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、仮想プライベートクラウド (VPC) に未使用のネットワークアクセスコントロールリスト (ネットワーク ACL) があるかどうかをチェックします。ネットワーク ACL がサブネットに関連付けられていない場合、コントロールは失敗します。コントロールは、未使用のデフォルトネットワーク ACL の検出結果を生成しません。

コントロールは、リソース `AWS::EC2::NetworkAcl` の項目設定をチェックして、ネットワーク ACL の関係を判断します。

ネットワーク ACL の VPC のみの関係の場合、コントロールは失敗します。

他の関係がリスト済みの場合、コントロールは成功します。

### 修正
<a name="ec2-16-remediation"></a>

未使用のネットワーク ACL を削除する方法については、「*Amazon VPC ユーザーガイド*」の「[ネットワーク ACL の削除](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL)」を参照してください。デフォルトのネットワーク ACL またはサブネットに関連付けられた ACL は削除できません。

## [EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします
<a name="ec2-17"></a>

**関連する要件:** NIST.800-53.r5 AC-4(21)

**カテゴリ:** 保護 > ネットワークセキュリティ

**重要度:** 低

**リソースタイプ :** `AWS::EC2::Instance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、EC2 インスタンスが複数の Elastic Network Interface (ENI) または Elastic Fabric Adapter (EFA) を使用しているかどうかをチェックします。このコントロールは、単一のネットワークアダプタが使用されている場合に成功します。コントロールには、許可された ENI を識別するためのオプションのパラメータリストが含まれています。Amazon EKS クラスターに属する EC2 インスタンスが複数の ENI を使用している場合も、このコントロールは失敗します。EC2 インスタンスに Amazon EKS クラスターの一部として複数の ENI が必要な場合は、これらのコントロールの検出結果を抑制できます。

複数の ENI の使用は、デュアルホームインスタンス (複数のサブネットを持つインスタンス) を引き起こす可能性があります。これにより、ネットワークセキュリティの複雑性が増し、意図しないネットワークパスとアクセスが導入する可能性があります。

### 修正
<a name="ec2-17-remediation"></a>

EC2 インスタンスからネットワークインターフェイスをデタッチするには、「*Amazon EC2 ユーザーガイド*」の「[インスタンスからネットワークインターフェイスをデタッチする](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni)」を参照してください。

## [EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします
<a name="ec2-18"></a>

**関連する要件:** NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.1.20、NIST.800-171.r2 3.13.1

**カテゴリ:** 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

**重要度:** 高

**リソースタイプ :** `AWS::EC2::SecurityGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `authorizedTcpPorts`  |  許可されている TCP ポートのリスト  |  IntegerList (最小 1 項目、最大 32 項目)  |  `1`～`65535`  |  `[80,443]`  | 
|  `authorizedUdpPorts`  |  許可されている UDP ポートのリスト  |  IntegerList (最小 1 項目、最大 32 項目)  |  `1`～`65535`  |  デフォルト値なし  | 

このコントロールは、Amazon EC2 セキュリティグループが、許可されていないポートからの無制限の着信トラフィックを許可しているかどうかをチェックします。コントロールのステータスは次のように決定されます。
+ `authorizedTcpPorts` のデフォルト値を使用する場合、セキュリティグループがポート 80 およびポート 443 以外のポートからの無制限の着信トラフィックを許可すると、コントロールは失敗します。
+ `authorizedTcpPorts` または `authorizedUdpPorts` にカスタム値を指定した場合、セキュリティグループがリストにないポートからの無制限の着信トラフィックを許可すると、コントロールは失敗します。

セキュリティグループは、 AWSへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループのルールは、最小特権アクセスのプリンシパルに従う必要があります。無制限アクセス (/0 サフィックスを持つ IP アドレス) を使用すると、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティの機会が増えます。ポートが特別に許可されていない限り、ポートは無制限アクセスを拒否する必要があります。

### 修正
<a name="ec2-18-remediation"></a>

セキュリティグループを変更するには、「*Amazon VPC ユーザーガイド*」の「[セキュリティグループの操作](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html)」を参照してください。

## [EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません
<a name="ec2-19"></a>

**関連する要件:** NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.1.20、NIST.800-171.r2 3.13.1

**カテゴリ:** 保護 > 制限付きネットワークアクセス

**重要度:** 非常事態

**リソースタイプ :** `AWS::EC2::SecurityGroup`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) (作成されたルールは `vpc-sg-restricted-common-ports`)

**スケジュールタイプ:** 変更がトリガーされ、定期的に行われる場合

**パラメータ:** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (カスタマイズ不可)

このコントロールは、指定した高リスクと見なされるポートに Amazon EC2 セキュリティグループの無制限の受信トラフィックがアクセス可能かどうかをチェックします。セキュリティグループ内のルールがこれらのポートへの「0.0.0.0/0」または「::/0」からの入力トラフィックを許可している場合、このコントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。無制限のアクセス (0.0.0.0/0) では、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティの機会が増えます。どのセキュリティグループでも、以下のポートへの無制限の入力アクセスを許可してはいけません。
+ 20、21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 110 (POP3)
+ 135 (RPC)
+ 143 (IMAP)
+ 445 (CIFS)
+ 1433、1434 (MSSQL)
+ 3000 (Go、Node.js、および Ruby のウェブ開発フレームワーク)
+ 3306 (mySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000 (Python ウェブ開発フレームワーク)
+ 5432 (postgresql)
+ 5500 (fcp-addr-srvr1) 
+ 5601 (OpenSearch Dashboards)
+ 8080 (proxy)
+ 8088 (レガシー HTTP ポート)
+ 8888 (代替 HTTP ポート)
+ 9200 または 9300 (OpenSearch)

### 修正
<a name="ec2-19-remediation"></a>

セキュリティグループからルールを削除するには、「*Amazon EC2 ユーザーガイド*」の「[セキュリティグループからのルールの削除](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule)」を参照してください。

## [EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります
<a name="ec2-20"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)、NIST.800-171.r2 3.1.13、NIST.800-171.r2 3.1.20

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中 

**リソースタイプ: **`AWS::EC2::VPNConnection`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

VPN トンネルは、カスタマーネットワークから AWS Site-to-Site VPN 接続 AWS との間でデータを渡すことができる暗号化されたリンクです。各 VPN 接続には、高可用性のために同時に使用できる 2 つの VPN トンネルが含まれています。VPC とリモートネットワーク間の安全で可用性の高い接続を確認するには、両方の VPN トンネルが VPN AWS 接続用に稼働していることを確認することが重要です。

このコントロールは、 AWS Site-to-Site VPN によって提供される両方の VPN トンネルが UP ステータスであることを確認します。一方または両方のトンネルのステータスが DOWN の場合、コントロールは失敗します。

### 修正
<a name="ec2-20-remediation"></a>

VPN トンネルオプションを変更するには、[Site-to-Site VPN ユーザーガイド」の「Site-to-Site VPN トンネルオプションの変更](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html)」を参照してください。 AWS Site-to-Site 

## [EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります
<a name="ec2-21"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/5.2、CIS AWS Foundations Benchmark v1.4.0/5.1、CIS AWS Foundations Benchmark v3.0.0/5.1、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 SCCM-7、NIST.800-53.r5 SC-7.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7-5 3.1.20

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中 

**リソースタイプ: **`AWS::EC2::NetworkAcl`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、ネットワークアクセスコントロールリスト (ネットワーク ACL) が、 SSH/RDP 入力トラフィックのデフォルト TCP ポートへのアクセスを無制限に許可しているかどうかをチェックします。ネットワーク ACL インバウンドエントリが TCP ポート 22 または 3389 に対して「0.0.0.0/0」または「::/0」の送信元 CIDR ブロックを許可する場合、コントロールは失敗します。コントロールは、デフォルトのネットワーク ACL の検出結果を生成しません。

ポート 22 (SSH) やポート 3389 (RDP) などのリモートサーバー管理ポートへのアクセスは、VPC 内のリソースへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。

### 修正
<a name="ec2-21-remediation"></a>

ネットワーク ACL トラフィックルールを編集するには、「*Amazon VPC ユーザーガイド*」の「[ネットワーク ACL を操作する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks)」を参照してください。

## [EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします
<a name="ec2-22"></a>

**カテゴリ:** 識別 > インベントリ

**重要度:** 中 

**リソースタイプ:** `AWS::EC2::NetworkInterface`、`AWS::EC2::SecurityGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、セキュリティグループが Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは Elastic Network Interface に添付済みであるかどうかをチェックします。セキュリティグループが Amazon EC2 インスタンスまたは Elastic Network Interface に関連付けられていない場合、コントロールは失敗します。

**重要**  
2023 年 9 月 20 日、Security Hub CSPM は AWS Foundational Security Best Practices および NIST SP 800-53 Revision 5 標準からこのコントロールを削除しました。このコントロールは、引き続き AWS Control Tower サービスマネージド標準の一部です。このコントロールでは、セキュリティグループが EC2 インスタンス、または Elastic Network Interface にアタッチされている場合に、合格の検出結果を生成します。ただし、特定のユースケースでは、セキュリティグループがアタッチされていなくてもセキュリティ上のリスクはありません。他の EC2 コントロール (EC2.2、EC2.13、EC2.14、EC2.18、EC2.19 など) を使用すると、セキュリティグループをモニタリングできます。

### 修正
<a name="ec2-22-remediation"></a>

セキュリティグループを作成、割り当て、削除するには、「*Amazon EC2 ユーザーガイド*」の「[EC2 インスタンスのセキュリティグループ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html)」を参照してください。

## [EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします
<a name="ec2-23"></a>

**関連する要件:** NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 高 

**リソースタイプ: **`AWS::EC2::TransitGateway`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、EC2 中継ゲートウェイが共有 VPC アタッチメントを自動的に受け入れているかどうかをチェックします。中継ゲートウェイが共有 VPC アタッチメントリクエストを自動的に受け入れていると、このコントロールは失敗します。

`AutoAcceptSharedAttachments` をオンにすると、中継ゲートウェイは、リクエストまたはアタッチメントの発信元であるアカウントを確認せずに、クロスアカウント VPC アタッチメントリクエストを自動的に受け入れるように設定されます。認可および認証のベストプラクティスに従うため、この機能はオフにして、認可された VPC アタッチメントリクエストのみを受け入れることが推奨されます。

### 修正
<a name="ec2-23-remediation"></a>

中継ゲートウェイを変更するには、「Amazon VPC デベロッパーガイド」の「[中継ゲートウェイの変更](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying)」を参照してください。

## [EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします
<a name="ec2-24"></a>

**関連する要件:** NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 中 

**リソースタイプ: **`AWS::EC2::Instance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、EC2 インスタンスの仮想化タイプが準仮想化かどうかをチェックします。EC2 インスタンスの `virtualizationType` が `paravirtual` に設定されている場合、このコントロールは失敗します。

Linux Amazon マシンイメージ (AMI)では、2 つの仮想化タイプ、準仮想化 (PV) とハードウェア仮想化 (HVM) のうち、いずれかを使用します。PV AMI と HVM AMI の主な違いは、起動の方法と、パフォーマンス向上のための特別なハードウェア拡張機能 (CPU、ネットワーク、ストレージ) を利用できるかどうかという点です。

従来、PV のゲストは HVM のゲストよりも多くの場合にパフォーマンスが向上しました。ただし、HVM 仮想化の機能強化や HVM AMI で PV ドライバが利用可能になったことにより、このようなパフォーマンスの向上はなくなりました。詳細については、「Amazon EC2 ユーザーガイド」の「[Linux AMI 仮想化タイプ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html)」を参照してください。

### 修正
<a name="ec2-24-remediation"></a>

EC2 インスタンスを新しいインスタンスタイプに更新するには、「*Amazon EC2 ユーザーガイド*」の「[インスタンスタイプを変更する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html)」を参照してください。

## [EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします
<a name="ec2-25"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 高 

**リソースタイプ: **`AWS::EC2::LaunchTemplate`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon EC2 起動テンプレートが起動の際にネットワークインターフェイスにパブリック IP アドレスを割り当てる設定になっていないかをチェックします。EC2 起動テンプレートがネットワークインターフェイスにパブリック IP アドレスを割り当てる設定になっている場合、またはパブリック IP アドレスを持つネットワークインターフェイスが 1 つ以上ある場合、コントロールは失敗します。

パブリック IP アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースは、インターネットからアクセスできる可能性があります。EC2 リソースへのパブリックアクセスを可能にすべきではありません。ワークロードへの意図しないアクセスが可能になるおそれがあるためです。

### 修正
<a name="ec2-25-remediation"></a>

EC2 起動テンプレートを更新するには、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[デフォルトのネットワークインターフェイス設定を変更する](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface)」を参照してください。

## [EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします
<a name="ec2-28"></a>

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**重要度:** 低

**リソースタイプ :** `AWS::EC2::Volume`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html) ``

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  パラメータが `true` に設定されていて、リソースが AWS Backup Vault Lock を使用している場合、コントロールは `PASSED` 検出結果を生成します。  |  ブール値  |  `true` 、、または `false`  |  デフォルト値なし  | 

このコントロールは、`in-use` 状態の Amazon EBS ボリュームがバックアッププランの対象になっているかどうかを評価します。EBS ボリュームがバックアッププランの対象でない場合、コントロールは失敗します。`backupVaultLockCheck` パラメータを に設定すると`true`、EBS ボリュームが AWS Backup ロックされたボールトにバックアップされている場合にのみコントロールが成功します。

バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。また、システムの耐障害性を強化します。バックアッププランに Amazon EBS ボリュームを含めると、意図しない損失や削除からデータを保護できます。

### 修正
<a name="ec2-28-remediation"></a>

Amazon EBS ボリュームを AWS Backup バックアッププランに追加するには、「 *AWS Backup デベロッパーガイド*[」の「バックアッププランへのリソースの割り当て](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)」を参照してください。

## [EC2.33] EC2 Transit Gateway アタッチメントにはタグを付ける必要があります
<a name="ec2-33"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::TransitGatewayAttachment`

**AWS Config rule:** `tagged-ec2-transitgatewayattachment` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 Transit Gateway アタッチメントに、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。Transit Gateway アタッチメントにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、トランジットゲートウェイアタッチメントにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-33-remediation"></a>

EC2 Transit Gateway アタッチメントにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります
<a name="ec2-34"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::TransitGatewayRouteTable`

**AWS Config rule:** `tagged-ec2-transitgatewayroutetable` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 トランジットゲートウェイルートテーブルに、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。トランジットゲートウェイルートテーブルにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、トランジットゲートウェイルートテーブルにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-34-remediation"></a>

EC2 トランジットゲートウェイルートテーブルにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.35] EC2 ネットワークインターフェイスにはタグを付ける必要があります
<a name="ec2-35"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::NetworkInterface`

**AWS Config rule:** `tagged-ec2-networkinterface` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 ネットワークインターフェイスにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。ネットワークインターフェイスにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ネットワークインターフェイスにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-35-remediation"></a>

EC2 ネットワークインターフェイスにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.36] EC2 カスタマーゲートウェイにはタグを付ける必要があります
<a name="ec2-36"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::CustomerGateway`

**AWS Config rule:** `tagged-ec2-customergateway` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 カスタマーゲートウェイにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。カスタマーゲートウェイにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、カスタマーゲートウェイにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-36-remediation"></a>

EC2 カスタマーゲートウェイにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.37] EC2 Elastic IP アドレスにはタグを付ける必要があります
<a name="ec2-37"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::EIP`

**AWS Config rule:** `tagged-ec2-eip` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 Elastic IP アドレスに、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。Elastic IP アドレスにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、Elastic IP アドレスにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-37-remediation"></a>

EC2 Elastic IP アドレスにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.38] EC2 インスタンスにはタグを付ける必要があります
<a name="ec2-38"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::Instance`

**AWS Config rule:** `tagged-ec2-instance` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 インスタンスにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。インスタンスにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、インスタンスにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-38-remediation"></a>

EC2 インスタンスにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.39] EC2 インターネットゲートウェイにはタグを付ける必要があります
<a name="ec2-39"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::InternetGateway`

**AWS Config rule:** `tagged-ec2-internetgateway` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 インターネットゲートウェイにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。インターネットゲートウェイにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、インターネットゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-39-remediation"></a>

EC2 インターネットゲートウェイにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります
<a name="ec2-40"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::NatGateway`

**AWS Config rule:** `tagged-ec2-natgateway` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 ネットワークアドレス変換 (NAT) ゲートウェイに、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。NAT ゲートウェイにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、NAT ゲートウェイにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-40-remediation"></a>

EC2 NAT ゲートウェイにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.41] EC2 ネットワーク ACL にはタグを付ける必要があります
<a name="ec2-41"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::NetworkAcl`

**AWS Config rule:** `tagged-ec2-networkacl` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 ネットワークアクセスコントロールリスト (ネットワーク ACL) に、`requiredTagKeys` パラメータで定義された特定のキーを持つタグがあるかどうかをチェックします。ネットワーク ACL にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ネットワーク ACL にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-41-remediation"></a>

EC2 ネットワーク ACL にタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.42] EC2 ルートテーブルにはタグを付ける必要があります
<a name="ec2-42"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::RouteTable`

**AWS Config rule:** `tagged-ec2-routetable` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 ルートテーブルに、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。ルートテーブルにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ルートテーブルにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-42-remediation"></a>

EC2 ルートテーブルにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.43] EC2 セキュリティグループにはタグを付ける必要があります
<a name="ec2-43"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::SecurityGroup`

**AWS Config rule:** `tagged-ec2-securitygroup` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 セキュリティグループにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。セキュリティグループにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、セキュリティグループがキーでタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-43-remediation"></a>

EC2 セキュリティグループにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースにタグを付ける](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.44] EC2 サブネットにはタグを付ける必要があります
<a name="ec2-44"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::Subnet`

**AWS Config rule:** `tagged-ec2-subnet` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 サブネットにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。サブネットにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、サブネットにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-44-remediation"></a>

EC2 サブネットにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.45] EC2 ボリュームにはタグを付ける必要があります
<a name="ec2-45"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::Volume`

**AWS Config rule:** `tagged-ec2-volume` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 ボリュームにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。ボリュームにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ボリュームにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-45-remediation"></a>

EC2 ボリュームにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.46] Amazon VPC にはタグを付ける必要があります
<a name="ec2-46"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::VPC`

**AWS Config rule:** `tagged-ec2-vpc` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) に、 パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。Amazon VPC にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、Amazon VPC にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-46-remediation"></a>

VPC にタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.47] Amazon VPC エンドポイントサービスはタグを付ける必要があります
<a name="ec2-47"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::VPCEndpointService`

**AWS Config rule:** `tagged-ec2-vpcendpointservice` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon VPC エンドポイントサービスにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。エンドポイントサービスにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、エンドポイントサービスにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-47-remediation"></a>

Amazon VPC エンドポイントサービスにタグを追加するには、「*AWS PrivateLink ガイド*」の「[エンドポイントサービスの設定](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html)」セクションの「[タグの管理](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags)」を参照してください。

## [EC2.48] Amazon VPC フローログにはタグを付ける必要があります
<a name="ec2-48"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::FlowLog`

**AWS Config rule:** `tagged-ec2-flowlog` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon VPC フローログにパラメータ `requiredTagKeys` で定義された特定のキーを含むタグがあるかどうかをチェックします。フローログにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、フローログにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-48-remediation"></a>

Amazon VPC フローログにタグを追加するには、「*Amazon VPC ユーザーガイド*」の「[フローログのタグ付け](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs)」を参照してください。

## [EC2.49] Amazon VPC ピアリング接続にはタグを付ける必要があります
<a name="ec2-49"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::VPCPeeringConnection`

**AWS Config rule:** `tagged-ec2-vpcpeeringconnection` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon VPC ピアリング接続に、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。ピアリング接続にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ピアリング接続にどのキーもタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-49-remediation"></a>

Amazon VPC ピアリング接続にタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。

## [EC2.50] EC2 VPN ゲートウェイにはタグを付ける必要があります
<a name="ec2-50"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::VPNGateway`

**AWS Config rule:** `tagged-ec2-vpngateway` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 VPN ゲートウェイにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。VPN ゲートウェイにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、VPN ゲートウェイにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-50-remediation"></a>

EC2 VPN ゲートウェイにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。

## [EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります
<a name="ec2-51"></a>

**関連する要件:** NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、NIST.800-171.r2 3.1.12、NIST.800-171.r2 3.1.20、PCI DSS v4.0.1/10.2.1

**カテゴリ:** 識別 > ログ記録

**重要度:** 低

**リソースタイプ :** `AWS::EC2::ClientVpnEndpoint`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html) ``

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS Client VPN エンドポイントでクライアント接続のログ記録が有効になっているかどうかを確認します。エンドポイントでクライアント接続ログ記録が有効になっていない場合、コントロールは失敗します。

Client VPN エンドポイントにより、リモートクライアントは AWSの仮想プライベートクラウド (VPC) 内のリソースに安全に接続できます。接続ログにより、VPN エンドポイントでのユーザーアクティビティを追跡し、可視化することができます。接続ログを有効にすると、ロググループ内のログストリームの名前を指定できます。ログストリームを指定しない場合、クライアント VPN サービスによって自動的に作成されます。

### 修正
<a name="ec2-51-remediation"></a>

接続ログ記録を有効にするには、「*AWS Client VPN 管理者ガイド*」の「[既存のクライアント VPN エンドポイントの接続ログを有効にする](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing)」を参照してください。

## [EC2.52] EC2 Transit Gateway にはタグを付ける必要があります
<a name="ec2-52"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::TransitGateway`

**AWS Config rule:** `tagged-ec2-transitgateway` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon EC2 トランジットゲートウェイにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。トランジットゲートウェイにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、トランジットゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="ec2-52-remediation"></a>

EC2 トランジットゲートウェイにタグを追加するには、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースにタグを付ける](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)」を参照してください。

## [EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります
<a name="ec2-53"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/5.3、CIS AWS Foundations Benchmark v3.0.0/5.2、PCI DSS v4.0.1/1.3.1

**カテゴリ:** 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

**重要度:** 高

**リソースタイプ :** `AWS::EC2::SecurityGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  IP バージョン  |  String  |  カスタマイズ不可  |  `IPv4`  | 
|  `restrictPorts`  |  入力トラフィックを拒否するポートのリスト  |  IntegerList  |  カスタマイズ不可  |  `22,3389`  | 

このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポート (ポート 22 と 3389 ) への入力を許可しているかどうかをチェックします。セキュリティグループが 0.0.0.0/0 からポート 22 または 3389 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。TDP (6)、UDP (17)、または ALL (-1) プロトコルのいずれかを使用して、SSH からポート 22、RDP からポート 3389 などのリモートサーバー管理ポートへの無制限の入力アクセスをセキュリティグループで許可しないことをお勧めします。これらのポートへのパブリックアクセスを許可すると、リソースのアタックサーフェスが増加し、リソースが侵害されるリスクが高まります。

### 修正
<a name="ec2-53-remediation"></a>

指定されたポートへの入力トラフィックを禁止するように EC2 セキュリティグループルールを更新するには、「*Amazon EC2 ユーザーガイド*」の「[セキュリティグループルールの更新](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules)」を参照してください。Amazon EC2 コンソールでセキュリティグループを選択したら、**[アクション、インバウンドルールの編集]** を選択します。ポート 22 または 3389 へのアクセスを許可するルールを削除します。

## [EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります
<a name="ec2-54"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/5.4、CIS AWS Foundations Benchmark v3.0.0/5.3、PCI DSS v4.0.1/1.3.1

**カテゴリ:** 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

**重要度:** 高

**リソースタイプ :** `AWS::EC2::SecurityGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  IP バージョン  |  String  |  カスタマイズ不可  |  `IPv6`  | 
|  `restrictPorts`  |  入力トラフィックを拒否するポートのリスト  |  IntegerList  |  カスタマイズ不可  |  `22,3389`  | 

このコントロールは、Amazon EC2 セキュリティグループが ::/0 からリモートサーバー管理ポート (ポート 22 および 3389) への入力を許可するかどうかをチェックします。セキュリティグループが ::/0 からポート 22 または 3389 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。TDP (6)、UDP (17)、または ALL (-1) プロトコルのいずれかを使用して、SSH からポート 22、RDP からポート 3389 などのリモートサーバー管理ポートへの無制限の入力アクセスをセキュリティグループで許可しないことをお勧めします。これらのポートへのパブリックアクセスを許可すると、リソースのアタックサーフェスが増加し、リソースが侵害されるリスクが高まります。

### 修正
<a name="ec2-54-remediation"></a>

指定されたポートへの入力トラフィックを禁止するように EC2 セキュリティグループルールを更新するには、「*Amazon EC2 ユーザーガイド*」の「[セキュリティグループルールの更新](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules)」を参照してください。Amazon EC2 コンソールでセキュリティグループを選択したら、**[アクション、インバウンドルールの編集]** を選択します。ポート 22 または 3389 へのアクセスを許可するルールを削除します。

## [EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります
<a name="ec2-55"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)

**カテゴリ:** 保護 > セキュアなアクセス管理 > アクセスコントロール

**重要度:** 中

**リソースタイプ:** `AWS::EC2::VPC`、`AWS::EC2::VPCEndpoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| [Parameter] (パラメータ) | [Required] (必須) | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必須  | コントロールが評価するサービスの名前  | String  | カスタマイズ不可  | ecr.api | 
| vpcIds  | オプションです。 | VPC エンドポイントの Amazon VPC ID のカンマ区切りリスト。指定した場合、serviceName パラメータで指定されたサービスにこれらの VPC エンドポイントのいずれかがないと、コントロールは失敗します。 | StringList  | 1 つ以上の VPC ID を使用したカスタマイズ  | デフォルト値なし  | 

このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon ECR API のインターフェイス VPC エンドポイントがあるかどうかをチェックします。VPC に ECR API のインターフェイス VPC エンドポイントがない場合、コントロールは失敗します。このコントロールは、単一のアカウントのリソースを評価します。

AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック IP を使用せず、トラフィックをインターネット経由にする必要なく、VPC またはオンプレミスから PrivateLink を利用したサービスにプライベートにアクセスできます。

### 修正
<a name="ec2-55-remediation"></a>

VPC エンドポイントを設定するには、「 *AWS PrivateLink ガイド*」の[「インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。

## [EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります
<a name="ec2-56"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)

**カテゴリ:** 保護 > セキュアなアクセス管理 > アクセスコントロール

**重要度:** 中

**リソースタイプ:** `AWS::EC2::VPC`、`AWS::EC2::VPCEndpoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| [Parameter] (パラメータ) | [Required] (必須) | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必須  | コントロールが評価するサービスの名前  | String  | カスタマイズ不可  | ecr.dkr | 
| vpcIds  | オプションです。 | VPC エンドポイントの Amazon VPC ID のカンマ区切りリスト。指定した場合、serviceName パラメータで指定されたサービスにこれらの VPC エンドポイントのいずれかがないと、コントロールは失敗します。 | StringList  | 1 つ以上の VPC ID を使用したカスタマイズ  | デフォルト値なし  | 

このコントロールは、管理する仮想プライベートクラウド (VPC) に Docker レジストリのインターフェイス VPC エンドポイントがあるかどうかをチェックします。VPC に Docker レジストリのインターフェイス VPC エンドポイントがない場合、コントロールは失敗します。このコントロールは、単一のアカウントのリソースを評価します。

AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック IP を使用せず、トラフィックをインターネット経由にする必要なく、VPC またはオンプレミスから PrivateLink を利用したサービスにプライベートにアクセスできます。

### 修正
<a name="ec2-56-remediation"></a>

VPC エンドポイントを設定するには、「 *AWS PrivateLink ガイド*」の[「インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。

## [EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります
<a name="ec2-57"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)

**カテゴリ:** 保護 > セキュアなアクセス管理 > アクセスコントロール

**重要度:** 中

**リソースタイプ:** `AWS::EC2::VPC`、`AWS::EC2::VPCEndpoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| [Parameter] (パラメータ) | [Required] (必須) | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必須  | コントロールが評価するサービスの名前  | String  | カスタマイズ不可  | ssm | 
| vpcIds  | オプションです。 | VPC エンドポイントの Amazon VPC ID のカンマ区切りリスト。指定した場合、serviceName パラメータで指定されたサービスにこれらの VPC エンドポイントのいずれかがないと、コントロールは失敗します。 | StringList  | 1 つ以上の VPC ID を使用したカスタマイズ  | デフォルト値なし  | 

このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS Systems Managerのインターフェイス VPC エンドポイントがあるかどうかをチェックします。VPC に Systems Manager のインターフェイス VPC エンドポイントがない場合、コントロールは失敗します。このコントロールは、単一のアカウントのリソースを評価します。

AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック IP を使用せず、トラフィックをインターネット経由にする必要なく、VPC またはオンプレミスから PrivateLink を利用したサービスにプライベートにアクセスできます。

### 修正
<a name="ec2-57-remediation"></a>

VPC エンドポイントを設定するには、「 *AWS PrivateLink ガイド*」の[「インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。

## [EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります
<a name="ec2-58"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)

**カテゴリ:** 保護 > セキュアなアクセス管理 > アクセスコントロール

**重要度:** 中

**リソースタイプ:** `AWS::EC2::VPC`、`AWS::EC2::VPCEndpoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| [Parameter] (パラメータ) | [Required] (必須) | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必須  | コントロールが評価するサービスの名前  | String  | カスタマイズ不可  | ssm-contacts | 
| vpcIds  | オプションです。 | VPC エンドポイントの Amazon VPC ID のカンマ区切りリスト。指定した場合、serviceName パラメータで指定されたサービスにこれらの VPC エンドポイントのいずれかがないと、コントロールは失敗します。 | StringList  | 1 つ以上の VPC ID を使用したカスタマイズ  | デフォルト値なし  | 

このコントロールは、管理する Virtual Private Cloud (VPC) に AWS Systems Manager Incident Manager Contacts のインターフェイス VPC エンドポイントがあるかどうかをチェックします。VPC に Systems Manager Incident Manager Contacts のインターフェイス VPC エンドポイントがない場合、コントロールは失敗します。このコントロールは、単一のアカウントのリソースを評価します。

AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック IP を使用せず、トラフィックをインターネット経由にする必要なく、VPC またはオンプレミスから PrivateLink を利用したサービスにプライベートにアクセスできます。

### 修正
<a name="ec2-58-remediation"></a>

VPC エンドポイントを設定するには、「 *AWS PrivateLink ガイド*」の[「インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。

## [EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります
<a name="ec2-60"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)

**カテゴリ:** 保護 > セキュアなアクセス管理 > アクセスコントロール

**重要度:** 中

**リソースタイプ:** `AWS::EC2::VPC`、`AWS::EC2::VPCEndpoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| [Parameter] (パラメータ) | [Required] (必須) | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必須  | コントロールが評価するサービスの名前  | String  | カスタマイズ不可  | ssm-incidents | 
| vpcIds  | オプションです。 | VPC エンドポイントの Amazon VPC ID のカンマ区切りリスト。指定した場合、serviceName パラメータで指定されたサービスにこれらの VPC エンドポイントのいずれかがないと、コントロールは失敗します。 | StringList  | 1 つ以上の VPC ID を使用したカスタマイズ  | デフォルト値なし  | 

このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS Systems Manager Incident Manager のインターフェイス VPC エンドポイントがあるかどうかをチェックします。VPC に Systems Manager Incident Manager のインターフェイス VPC エンドポイントがない場合、コントロールは失敗します。このコントロールは、単一のアカウントのリソースを評価します。

AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック IP を使用せず、トラフィックをインターネット経由にする必要なく、VPC またはオンプレミスから PrivateLink を利用したサービスにプライベートにアクセスできます。

### 修正
<a name="ec2-60-remediation"></a>

VPC エンドポイントを設定するには、「 *AWS PrivateLink ガイド*」の[「インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。

## [EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします
<a name="ec2-170"></a>

**関連する要件:** PCI DSS v4.0.1/2.2.6

**カテゴリ:** 保護 > ネットワークセキュリティ

**重要度:** 低

**リソースタイプ :** `AWS::EC2::LaunchTemplate`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon EC2 起動テンプレートが、インスタンスメタデータサービスバージョン 2 (IMDSv2) で設定されているかどうかをチェックします。`HttpTokens` が `optional` に設定されている場合、コントロールは失敗します。

サポートされているソフトウェアバージョンでリソースを実行すると、最適なパフォーマンス、セキュリティ、最新機能へのアクセスが保証されます。定期的な更新は脆弱性から保護するため、安定した効率的なユーザーエクスペリエンスを確保できます。

### 修正
<a name="ec2-170-remediation"></a>

EC2 起動テンプレートで IMDSv2 を要求するには、「*Amazon EC2 ユーザーガイド*」の「[インスタンスメタデータサービスオプションの設定](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html)」を参照してください。

## [EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります
<a name="ec2-171"></a>

**関連する要件:** CIS AWS Foundations Benchmark v3.0.0/5.3、PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::EC2::VPNConnection`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS Site-to-Site VPN 接続で両方のトンネルに対して Amazon CloudWatch Logs が有効になっているかどうかを確認します。Site-to-Site VPN 接続で両方のトンネルで CloudWatch Logs が有効になっていない場合、コントロールは失敗します。

AWS Site-to-Site VPN ログを使用すると、Site-to-Site VPN デプロイをより詳細に把握できます。この機能を使用すると、IP セキュリティ (IPsec)トンネル確立、インターネットキー交換 (IKE) ネゴシエーション、およびデッドピア検出 (DPD) プロトコルメッセージの詳細を示す Site-to-Site VPN 接続ログにアクセスできます。Site-to-Site VPN ログは CloudWatch Logs に発行できます。この機能により、単一の一貫した方法で、すべての Site-to-Site VPN 接続の詳細なログにアクセスして分析できます。

### 修正
<a name="ec2-171-remediation"></a>

EC2 VPN 接続でトンネルログ記録を有効にするには、「*AWS Site-to-Site VPN ユーザーガイド*」の「[AWS Site-to-Site VPN ログ](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs)」を参照してください。

## [EC2.172] EC2 VPC パブリックアクセスのブロック設定はインターネットゲートウェイトラフィックをブロックする必要があります
<a name="ec2-172"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 中

**リソースタイプ :** `AWS::EC2::VPCBlockPublicAccessOptions`

**AWS Config rule:** `ec2-vpc-bpa-internet-gateway-blocked` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `vpcBpaInternetGatewayBlockMode`  |  VPC BPA オプションモードの文字列値。  |  列挙型  |  `block-bidirectional`, `block-ingress`  |  デフォルト値なし  | 

このコントロールは、Amazon EC2 VPC ブロックパブリックアクセス (BPA) 設定が、 AWS アカウント内のすべての Amazon VPC のインターネットゲートウェイトラフィックをブロックするように設定されているかどうかをチェックします。VPC BPA 設定がインターネットゲートウェイトラフィックをブロックするように設定されていない場合、コントロールは失敗します。コントロールを成功させるには、VPC BPA `InternetGatewayBlockMode` を `block-bidirectional` または `block-ingress` に設定する必要があります。パラメータ `vpcBpaInternetGatewayBlockMode` が指定されている場合、コントロールは `InternetGatewayBlockMode` の VPC BPA 値がパラメータと一致するときのみ成功します。

でアカウントの VPC BPA 設定 AWS リージョン を構成すると、そのリージョンで所有している VPCs とサブネットのリソースが、インターネットゲートウェイと Egress-Only インターネットゲートウェイを介してインターネットに到達したり、インターネットから到達したりすることをブロックできます。特定の VPC とサブネットがインターネットに到達したり、インターネットから到達されたりできるようにする必要がある場合は、VPC BPA 除外を設定することでそれらを除外できます。除外の作成と削除の手順については、「*Amazon VPC ユーザーガイド*」の「[除外を作成および削除する](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions)」を参照してください。

### 修正
<a name="ec2-172-remediation"></a>

アカウントレベルで双方向 BPA を有効にするには、「*Amazon VPC ユーザーガイド*」の「[アカウントのために VPC BPA 双方向モードを有効にする](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir)」を参照してください。イングレスのみの BPA を有効にするには、「[VPC BPA モードをイングレスのみに変更する](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only)」を参照してください。組織レベルで VPC BPA を有効にするには、「[組織レベルで VPC BPA を有効にする](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs)」を参照してください。

## [EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります
<a name="ec2-173"></a>

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::EC2::SpotFleet`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、起動パラメータを指定する Amazon EC2 スポットフリートリクエストが、EC2 インスタンスにアタッチされたすべての Amazon Elastic Block Store (Amazon EBS) ボリュームの暗号化を有効にするように設定されているかどうかをチェックします。スポットフリートリクエストが起動パラメータを指定し、リクエストで指定された 1 つ以上の EBS ボリュームの暗号化を有効にしない場合、コントロールは失敗します。

セキュリティを強化するために、Amazon EBS ボリュームの暗号化を有効にする必要があります。そうすると、暗号化オペレーションが Amazon EC2 インスタンスをホストするサーバー上で実行され、インスタンスとそれにアタッチされた EBS ストレージ間での保管中のデータと転送中のデータの両方のセキュリティを確保できます。Amazon EBS 暗号化 は、EC2 インスタンスに関連付けられた EBS リソースの簡単な暗号化ソリューションです。EBS 暗号化では、独自のキー管理インフラストラクチャを構築、保守、保護する必要はありません。EBS 暗号化は、暗号化されたボリュームを作成する AWS KMS keys ときに を使用します。

**注意事項**  
このコントロールは、起動テンプレートを使用する Amazon EC2 スポットフリートリクエストの検出結果を生成しません。また、`encrypted` パラメータの値を明示的に指定しないスポットフリートリクエストの検出結果は生成されません。

### 修正
<a name="ec2-173-remediation"></a>

暗号化されていない既存の Amazon EBS ボリュームを暗号化する直接的な方法はありません。新しいボリュームは、作成時にのみ暗号化できます。

ただし、暗号化をデフォルトで有効にした場合、Amazon EBS は EBS 暗号化のデフォルトキーを使用して、新しいボリュームを暗号化します。デフォルトで暗号化を有効にしていない場合でも、個々のボリュームを作成するときに暗号化を有効にすることができます。どちらの場合も、EBS 暗号化のデフォルトキーを上書きし、カスタマーマネージド AWS KMS keyを選択できます。EBS 暗号化の詳細については、「*Amazon EBS ユーザーガイド*」の「[Amazon EBS 暗号化](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)」を参照してください。

Amazon EC2 スポットフリートリクエストの作成方法の詳細については、「*Amazon Elastic Compute Cloud ユーザーガイド*」の「[スポットフリートを作成する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html)」を参照してください。

## [EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります
<a name="ec2-174"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::DHCPOptions`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、Amazon EC2 DHCP オプションセットに `requiredKeyTags` パラメータで指定されたタグキーがあるかどうかをチェックします。オプションセットにタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、オプションセットにタグキーがない場合は失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="ec2-174-remediation"></a>

Amazon EC2 DHCP オプションセットへのタグの追加方法については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。

## [EC2.175] EC2 起動テンプレートにはタグを付ける必要があります
<a name="ec2-175"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::LaunchTemplate`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、Amazon EC2 起動テンプレートに `requiredKeyTags` パラメータで指定されたタグキーがあるかどうかをチェックします。起動テンプレートにタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、起動テンプレートにタグキーがない場合は失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="ec2-175-remediation"></a>

Amazon EC2 起動テンプレートへのタグの追加方法については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。

## [EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります
<a name="ec2-176"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::PrefixList`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、Amazon EC2 プレフィックスリストに `requiredKeyTags` パラメータで指定されたタグキーがあるかどうかをチェックします。プレフィックスリストにタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、プレフィックスリストにタグキーがない場合は失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="ec2-176-remediation"></a>

Amazon EC2 プレフィックスリストへのタグの追加方法については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。

## [EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります
<a name="ec2-177"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::TrafficMirrorSession`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、Amazon EC2 トラフィックミラーセッションに `requiredKeyTags` パラメータで指定されたタグキーがあるかどうかをチェックします。セッションにタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、セッションにタグキーがない場合は失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="ec2-177-remediation"></a>

Amazon EC2 トラフィックミラーセッションへのタグの追加方法については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。

## [EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります
<a name="ec2-178"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::TrafficMirrorFilter`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、Amazon EC2 トラフィックミラーフィルターに `requiredKeyTags` パラメータで指定されたタグキーがあるかどうかをチェックします。フィルターにタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、フィルターにタグキーがない場合は失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="ec2-178-remediation"></a>

Amazon EC2 トラフィックミラーフィルターへのタグの追加方法については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。

## [EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります
<a name="ec2-179"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EC2::TrafficMirrorTarget`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、Amazon EC2 トラフィックミラーターゲットに `requiredKeyTags` パラメータで指定されたタグキーがあるかどうかをチェックします。ターゲットにタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、ターゲットにタグキーがない場合は失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="ec2-179-remediation"></a>

Amazon EC2 トラフィックミラーターゲットへのタグの追加方法については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。

## [EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります
<a name="ec2-180"></a>

**カテゴリ:** 保護 > ネットワークセキュリティ

**重要度:** 中

**リソースタイプ :** `AWS::EC2::NetworkInterface`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、ユーザーが管理する Amazon EC2 Elastic Network Interface (ENI) で送信元/送信先チェックが有効になっているかどうかをチェックします。ユーザー管理の ENI で送信元/送信先チェックが無効になっている場合、コントロールは失敗します。このコントロールは、`aws_codestar_connections_managed`、`branch`、`efa`、`interface`、`lambda`、`quicksight` のタイプの ENI のみをチェックします。

Amazon EC2 インスタンスとアタッチされた ENI の送信元/送信先チェックは、EC2 インスタンス全体で一貫して有効にして設定する必要があります。各 ENI には、それぞれ固有の送信元/送信先チェックの設定があります。送信元/送信先チェックが有効になっている場合、Amazon EC2 は送信元/送信先アドレスの検証を適用し、インスタンスが受信するトラフィックの送信元または送信先であることを確認します。これにより、リソースが意図しないトラフィックを処理しないようにし、IP アドレスのなりすましを防止することで、ネットワークセキュリティをさらに強化できます。

**注記**  
EC2 インスタンスを NAT インスタンスとして使用していて、その ENI の送信元/送信先チェックを無効にした場合は、代わりに [NAT ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)を使用できます。

### 修正
<a name="ec2-180-remediation"></a>

Amazon EC2 ENI の送信元/送信先チェックを有効にする方法については、「*Amazon EC2 ユーザーガイド*」の「[ネットワークインターフェイス属性の変更](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check)」を参照してください。

## [EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります
<a name="ec2-181"></a>

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::EC2::LaunchTemplate`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon EC2 起動テンプレートが、アタッチされたすべての EBS ボリュームの暗号化を有効にするかどうかをチェックします。EC2 起動テンプレートで指定された EBS ボリュームの暗号化パラメータが `False` に設定されている場合、コントロールは失敗します。

Amazon EBS 暗号化 は、Amazon EC2 インスタンスに関連付けられた EBS リソースの簡単な暗号化ソリューションです。EBS 暗号化では、独自のキー管理インフラストラクチャを構築、保守、保護する必要はありません。EBS 暗号化は、暗号化されたボリュームとスナップショットを作成するときに、 AWS KMS keys を使用します。暗号化オペレーションが EC2 インスタンスをホストするサーバー上で実行され、EC2 インスタンスとそれにアタッチされた EBS ストレージ間での保管中のデータと転送中のデータの両方のセキュリティを確保できます。詳細については、「*Amazon EBS ユーザーガイド*」の「[Amazon EBS 暗号化](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)」を参照してください。

個々の EC2 インスタンスの手動起動時に EBS 暗号化を有効にすることができます。ただし、EC2 起動テンプレートを使用し、それらのテンプレートで暗号化設定を行うと、いくつかの利点があります。暗号化を標準として適用し、一貫した暗号化設定を使用できます。また、インスタンスの手動起動に伴って発生する可能性のあるエラーやセキュリティギャップのリスクを減らすこともできます。

**注記**  
このコントロールは EC2 起動テンプレートをチェックするときに、テンプレートで明示的に指定された EBS 暗号化設定のみを評価します。評価には、アカウントレベルの EBS 暗号化設定、AMI ブロックデバイスマッピング、またはソーススナップショットの暗号化ステータスから継承された暗号化設定は含まれません。

### 修正
<a name="ec2-181-remediation"></a>

Amazon EC2 起動テンプレートを作成したら、それを変更することはできません。ただし、起動テンプレートの新しいバージョンを作成し、その新しいバージョンのテンプレートの暗号化設定を変更することはできます。起動テンプレートの新しいバージョンをデフォルトバージョンとして指定することもできます。そうすると、起動テンプレートから EC2 インスタンスを起動し、テンプレートバージョンを指定しない場合、EC2 はインスタンスの起動時にデフォルトバージョンの設定を使用します。詳細については、「*Amazon EC2 ユーザーガイド*」の「[起動テンプレートを変更する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html)」を参照してください。

## [EC2.182] Amazon EBS スナップショットはパブリックにアクセスできません
<a name="ec2-182"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 高

**リソースタイプ :** `AWS::EC2::SnapshotBlockPublicAccess`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

コントロールは、Amazon EBS スナップショットのすべての共有をブロックするためにパブリックアクセスのブロックが有効になっているかどうかを確認します。すべての Amazon EBS スナップショットのすべての共有をブロックするためにパブリックアクセスのブロックが有効になっていない場合、コントロールは失敗します。

Amazon EBS スナップショットのパブリック共有を防ぐには、スナップショットのパブリックアクセスのブロックを有効にします。リージョンでスナップショットのパブリックアクセスのブロックを有効にすると、そのリージョンでスナップショットをパブリックに共有しようとすると、自動的にブロックされます。これにより、スナップショットのセキュリティが向上し、スナップショットデータが不正アクセスや意図しないアクセスから保護されます。

### 修正
<a name="ec2-182-remediation"></a>

スナップショットのパブリックアクセスブロックを有効にするには、[「Amazon EBS ユーザーガイド」の「Amazon EBS スナップショットのパブリックアクセスブロックを設定する](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html)」を参照してください。 ****パブリックアクセスをブロック** で、**すべてのパブリックアクセスをブロック** を選択します。

# Auto Scaling の Security Hub CSPM コントロール
<a name="autoscaling-controls"></a>

これらの Security Hub CSPM コントロールは、Amazon EC2 Auto Scaling サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある
<a name="autoscaling-1"></a>

**関連する要件:** PCI DSS v3.2.1/2.2、NIST.800-53.r5 CA-7、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 SI-2

**カテゴリ:** 識別 > インベントリ

**重要度:** 低

**リソースタイプ :** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、ロードバランサーに関連付けられた Amazon EC2 Auto Scaling グループで、Elastic Load Balancing (ELB) のヘルスチェックが使用されているかどうかをチェックします。Auto Scaling グループが ELB ヘルスチェックを使用しない場合、コントロールは失敗します。

ELB ヘルスチェックにより、ロードバランサーによって提供される追加のテストに基づいて、Auto Scaling グループはインスタンスのヘルスを確実に判断できるようになります。Elastic Load Balancing ヘルスチェックを使用すると、EC2 Auto Scaling グループを使用するアプリケーションの可用性もサポートできます。

### 修正
<a name="autoscaling-1-remediation"></a>

Elastic Load Balancing ヘルスチェックを追加するには、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[Add Elastic Load Balancing health checks](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console)」を参照してください。

## [AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります
<a name="autoscaling-2"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  アベイラビリティーゾーンの最小数  |  列挙型  |  `2, 3, 4, 5, 6`  |  `2`  | 

このコントロールは、Amazon EC2 Auto Scaling グループが少なくとも指定された数のアベイラビリティーゾーン (AZ) にまたがっているかどうかをチェックします。Auto Scaling グループが少なくとも指定された数の AZ にまたがっていない場合、コントロールは失敗します。AZs の最小数にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 2 つの AZs を使用します。

複数の AZ にまたがらない Auto Scaling グループは、設定された単一の AZ が使用できなくなった場合、埋め合わせとなる別の AZ ではインスタンスを起動できません。ただし、バッチジョブや AZ 内の転送コストを最小限に抑える必要がある場合など、一部のユースケースでは、単一のアベイラビリティーゾーンを持つ Auto Scaling グループが推奨されることがあります。このような場合は、このコントロールを無効にしたり、検出結果を抑制したりすることができます。

### 修正
<a name="autoscaling-2-remediation"></a>

既存の Auto Scaling グループに AZ を追加するには、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[Add and remove Availability Zones](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html)」を参照してください。

## [AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります
<a name="autoscaling-3"></a>

**関連する要件:** NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.6

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 高

**リソースタイプ :** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon EC2 Auto Scaling グループが起動するすべてのインスタンスで IMDSv2 が有効になっているかどうかをチェックします。インスタンスメタデータサービス (IMDS) バージョンが起動設定に含まれていない場合、または IMDSv1 または IMDSv2 を許可する設定である `token optional` として設定されている場合、コントロールは失敗します。

IMDS は、インスタンスに関するデータで、実行中のインスタンスを設定または管理するために使用します。

IMDS のバージョン 2 では、EC2 インスタンスの保護を強化するために、IMDSv1 では利用できなかった新しい保護が追加されています。

### 修正
<a name="autoscaling-3-remediation"></a>

Auto Scaling グループは、一度に 1 つの起動設定に関連付けられます。起動設定は、作成後に変更することはできません。Auto Scaling グループの起動設定を変更するには、新しい起動設定のベースとして、既存の起動設定を IMDSv2 を有効にした上で使用します。詳細については、「*Amazon EC2 ユーザーガイド*」の「[新規インスタンスのインスタンスメタデータオプションの設定](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html)」を参照してください。

## [AutoScaling.4] Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を超えることはできません
<a name="autoscaling-4"></a>

**重要**  
Security Hub CSPM は、2024 年 4 月にこのコントロールを廃止しました。詳細については、「[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)」を参照してください。

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 高

**リソースタイプ :** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

これにより、メタデータトークンが移動できる、ネットワークホップの数をチェックします。メタデータの応答ホップ制限が `1` を越えるとコントロールは失敗します。

Instance Metadata Service (IMDS) は、Amazon EC2 インスタンスに関するメタデータ情報を提供するものであり、アプリケーションの設定に役立ちます。メタデータサービスの HTTP `PUT` 応答を EC2 インスタンスのみに制限することで、IMDS を不正使用から保護します。

IP パケットの Time To Live (TTL) フィールドは、ホップごとに 1 ずつ削減されます。この削減により、パケットを EC2 外に移動させないようにすることができます。IMDSv2 は、オープンルーター、レイヤー 3 ファイアウォール、VPN、トンネル、または NAT デバイスとして誤って構成された可能性のある EC2 インスタンスを保護し、権限のないユーザーがメタデータを取得できないようにします。IMDSv2 では、デフォルトのメタデータ応答ホップ制限が `1` に設定されているため、シークレットトークンを含む `PUT` 応答は、インスタンスの外に移動することができません。ただし、この値が `1` より大きい場合、トークンは EC2 インスタンスから移動することができます。

### 修正
<a name="autoscaling-4-remediation"></a>

既存の起動設定のメタデータ応答ホップ制限を変更する方法については、「*Amazon EC2 ユーザーガイド*」の「[既存インスタンスのインスタンスメタデータオプションの変更](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances)」を参照してください。

## [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません
<a name="autoscaling-5"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 高

**リソースタイプ :** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Auto Scaling グループに関連付けられた起動設定が、グループのインスタンスに[パブリック IP アドレス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses)を割り当てるかどうかをチェックします。関連付けられた起動設定が、パブリック IP アドレスを割り当てている場合に、このコントロールは失敗します。

Auto Scaling グループの起動設定の Amazon EC2 インスタンスには、限定されたエッジケースを除き、パブリック IP アドレスを関連付けないでください。Amazon EC2 インスタンスは、インターネットに直接公開されるのではなく、ロードバランサーを介した場合のみアクセスできるようにする必要があります。

### 修正
<a name="autoscaling-5-remediation"></a>

Auto Scaling グループは、一度に 1 つの起動設定に関連付けられます。起動設定は、作成後に変更することはできません。Auto Scaling グループの起動設定を変更するには、新しい起動設定のベースとして既存の起動設定を使用します。次に、Auto Scaling グループを新しい起動設定を使用するように更新します。手順については、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[Auto Scaling グループの起動設定を変更する](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html)」を参照してください。新しい起動設定を作成する際、**[追加設定]** にある **[高度な詳細] の [IP アドレスタイプ]** で、**[どのインスタンスにもパブリック IP アドレスを割り当てない]** を選択します。

起動設定を変更すると、Auto Scaling は、新しいインスタンスを新しい設定オプションで起動します。既存のインスタンスは影響を受けません。既存のインスタンスを更新するには、インスタンスの更新を行うか、終了ポリシーに基づいて自動スケーリングで古いインスタンスを新しいインスタンスに徐々に置き換えるようにすることをお勧めします。Auto Scaling インスタンスの更新についての詳細は、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[Auto Scaling インスタンスの更新](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances)」を参照してください。

## [AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります
<a name="autoscaling-6"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon EC2 Auto Scaling グループが複数のインスタンスタイプを使用しているかどうかをチェックします。Auto Scaling グループで 1 つのインスタンスタイプしか定義されていない場合、そのコントロールは失敗します。

複数のアベイラビリティーゾーンで実行されている複数のインスタンスタイプ間でアプリケーションをデプロイすることで、可用性を向上させることができます。Security Hub CSPM では、選択したアベイラビリティーゾーンに十分なインスタンス容量がない場合に Auto Scaling グループが別のインスタンスタイプを起動できるように、複数のインスタンスタイプを使用することをお勧めします。

### 修正
<a name="autoscaling-6-remediation"></a>

複数のインスタンスタイプで Auto Scaling グループを作成するには、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[複数のインスタンスタイプと購入オプションを使用する Auto Scaling グループ](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html)」を参照してください。

## [AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります
<a name="autoscaling-9"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**カテゴリ:** 識別 > リソース設定

**重要度:** 中

**リソースタイプ :** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon EC2 Auto Scaling グループが、EC2 起動テンプレートから作成されたものかどうかを確認します。Amazon EC2 Auto Scaling グループが起動テンプレートを使用して作成されていない場合、または混合インスタンスポリシーで起動テンプレートが指定されていない場合、このコントロールは失敗します。

EC2 Auto Scaling グループは、EC2 起動テンプレートまたは起動設定のいずれかから作成できます。ただし、起動テンプレートを使用して Auto Scaling グループを作成することで、最新の機能や改善点に確実にアクセスできます。

### 修正
<a name="autoscaling-9-remediation"></a>

EC2 起動テンプレートを使用して Auto Scaling グループを作成するには、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[起動テンプレートを使用して Auto Scaling グループを作成する](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html)」を参照してください。起動設定を起動テンプレートに置き換える方法については、「*Amazon EC2 ユーザーガイド*」の「[起動設定を起動テンプレートに置き換える](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html)」を参照してください。

## [AutoScaling.10] EC2 Auto Scaling グループにタグを付ける必要があります
<a name="autoscaling-10"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config rule:** `tagged-autoscaling-autoscalinggroup` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EC2 Auto Scaling グループにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。Auto Scaling グループにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、Auto Scaling グループがキーでタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="autoscaling-10-remediation"></a>

Auto Scaling グループにタグを追加するには、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[Auto Scaling グループとインスタンスにタグを付ける](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html)」を参照してください。

# Amazon ECR の Security Hub CSPM コントロール
<a name="ecr-controls"></a>

これらの Security Hub CSPM コントロールは、Amazon Elastic Container Registry (Amazon ECR) サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります
<a name="ecr-1"></a>

**関連する要件:** NIST.800-53.r5 RA-5、PCI DSS v4.0.1/6.2.3、PCI DSS v4.0.1/6.2.4

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 高

**リソースタイプ :** `AWS::ECR::Repository`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、プライベート Amazon ECR リポジトリでイメージスキャニングが設定されているかどうかをチェックします。プライベート ECR リポジトリがプッシュ時スキャンまたは連続スキャン用に設定されていない場合、コントロールは失敗します。

ECR イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを設定すると、保存されているイメージの整合性と安全性を検証するレイヤーが追加されます。

### 修正
<a name="ecr-1-remediation"></a>

ECR リポジトリのイメージスキャニングを設定する方法については、「*Amazon Elastic Container Registry ユーザーガイド*」の「[Image scanning](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html)」を参照してください。

## [ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります
<a name="ecr-2"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-8(1)

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 中

**リソースタイプ :** `AWS::ECR::Repository`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、プライベート ECR リポジトリでタグのイミュータビリティが有効になっているかどうかをチェックします。プライベート ECR リポジトリでタグのイミュータビリティが無効になっていると、このコントロールは失敗します。このルールは、タグのイミュータビリティが有効で、かつ値が `IMMUTABLE` に設定されていると成功します。

Amazon ECR のタグのイミュータビリティにより、ユーザーは、イメージの説明タグを信頼性の高いメカニズムとして使用し、イメージを追跡して一意に識別することができます。イミュータブルなタグは静的です。つまり、各タグは一意のイメージを参照します。静的タグを使用すると、常に同じイメージがデプロイされるので、信頼性とスケーラビリティが向上します。設定すると、タグのイミュータビリティにより、タグが上書きされなくなり、アタックサーフェスが減少します。

### 修正
<a name="ecr-2-remediation"></a>

イミュータブル (変更不可能) なタグが設定されたリポジトリを作成する場合、または既存のリポジトリのイメージタグのミュータビリティ (変更可能性) を更新する場合は、「*Amazon Elastic Container Registry ユーザーガイド*」の「[Image tag mutability](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html)」を参照してください。

## [ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります
<a name="ecr-3"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**カテゴリ:** 識別 > リソース設定

**重要度:** 中

**リソースタイプ :** `AWS::ECR::Repository`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Amazon ECR リポジトリに少なくとも 1 つのライフサイクルポリシーが設定されているかどうかをチェックします。ECR リポジトリにライフサイクルポリシーが設定されていない場合、このコントロールは失敗します。

Amazon ECR ライフサイクルポリシーを使用すると、リポジトリ内のイメージのライフサイクル管理を有効にすることができます。ライフサイクルポリシーを設定することで、未使用イメージのクリーンアップと、年数またはカウントに基づいたイメージの有効期限を自動化することができます。これらのタスクを自動化することで、リポジトリで古いイメージを意図せずに使用することを回避できます。

### 修正
<a name="ecr-3-remediation"></a>

ライフサイクルポリシーを設定するには、「*Amazon Elastic Container Registry ユーザーガイド*」の「[Creating a lifecycle policy preview](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html)」を参照してください。

## [ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります
<a name="ecr-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::ECR::PublicRepository`

**AWS Config rule:** `tagged-ecr-publicrepository` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon ECR パブリックリポジトリにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。パブリックリポジトリにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、パブリックリポジトリにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="ecr-4-remediation"></a>

ECR パブリックリポジトリにタグを追加するには、「*Amazon Elastic Container Registry ユーザーガイド*」の「[Amazon ECR パブリックリポジトリのタグ付け](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html)」を参照してください。

## [ECR.5] ECR リポジトリはカスタマーマネージドで暗号化する必要があります AWS KMS keys
<a name="ecr-5"></a>

**関連する要件:** NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 SI-7(6)、NIST.800-53.r5 AU-9

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ECR::Repository`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  評価 AWS KMS keys に含める の Amazon リソースネーム (ARNs) のリスト。ECR リポジトリがリスト内の KMS キーで暗号化されていない場合、コントロールは `FAILED` 検出結果を生成します。  |  StringList (最大 10 項目)  |  既存の KMS キーの 1～10 個の ARN。例: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`  |  デフォルト値なし  | 

このコントロールは、Amazon ECR リポジトリが保管時にカスタマーマネージド AWS KMS keyで暗号化されているかどうかをチェックします。ECR リポジトリがカスタマーマネージド KMS キーで暗号化されていない場合、コントロールは失敗します。必要に応じて、コントロールの評価に含める KMS キーのリストを指定することができます。

デフォルトでは、Amazon ECR は AES-256 アルゴリズムを使用して Amazon S3 マネージドキー (SSE-S3) でリポジトリデータを暗号化します。追加コントロールのために、代わりに AWS KMS key (SSE-KMS または DSSE-KMS) を使用してデータを暗号化するように Amazon ECR を設定できます。KMS キーは、Amazon ECR によって作成および管理されていてエイリアス `aws/ecr` がある AWS マネージドキー 、または AWS アカウントでユーザーが作成および管理しているカスタマーマネージドキーです。カスタマーマネージド KMS キーを使用すると、ユーザーがキーを完全にコントロールできます。これには、キーポリシーの定義と維持管理、許可の管理、暗号化マテリアルのローテーション、タグの割り当て、エイリアスの作成、キーの有効化と無効化が含まれます。

**注記**  
AWS KMS は、KMS キーへのクロスアカウントアクセスをサポートします。ECR リポジトリが、別のアカウントが所有する KMS キーで暗号化されている場合、このコントロールはリポジトリを評価するときにクロスアカウントチェックを実行しません。コントロールは、リポジトリの暗号化オペレーションを実行するときに Amazon ECR がキーにアクセスして使用できるかどうかを評価しません。

### 修正
<a name="ecr-5-remediation"></a>

既存の ECR リポジトリの暗号化設定を変更することはできません。ただし、後で作成する ECR リポジトリには、異なる暗号化設定を指定できます。Amazon ECR は、個々のリポジトリに対して異なる暗号化設定の使用をサポートしています。

ECR リポジトリの暗号化オプションの詳細については、「*Amazon ECR ユーザーガイド*」の「[保管時の暗号化](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html)」を参照してください。カスタマー管理の詳細については AWS KMS keys、「 *AWS Key Management Service デベロッパーガイド*[AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)」の「」を参照してください。

# Amazon ECS の Security Hub CSPM コントロール
<a name="ecs-controls"></a>

これらの Security Hub CSPM コントロールは、Amazon Elastic Container Service (Amazon ECS) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。
<a name="ecs-1"></a>

**重要**  
Security Hub CSPM は 2026 年 3 月にこのコントロールを廃止しました。詳細については、「[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)」を参照してください。特権設定、ネットワークモード設定、およびユーザー設定の評価については、次のコントロールを参照してください。  
 [[ECS.4] ECS コンテナは、非特権として実行する必要があります](#ecs-4) 
 [[ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません](#ecs-17) 
 [[ECS.20] ECS タスク定義では、Linux コンテナ定義で非ルートユーザーを設定する必要があります](#ecs-20) 
 [[ECS.21] ECS タスク定義では、Windows コンテナ定義で管理者以外のユーザーを設定する必要があります](#ecs-21) 

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 高

**リソースタイプ :** `AWS::ECS::TaskDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `SkipInactiveTaskDefinitions`: `true` (カスタマイズ不可)

このコントロールは、ホストネットワークモードを使用するアクティブな Amazon ECS タスク定義に `privileged` または `user` コンテナの定義もあるかどうかをチェックします。ホストネットワークモードとコンテナ定義が `privileged=false`、空で、`user=root`、または空のタスク定義では、制御に失敗します。

このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンのみを評価します。

この制御の目的は、ホストネットワークモードを使用するタスクを実行するときに、アクセスが意図的に定義されるようにすることです。タスク定義に昇格されたアクセス権限がある場合は、その構成を選択したことによるものです。このコントロールは、タスク定義でホストネットワークが有効になっていても、お客様が昇格されたアクセス権限を選択していない場合に、予期しない権限の昇格の有無をチェックします。

### 修正
<a name="ecs-1-remediation"></a>

タスク定義を更新する方法については、「*Amazon Elastic Container Service デベロッパーガイド*」の「[タスク定義の更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html)」を参照してください。

タスク定義を更新しても、以前のタスク定義から起動された実行中のタスクは更新されません。実行中のタスクを更新するには、新しいタスク定義を使用してタスクを再デプロイする必要があります。

## [ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください
<a name="ecs-2"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 高

**リソースタイプ :** `AWS::ECS::Service`

**AWS Config rule:** `ecs-service-assign-public-ip-disabled` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon ECS サービスがパブリック IP アドレスの自動割り当てが設定されているかどうかをチェックします。`AssignPublicIP` が `ENABLED` の場合、このコントロールは失敗します。`AssignPublicIP` が `DISABLED` の場合、このコントロールは成功です。

パブリック IP アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用して Amazon ECS インスタンスを起動すると、Amazon ECS インスタンスにインターネットから到達することができます。Amazon ECS サービスは、コンテナアプリケーションサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスができないようにする必要があります。

### 修正
<a name="ecs-2-remediation"></a>

まず、`awsvpc` ネットワークモードを使用し、`requiresCompatibilities` の **FARGATE** を指定するクラスターのタスク定義を作成する必要があります。次に、**[コンピューティング設定]**で、**[起動タイプ]** と **[FARGATE] **を選択します。最後に、**[ネットワーキング]** フィールドで **[パブリック IP]** をオフにして、サービスの自動パブリック IP 割り当てを無効にします。

## [ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください
<a name="ecs-3"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**カテゴリ:** 識別 > リソース設定

**重要度:** 高

**リソースタイプ :** `AWS::ECS::TaskDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon ECS のタスク定義が、ホストのプロセス名前空間をそのコンテナと共有するように設定されているかどうかをチェックします。タスク定義が、ホストのプロセス名前空間を、そこで実行されているコンテナと共有している場合、このコントロールは失敗します。このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンのみを評価します。

プロセス ID (PID) 名前空間は、プロセス間を分離します。これにより、システムプロセスが可視化されることを防ぎ、PID 1 を含む PID の再利用が可能になります。ホストの PID 名前空間がコンテナと共有されている場合、コンテナは、ホストシステム上のすべてのプロセスを参照できるようになります。これにより、ホストとコンテナ間をプロセスレベルで分離するメリットが減ります。このような状況は、ホストそれ自体で行われているプロセスへの、不正アクセス (プロセスの操作や終了など) につながる可能性があります。ユーザーは、ホストのプロセス名前空間を、そこで実行されているコンテナと共有すべきではありません。

### 修正
<a name="ecs-3-remediation"></a>

タスク定義上で `pidMode` を設定する方法については、「Amazon Elastic Container Service デベロッパーガイド」の「[タスク定義パラメータ](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode)」を参照してください。

## [ECS.4] ECS コンテナは、非特権として実行する必要があります
<a name="ecs-4"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6

**カテゴリ:** 保護 > セキュアなアクセス管理 > ルートユーザーのアクセス制限

**重要度:** 高

**リソースタイプ :** `AWS::ECS::TaskDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon ECS のタスク定義の、コンテナ定義の `privileged` パラメータが `true` に設定されているかどうかをチェックします。このパラメータの値が `true` である場合、このコントロールは失敗します。このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンのみを評価します。

昇格された特権を、ECS タスク定義から削除することが推奨されます。この特権パラメータが `true` の場合、このコンテナには、ホストコンテナインスタンスに対する昇格された特権が付与されます (ルートユーザーと同様)。

### 修正
<a name="ecs-4-remediation"></a>

タスク定義上で `privileged` を設定する方法については、「Amazon Elastic Container Service デベロッパーガイド」の「[詳細コンテナ定義パラメータ](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security)」を参照してください。

## [ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります
<a name="ecs-5"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 高

**リソースタイプ :** `AWS::ECS::TaskDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、ECS タスク定義がマウントされたルートファイルシステムへの読み取り専用アクセスに制限されるようにコンテナを設定するかどうかをチェックします。ECS タスク定義のコンテナ定義の `readonlyRootFilesystem`パラメータが に設定されている場合`false`、またはタスク定義内のコンテナ定義に パラメータが存在しない場合、コントロールは失敗します。このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンのみを評価します。

Amazon ECS タスク定義で `readonlyRootFilesystem` パラメータが `true` に設定されている場合、ECS コンテナにはルートファイルシステムへの読み取り専用アクセス権が付与されます。これにより、ファイルシステムフォルダとディレクトリの読み取り/書き込み権限を持つ明示的なボリュームマウントがないと、コンテナインスタンスのルートファイルシステムを改ざんしたり書き込んだりできないため、セキュリティ攻撃ベクトルが減少します。このオプションを有効にすると、最小特権の原則にも準拠できます。

**注記**  
`readonlyRootFilesystem` パラメータは Windows コンテナではサポートされていません。`WINDOWS_SERVER` OS ファミリーを指定するように`runtimePlatform`設定された のタスク定義は としてマーク`NOT_APPLICABLE`され、このコントロールの結果は生成されません。

### 修正
<a name="ecs-5-remediation"></a>

Amazon ECS コンテナにルートファイルシステムへの読み取り専用アクセス権を付与するには、コンテナのタスク定義に `readonlyRootFilesystem` パラメータを追加し、このパラメータの値を `true` に設定します。タスク定義パラメータの詳細とそれらをタスク定義に追加する方法については、「*Amazon Elastic Container Service デベロッパーガイド*」の「[Amazon ECS タスク定義](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html)」と「[タスク定義の更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)」を参照してください。

## [ECS.8] シークレットは、コンテナ環境の変数として渡さないでください
<a name="ecs-8"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/8.6.2

**カテゴリ:** 保護 > セキュアな開発 > 認証情報がハードコーディングされていない

**重要度:** 高

**リソースタイプ :** `AWS::ECS::TaskDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** `secretKeys`: `AWS_ACCESS_KEY_ID`、`AWS_SECRET_ACCESS_KEY`、`ECS_ENGINE_AUTH_DATA` (カスタマイズ不可) 

このコントロールは、コンテナ定義の `environment` パラメータにある、任意の変数のキー値に、`AWS_ACCESS_KEY_ID`、`AWS_SECRET_ACCESS_KEY`、`ECS_ENGINE_AUTH_DATA` のいずれかが含まれているかどうかをチェックします。任意のコンテナ定義内の単一の環境変数が、`AWS_ACCESS_KEY_ID`、`AWS_SECRET_ACCESS_KEY`、`ECS_ENGINE_AUTH_DATA` のいずれかである場合、このコントロールは失敗します。このコントロールは、Amazon S3 など、他のロケーションから渡される環境変数は対象としません。このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンのみを評価します。

AWS Systems Manager Parameter Store は、組織のセキュリティ体制の改善に役立ちます。シークレットと認証情報は、コンテナインスタンスに直接渡したり、コードにハードコーディングしたりするのではなく、Parameter Store を使用して保存することが推奨されます。

### 修正
<a name="ecs-8-remediation"></a>

SSM を使用してパラメータを作成する方法については、「*AWS Systems Manager ユーザーガイド*」の「[Systems Manager パラメータを作成する](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html)」を参照してください。シークレットを指定するタスク定義の作成に関する詳細は、「*Amazon Elastic Container Service デベロッパーガイド*」の「[Secrets Manager を使用した機密データの指定](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition)」を参照してください。

## [ECS.9] ECS タスク定義にはログ設定が必要です。
<a name="ecs-9"></a>

**関連する要件:** NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)

**カテゴリ:** 識別 > ログ記録

**重要度:** 高

**リソースタイプ :** `AWS::ECS::TaskDefinition`

**AWS Config rule:** [ecs-task-definition-log-configuration](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、最新のアクティブな Amazon ECS タスク定義にロギング設定が指定されているかどうかを確認します。タスク定義に `logConfiguration` プロパティが定義されていない場合、または少なくとも 1 つのコンテナ定義で `logDriver` の値が null の場合、コントロールは失敗します。

ログ記録は Amazon ECS の信頼性、可用性、パフォーマンスの維持に有益です。タスク定義からデータを収集すると可視性が得られ、プロセスのデバッグやエラーの根本原因の特定に役立ちます。ECS タスク定義で定義する必要のないロギングソリューション (サードパーティのロギングソリューションなど) を使用している場合は、ログを無効にできますが、無効にする前に、ログが適切に取得、保存されていることを確認してください。

### 修正
<a name="ecs-9-remediation"></a>

Amazon ECS タスク定義のログ設定を定義するには、「**Amazon Elastic Container Service デベロッパーガイド」の「[タスク定義でログ設定を指定する](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config)」を参照してください。

## [ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。
<a name="ecs-10"></a>

**関連する要件:** NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 中

**リソースタイプ :** `AWS::ECS::Service`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `latestLinuxVersion: 1.4.0` (カスタマイズ不可)
+ `latestWindowsVersion: 1.0.0` (カスタマイズ不可)

このコントロールは、Amazon ECS Fargate サービスが最新バージョンの Fargate プラットフォームで実行されているかどうかをチェックします。プラットフォームが最新バージョンでない場合、このコントロールは失敗します。

AWS Fargate プラットフォームバージョンは、Fargate タスクインフラストラクチャの特定のランタイム環境を指します。これは、カーネルランタイムバージョンとコンテナランタイムバージョンの組み合わせです。新しいプラットフォームのバージョンは、ランタイム環境の進化に伴ってリリースされます。例えば、新しいバージョンは、カーネルやオペレーティングシステムの更新、新機能、バグ修正、セキュリティ更新があったときなどにリリースされます。セキュリティの更新やパッチは、 Fargate のタスクに自動的にデプロイされます。プラットフォームバージョンに影響するセキュリティ問題が見つかった場合、 はプラットフォームバージョンを AWS パッチします。

### 修正
<a name="ecs-10-remediation"></a>

プラットフォームバージョンを含む既存サービスの更新方法については、「*Amazon Elastic Container Service デベロッパーガイド*」の「[サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html)」を参照してください。

## [ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります
<a name="ecs-12"></a>

**関連する要件:** NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::ECS::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、ECS クラスターが Container Insights を使用しているかどうかをチェックします。クラスターで Container Insights がセットアップされていない場合、このコントロールは失敗します。

モニタリングは、Amazon ECS クラスターの信頼性、可用性、パフォーマンスを維持する上で欠かせない要素です。CloudWatch Container Insights を使用して、コンテナ化されたアプリケーションとマイクロサービスのメトリクスとログを収集、集計、要約します。CloudWatch は、CPU やメモリ、ディスク、ネットワークなど、多数のリソースのメトリクスを自動的に収集します。Container Insights では、問題の迅速な特定と解決に役立つ、コンテナの再起動失敗などの診断情報も提供されます。また、Container Insights が収集するメトリクスには CloudWatch アラームを設定できます。

### 修正
<a name="ecs-12-remediation"></a>

Container Insights の使用方法については、「*Amazon CloudWatch ユーザーガイド*」の「[サービスの更新](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html)」を参照してください。

## [ECS.13] ECS サービスにはタグを付ける必要があります
<a name="ecs-13"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::ECS::Service`

**AWS Config rule:** `tagged-ecs-service` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon ECS サービスにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。サービスにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、サービスがキーでタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="ecs-13-remediation"></a>

ECS サービスにタグを追加するには、「*Amazon Elastic Container Service デベロッパーガイド*」の「[Amazon ECS リソースにタグを付ける](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html)」を参照してください。

## [ECS.14] ECS クラスターにはタグを付ける必要があります
<a name="ecs-14"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::ECS::Cluster`

**AWS Config rule:** `tagged-ecs-cluster` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon ECS クラスターにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。クラスターにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、クラスターにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="ecs-14-remediation"></a>

ECS クラスターにタグを追加するには、「*Amazon Elastic Container Service デベロッパーガイド*」の「[Amazon ECS リソースにタグを付ける](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html)」を参照してください。

## [ECS.15] ECS タスク定義にはタグを付ける必要があります
<a name="ecs-15"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::ECS::TaskDefinition`

**AWS Config rule:** `tagged-ecs-taskdefinition` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon ECS タスク定義に、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。タスク定義にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、タスク定義にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="ecs-15-remediation"></a>

ECS タスク定義にタグを追加するには、「*Amazon Elastic Container Service デベロッパーガイド*」の「[Amazon ECS リソースのタグ付け](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html)」を参照してください。

## [ECS.16] ECS タスクセットはパブリック IP アドレスを自動的に割り当てないでください。
<a name="ecs-16"></a>

**関連する要件:** PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 高

**リソースタイプ :** `AWS::ECS::TaskSet`

**AWS Config rule:** `ecs-taskset-assign-public-ip-disabled` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon ECS タスクセットがパブリック IP アドレスの自動割り当てが設定されているかどうかをチェックします。`AssignPublicIP` が `ENABLED` に設定されている場合、コントロールは失敗します。

パブリック IP アドレスは、インターネットから到達可能です。タスクセットをパブリック IP アドレスで設定すると、タスクセットに関連付けられたリソースにインターネットからアクセスできます。ECS タスクセットは、コンテナアプリケーションサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスができないようにする必要があります。

### 修正
<a name="ecs-16-remediation"></a>

パブリック IP アドレスを使用しないように ECS タスクセットを更新するには、「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS タスク定義の更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)」を参照してください。

## [ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません
<a name="ecs-17"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::ECS::TaskDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンが `host` ネットワークモードを使用しているかどうかをチェックします。ECS タスク定義の最新のアクティブなリビジョンが `host` ネットワークモードを使用している場合、このコントロールは失敗します。

`host` ネットワークモードを使用すると、Amazon ECS コンテナのネットワークは、コンテナを実行している基盤となるホストに直接関連付けられます。そのため、このモードでは、コンテナはホスト上のプライベートループバックネットワークサービスに接続でき、ホストになりすますことができます。その他の重大な欠点として、`host` ネットワークモードを使用している場合、コンテナポートを再マッピングする方法がなく、各ホストで 1 つのタスクを複数インスタンス化することができないことが挙げられます。

### 修正
<a name="ecs-17-remediation"></a>

Amazon EC2 インスタンスでホストされている Amazon ECS タスクのネットワークモードとオプションについては、「*Amazon Elastic Container Service デベロッパーガイド*」の「[EC2 起動タイプの Amazon ECS タスクネットワークオプション](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html)」を参照してください。タスク定義の新しいリビジョンを作成し、別のネットワークモードを指定する方法については、そのガイドの「[Amazon ECS タスク定義の更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)」を参照してください。

Amazon ECS タスク定義が によって作成された場合は AWS Batch、[AWS Batch 「ジョブのネットワークモード](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html)」を参照して、 AWS Batch ジョブタイプのネットワークモードと一般的な使用法について学び、安全なオプションを選択します。

## [ECS.18] ECS タスク定義ではEFS ボリュームの転送時の暗号化を使用する必要があります
<a name="ecs-18"></a>

**カテゴリ:** 保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ECS::TaskDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンが EFS ボリュームの転送中の暗号化を使用しているかどうかをチェックします。ECS タスク定義の最新のアクティブなリビジョンで EFS ボリュームの転送中の暗号化が無効になっている場合、コントロールは失敗します。

Amazon EFS ボリュームは、Amazon ECS タスクで使用できるように、シンプルでスケーラブル、永続的な共有ファイルストレージを提供します。Amazon EFS は、Transport Layer Security (TLS) による転送中のデータの暗号化をサポートしています。転送中のデータの暗号化が EFS ファイルシステムのマウントオプションとして宣言されると、Amazon EFS はファイルシステムのマウント時に EFS ファイルシステムとの安全な TLS 接続を確立します。

### 修正
<a name="ecs-18-remediation"></a>

EFS ボリュームで Amazon ECS タスク定義の転送時の暗号化を有効にする方法については、「Amazon *Elastic Container Service* [デベロッパーガイド」の「ステップ 5: タスク定義を作成する](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def)」を参照してください。

## [ECS.19] ECS キャパシティプロバイダーはマネージド終了保護を有効にする必要があります
<a name="ecs-19"></a>

**カテゴリ:** 保護 > データ保護

**重要度:** 中

**リソースタイプ :** `AWS::ECS::CapacityProvider`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon ECS キャパシティプロバイダーがマネージド終了保護を有効にしているかどうかをチェックします。ECS キャパシティープロバイダーでマネージド終了保護が有効になっていない場合、コントロールは失敗します。

Amazon ECS キャパシティープロバイダーは、クラスター内のタスクに対するインフラストラクチャのスケーリングを管理できます。キャパシティーとして EC2 インスタンスを使用する場合は、Auto Scaling グループを使用して EC2 インスタンスを管理します。マネージド終了保護を使用すると、クラスターの自動スケーリングで、どのインスタンスを終了するかを制御できます。マネージド終了保護を使用した場合、Amazon ECS は、実行中の Amazon ECS タスクがない EC2 インスタンスのみを終了します。

**注記**  
マネージド終了保護を使用する場合は、マネージドスケーリングも使用する必要があります。そうしなければ、マネージド終了保護は機能しません。

### 修正
<a name="ecs-19-remediation"></a>

Amazon ECS キャパシティープロバイダーのマネージド終了保護を有効にするには、[「Amazon Elastic Container Service デベロッパーガイド」の「Amazon ECS キャパシティープロバイダーのマネージド終了保護の更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html)」を参照してください。 **

## [ECS.20] ECS タスク定義では、Linux コンテナ定義で非ルートユーザーを設定する必要があります
<a name="ecs-20"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理 > ルートユーザーのアクセス制限

**重要度:** 中

**リソースタイプ :** `AWS::ECS::TaskDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンが、非ルートユーザーとして実行されるように Linux コンテナを設定するかどうかをチェックします。デフォルトのルートユーザーが設定されている場合、またはコンテナにユーザー設定がない場合、コントロールは失敗します。

Linux コンテナがルート権限で実行されると、いくつかの重大なセキュリティリスクが生じます。ルートユーザーは、コンテナ内で無制限にアクセスできます。この昇格されたアクセスは、攻撃者がコンテナの分離から抜け出し、基盤となるホストシステムにアクセスする可能性のある、コンテナエスケープ攻撃のリスクを高めます。ルートとして実行されているコンテナが侵害された場合、攻撃者はこれを悪用してホストシステムリソースにアクセスまたは変更し、他のコンテナまたはホスト自体に影響を与える可能性があります。さらに、ルートアクセスにより特権エスカレーション攻撃が可能になり、攻撃者はコンテナの意図した範囲を超える追加のアクセス許可を取得できます。ECS タスク定義のユーザーパラメータは、ユーザー名、ユーザー ID、 グループのユーザー名、 グループ ID の UID など、複数の形式でユーザーを指定できます。誤ってルートアクセスが付与されないようにタスク定義を設定するときは、これらのさまざまな形式に注意することが重要です。最小特権の原則に従って、コンテナはルート以外のユーザーを使用して最低限必要なアクセス許可で実行する必要があります。このアプローチにより、潜在的な攻撃対象領域が大幅に減少し、潜在的なセキュリティ侵害の影響が軽減されます。

**注記**  
このコントロールは、 `operatingSystemFamily`が `LINUX`として設定されているか、タスク定義で設定`operatingSystemFamily`されていない場合にのみ、タスク定義のコンテナ定義を評価します。タスク定義内のコンテナ定義がデフォルトのルートユーザーとして設定または`user`設定`user`されていない場合、コントロールは評価されたタスク定義`FAILED`の結果を生成します。`LINUX` コンテナのデフォルトのルートユーザーは `"root"`および です`"0"`。

### 修正
<a name="ecs-20-remediation"></a>

Amazon ECS タスク定義の新しいリビジョンの作成とコンテナ定義の `user`パラメータの更新については、「Amazon *Elastic Container Service デベロッパーガイド*[」の「Amazon ECS タスク定義の更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)」を参照してください。

## [ECS.21] ECS タスク定義では、Windows コンテナ定義で管理者以外のユーザーを設定する必要があります
<a name="ecs-21"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理 > ルートユーザーのアクセス制限

**重要度:** 中

**リソースタイプ :** `AWS::ECS::TaskDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンが、デフォルト管理者ではないユーザーとして実行するように Windows コンテナを設定するかどうかをチェックします。デフォルトの管理者がユーザーとして設定されている場合、またはコンテナにユーザー設定がない場合、コントロールは失敗します。

Windows コンテナが管理者権限で実行されると、いくつかの重大なセキュリティリスクが生じます。管理者は、コンテナ内で無制限にアクセスできます。この昇格されたアクセスは、攻撃者がコンテナの分離から抜け出し、基盤となるホストシステムにアクセスする可能性のある、コンテナエスケープ攻撃のリスクを高めます。

**注記**  
このコントロールは、 が `WINDOWS_SERVER`として`operatingSystemFamily`設定されているか、タスク定義で設定`operatingSystemFamily`されていない場合にのみ、タスク定義のコンテナ定義を評価します。タスク定義内のコンテナ定義が であるコンテナのデフォルト管理者として設定または`user`設定`user`されていない場合、コントロールは評価`WINDOWS_SERVER`されたタスク定義`FAILED`の結果を生成します`"containeradministrator"`。

### 修正
<a name="ecs-21-remediation"></a>

Amazon ECS タスク定義の新しいリビジョンの作成とコンテナ定義の `user`パラメータの更新については、「Amazon *Elastic Container Service デベロッパーガイド*[」の「Amazon ECS タスク定義の更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)」を参照してください。

# Amazon EFS の Security Hub CSPM コントロール
<a name="efs-controls"></a>

これらの Security Hub CSPM コントロールは、Amazon Elastic File System (Amazon EFS) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
<a name="efs-1"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/2.3.1、CIS AWS Foundations Benchmark v3.0.0/2.4.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::EFS::FileSystem`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Elastic File System が を使用してファイルデータを暗号化するように設定されているかどうかを確認します AWS KMS。次の場合、チェックは失敗します。
+ [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) レスポンスで `Encrypted` は、`false` に設定されている。
+ [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) レスポンスの `KmsKeyId` キーが [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) の `KmsKeyId` パラメータと一致しない。

このコントロールでは、[https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) の `KmsKeyId` パラメータを使用しないことに注意してください。`Encrypted` の値のみをチェックします。

Amazon EFS で機密データのセキュリティを強化するには、暗号化されたファイルシステムを作成する必要があります。Amazon EFS は保管時のファイルシステムの暗号化をサポートします。Amazon EFS ファイルシステムを作成する場合、保管中のデータの暗号化を有効にすることができます。Amazon EFS 暗号化の詳細については、「Amazon Elastic File System ユーザーガイド」の「[Amazon EFS でのデータ暗号化](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)」を参照してください。

### 修正
<a name="efs-1-remediation"></a>

新しい Amazon EFS ファイルシステムを暗号化する方法の詳細については、「Amazon Elastic File System ユーザーガイド」の「[保管中のデータの暗号化](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html)」を参照してください。

## [EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります
<a name="efs-2"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > バックアップ

**重要度:** 中

**リソースタイプ :** `AWS::EFS::FileSystem`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)

**スケジュールタイプ :** 定期的

**パラメータ:** なし

このコントロールは、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backupのバックアッププランに追加されているかどうかをチェックします。Amazon EFS ファイルシステムがバックアッププランに含まれていない場合、コントロールは失敗します。

バックアッププランに EFS ファイルシステムを組み込むと、データの削除やデータの損失からデータを保護できます。

### 修正
<a name="efs-2-remediation"></a>

既存の Amazon EFS ファイルシステムの自動バックアップを有効にするには、「*AWS Backup デベロッパーガイド*」の「[開始方法 4: Amazon EFS 自動バックアップの作成](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html)」を参照してください。

## [EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります
<a name="efs-3"></a>

**関連する要件:** NIST.800-53.r5 AC-6(10)

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::EFS::AccessPoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon EFS アクセスポイントが、ルートディレクトリを適用するように設定されているかどうかをチェックします。`Path` の値が `/` (ファイルシステムのデフォルトのルートディレクトリ) に設定されていると、このコントロールは失敗します。

ルートディレクトリを適用すると、アクセスポイントを使用する NFS クライアントは、ファイルシステムのルートディレクトリではなく、アクセスポイントに設定されているルートディレクトリを使用します。アクセスポイントのルートディレクトリを適用すると、アクセスポイントのユーザーを、指定されたサブディレクトリのファイルにのみアクセスさせ、データアクセスを制限することができます。

### 修正
<a name="efs-3-remediation"></a>

Amazon EFS アクセスポイントのルートディレクトリを適用する方法については、「*Amazon Elastic File System ユーザーガイド*」の「[Enforcing a root directory with an access point](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point)」を参照してください。

## [EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります
<a name="efs-4"></a>

**関連する要件:** NIST.800-53.r5 AC-6(2)、PCI DSS v4.0.1/7.3.1

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::EFS::AccessPoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon EFS アクセスポイントが、ユーザーアイデンティティを適用するように設定されているかどうかをチェックします。EFS アクセスポイントの作成中に POSIX ユーザー ID が定義されていない場合、このコントロールは失敗します。

Amazon EFS アクセスポイントは、EFS ファイルシステムへのアプリケーション固有のエントリポイントです。これにより、共有データセットへのアプリケーションアクセスが管理しやすくなります。アクセスポイントを使用すると、アクセスポイントを介したすべてのファイルシステム要求に対してユーザーアイデンティティ (ユーザーの POSIX グループなど) を適用できます。また、ファイルシステムに対して別のルートディレクトリを適用し、このディレクトリまたはそのサブディレクトリ内のデータに対してのみ、クライアントにアクセスを許可することもできます。

### 修正
<a name="efs-4-remediation"></a>

Amazon EFS アクセスポイントのユーザー ID を適用する方法については、「*Amazon Elastic File System ユーザーガイド*」の「[アクセスポイントを使用したユーザー ID の適用](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points)」を参照してください。

## [EFS .5] EFS アクセスポイントにはタグを付ける必要があります
<a name="efs-5"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EFS::AccessPoint`

**AWS Config rule:** `tagged-efs-accesspoint` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EFS アクセスポイントにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。アクセスポイントにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、アクセスポイントにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="efs-5-remediation"></a>

EFS アクセスポイントにタグを追加するには、「*Amazon Elastic File System ユーザーガイド*」の「[Amazon EFS リソースのタグ付け](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html)」を参照してください。

## [EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません
<a name="efs-6"></a>

**カテゴリ:** 保護 > ネットワークセキュリティ > パブリックアクセス不可のリソース

**重要度:** 中

**リソースタイプ :** `AWS::EFS::FileSystem`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon EFS マウントターゲットが、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けられているかどうかをチェックします。マウントターゲットが、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けられている場合、コントロールは失敗します。

サブネットには、ネットワークインターフェイスがパブリック IPv4 アドレスと IPv6 アドレスを自動的に受信するかどうかを決定する属性があります。IPv4 `TRUE`の場合、この属性はデフォルトサブネットの場合は に、デフォルト以外のサブネット`FALSE`の場合は に設定されます (EC2 インスタンス起動ウィザードで作成されたデフォルト以外のサブネットは例外で、 に設定されます`TRUE`)。IPv6 の場合、この属性はデフォルトですべてのサブネット`FALSE`に対して に設定されます。これらの属性を有効にすると、サブネットで起動されたインスタンスは、プライマリネットワークインターフェイスで対応する IP アドレス (IPv4 または IPv6) を自動的に受け取ります。この属性が有効になっているサブネットで起動される Amazon EFS マウントターゲットでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。

### 修正
<a name="efs-6-remediation"></a>

既存のマウントターゲットを別のサブネットに関連付けるには、起動時にパブリック IP アドレスを割り当てないサブネットに新しいマウントターゲットを作成し、古いマウントターゲットを削除する必要があります。マウントターゲットの管理については、「*Amazon Elastic File System ユーザーガイド*」の「[マウントターゲットとセキュリティグループの作成と管理](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html)」を参照してください。

## [EFS .7] EFS ファイルシステムでは、自動バックアップが有効になっている必要があります
<a name="efs-7"></a>

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化

**重要度:** 中

**リソースタイプ :** `AWS::EFS::FileSystem`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon EFS ファイルシステムに自動バックアップが有効になっているかどうかを確認します。EFS ファイルシステムに自動バックアップが有効になっていない場合、このコントロールは失敗します。

データバックアップは、システム、設定、またはアプリケーションデータのコピーであり、元のデータとは別に保存されます。定期的なバックアップを有効にすると、システム障害、サイバー攻撃、偶発的な削除などの予期しないイベントから貴重なデータを保護することができます。堅牢なバックアップ戦略を持つことで、データ損失の可能性に直面しても、より迅速な復旧、事業継続性、安心感が得られます。

### 修正
<a name="efs-7-remediation"></a>

 AWS Backup EFS ファイルシステムで を使用する方法については、「Amazon Elastic [File System ユーザーガイド」のEFS ](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) ファイルシステムのバックアップ」を参照してください。 *Amazon Elastic File System *

## [EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります
<a name="efs-8"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/2.3.1

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::EFS::FileSystem`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon EFS ファイルシステムが AWS Key Management Service () でデータを暗号化しているかどうかをチェックしますAWS KMS。ファイルシステムが暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。

### 修正
<a name="efs-8-remediation"></a>

新しい EFS ファイルシステムの保管中の暗号化を有効にするには、「*Amazon Elastic File System ユーザーガイド*」の「[保管中のデータの暗号化](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html)」を参照してください。

# Amazon EKS の Security Hub CSPM コントロール
<a name="eks-controls"></a>

これらの Security Hub CSPM コントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります
<a name="eks-1"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 高

**リソースタイプ :** `AWS::EKS::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon EKS クラスターエンドポイントがパブリックにアクセス可能かどうかをチェックします。EKS クラスターにパブリックにアクセス可能なエンドポイントがある場合、コントロールは失敗します。

新しいクラスターを作成すると、Amazon EKS によって、マネージド型 Kubernetes API サーバー用にエンドポイントが作成されます。このエンドポイントは、ユーザーがクラスターとの通信に使用します。デフォルトでは、この API サーバーエンドポイントはインターネットで公開されています。API サーバーへのアクセスは、 AWS Identity and Access Management (IAM) とネイティブ Kubernetes ロールベースアクセスコントロール (RBAC) の組み合わせを使用して保護されます。エンドポイントへのパブリックアクセスを削除することで、意図しない公開やクラスターへのアクセスを防ぐことができます。

### 修正
<a name="eks-1-remediation"></a>

既存の EKS クラスターのエンドポイントアクセスを変更するには、「**Amazon EKS ユーザーガイド**」の「[クラスターエンドポイントのアクセスの変更](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access)」を参照してください。新しい EKS クラスターの作成時に、エンドポイントアクセスを設定できます。新しい Amazon EKS クラスターを作成する手順については、「**Amazon EKS ユーザーガイド**」の「[Amazon EKS クラスターの作成](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html)」を参照してください。

## [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。
<a name="eks-2"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/12.3.4

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 高

**リソースタイプ :** `AWS::EKS::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `oldestVersionSupported`: `1.33` (カスタマイズ不可)

このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、サポートされている Kubernetes バージョンで実行されるかどうかをチェックします。EKS クラスターがサポートされていないバージョンで実行される場合、このコントロールは失敗します。

アプリケーションが Kubernetes の特定のバージョンを必要としない場合は、EKS がクラスター用にサポートしている、Kubernetes の使用可能な最新バージョンを使用することが推奨されます。詳細については、「**Amazon EKS ユーザーガイド**」の「[Amazon EKS Kubernetes リリースカレンダー](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar)」と「[Amazon EKS の Kubernetes バージョンライフサイクルを理解する](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation)」を参照してください。

### 修正
<a name="eks-2-remediation"></a>

EKS クラスターの更新方法については、「**Amazon EKS ユーザーガイド**」の「[既存のクラスターを新しい Kubernetes バージョンに更新する](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html)」を参照してください。

## [EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります
<a name="eks-3"></a>

**関連する要件:** NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-12、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、PCI DSS v4.0.1/8.3.2

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::EKS::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon EKS クラスターが暗号化された Kubernetes シークレットを使用しているかどうかを確認します。クラスターの Kubernetes シークレットが暗号化されていない場合、コントロールは失敗します。

シークレットを暗号化するときは、 AWS Key Management Service (AWS KMS) キーを使用して、クラスターの etcd に保存されている Kubernetes シークレットのエンベロープ暗号化を提供できます。この暗号化は、EKS クラスターの一部として etcd に保存されているすべてのデータ (シークレットを含む) に対してデフォルトで有効になっている EBS ボリューム暗号化に加えて行われます。EKS クラスターにシークレット暗号化を使用すると、定義して管理する KMS キーを使用して Kubernetes シークレットを暗号化することで、Kubernetes アプリケーションの防御を詳細にデプロイできます。

### 修正
<a name="eks-3-remediation"></a>

EKS クラスターでシークレット暗号化を有効にするには、「**Amazon EKS ユーザーガイド**」の「[既存のクラスターでシークレット暗号化を有効にする](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html)」を参照してください。

## [EKS.6] EKS クラスターにはタグを付ける必要があります
<a name="eks-6"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EKS::Cluster`

**AWS Config rule:** `tagged-eks-cluster` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EKS クラスターにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。クラスターにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、クラスターにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="eks-6-remediation"></a>

EKS クラスターにタグを追加するには、「**Amazon EKS ユーザーガイド**」の「[Amazon EKS リソースのタグ付け](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html)」を参照してください。

## [EKS.7] EKS ID プロバイダーの設定にはタグを付ける必要があります
<a name="eks-7"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::EKS::IdentityProviderConfig`

**AWS Config rule:** `tagged-eks-identityproviderconfig` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EKS ID プロバイダー設定に、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。設定にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、設定にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="eks-7-remediation"></a>

EKS ID プロバイダー設定にタグを追加するには、「**Amazon EKS ユーザーガイド**」の「[Amazon EKS リソースのタグ付け](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html)」を参照してください。

## [EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります
<a name="eks-8"></a>

**関連する要件:** NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.2.1

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::EKS::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `logTypes: audit` (カスタマイズ不可)

このコントロールは、Amazon EKS クラスターで監査ログ記録が有効になっているかどうかをチェックします。クラスターで監査ログ記録が有効になっていない場合、コントロールは失敗します。

**注記**  
このコントロールは、 AWS アカウントの Amazon Security Lake を介して Amazon EKS 監査ログ記録が有効になっているかどうかをチェックしません。

EKS コントロールプレーンのログ記録により、アカウント内で EKS コントロールプレーンから Amazon CloudWatch Logs に対し、監査および診断ログを直接送れるようになります。必要なログタイプを選択することで、CloudWatch 内で各 EKS クラスターのためのグループに対し、ログストリームの形態でログを送信できます。ログ記録により、EKS クラスターのアクセスとパフォーマンスを可視化できます。EKS クラスターの EKS コントロールプレーンログを CloudWatch Logs に送信することで、監査と診断を目的とした操作を一元的な場所に記録できます。

### 修正
<a name="eks-8-remediation"></a>

EKS クラスターの監査ログを有効にするには、「**Amazon EKS ユーザーガイド**」の「[コントロールプレーンログの有効化と無効化](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export)」を参照してください。

# ElastiCache の Security Hub CSPM コントロール
<a name="elasticache-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon ElastiCache サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります
<a name="elasticache-1"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化

**重要度:** 高

**リソースタイプ:** `AWS::ElastiCache::CacheCluster`、`AWS:ElastiCache:ReplicationGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `snapshotRetentionPeriod`  |  最小スナップショット保持期間 (日数)  |  整数  |  `1`～`35`  |  `1`  | 

このコントロールは、Amazon ElastiCache (Redis OSS) クラスターで自動バックアップが有効になっているかどうかを評価します。Redis OSS クラスターの `SnapshotRetentionLimit` が指定された期間未満の場合、コントロールは失敗します。スナップショット保持期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 1 日を使用します。

ElastiCache (Redis OSS) クラスターでは、データをバックアップできます。バックアップを使用して、クラスターを復元したり、新しいクラスターをシードしたりできます。バックアップは、クラスター内の全データとクラスターのメタデータで構成されます。すべてのバックアップは、堅牢なストレージを提供する Amazon S3 に書き込まれます。新しい ElastiCache クラスターを作成し、バックアップのデータを挿入することでデータを復元できます。バックアップは AWS マネジメントコンソール、、 AWS CLI、および ElastiCache API を使用して管理できます。

**注記**  
このコントロールは、ElastiCache (Redis OSS および Valkey) レプリケーショングループも評価します。

### 修正
<a name="elasticache-1-remediation"></a>

ElastiCache クラスターの自動バックアップのスケジュールについては、「*Amazon ElastiCache ユーザーガイド*」の「[自動バックアップのスケジュール](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html)」を参照してください。

## [ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。
<a name="elasticache-2"></a>

**関連する要件:** NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 高

**リソースタイプ :** `AWS::ElastiCache::CacheCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon ElastiCache がキャッシュクラスターにマイナーバージョンアップグレードを自動的に適用するかどうかを評価します。キャッシュクラスターにマイナーバージョンアップグレードを自動的に適用しない場合、コントロールは失敗します。

**注記**  
このコントロールは ElastiCache Memcached クラスターには適用されません。

自動マイナーバージョンアップグレードは、新しいマイナーキャッシュエンジンバージョンが利用可能になるとキャッシュクラスターを自動的にアップグレードできる機能であり、Amazon ElastiCache で有効化できます。これらのアップグレードには、セキュリティパッチとバグ修正を含む場合があります。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。

### 修正
<a name="elasticache-2-remediation"></a>

既存の ElastiCache キャッシュクラスターにマイナーバージョンアップグレードを自動的に適用するには、「*Amazon ElastiCache ユーザーガイド*」の「[ElastiCache のバージョン管理](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html)」を参照してください。

## [ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります
<a name="elasticache-3"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::ElastiCache::ReplicationGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon ElastiCache レプリケーショングループの自動フェイルオーバーが有効になっているかどうかをチェックします。Redis OSS プリケーショングループで自動フェイルオーバーが有効になっていない場合、コントロールは失敗します。

レプリケーショングループで自動フェイルオーバーを有効にすると、プライマリノードのロールは、いずれかのリードレプリカに自動的にフェイルオーバーされます。このフェイルオーバーとレプリカの昇格により、昇格の完了後すぐに新しいプライマリへの書き込みを再開できるため、障害発生時も全体のダウンタイムを短縮できます。

### 修正
<a name="elasticache-3-remediation"></a>

既存の ElastiCache レプリケーショングループの自動フェイルオーバーを有効にするには、「*Amazon ElastiCache ユーザーガイド*」の「[ElastiCache クラスターの変更](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON)」を参照してください。ElastiCache コンソールを使用する場合は、**[自動フェイルオーバー]** を有効に設定します。

## [ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります
<a name="elasticache-4"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ElastiCache::ReplicationGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、ElastiCache レプリケーショングループが保管時に暗号化されているかどうかをチェックします。レプリケーショングループが保管時に暗号化されていない場合、コントロールは失敗します。

保管中のデータを暗号化すると、認証されていないユーザーがディスクに保存しているデータにアクセスするリスクが低減されます。ElastiCache (Redis OSS) レプリケーショングループは、セキュリティを強化するために、保管中に暗号化する必要があります。

### 修正
<a name="elasticache-4-remediation"></a>

ElastiCache レプリケーショングループで保管中の暗号化を設定するには、「*Amazon ElastiCache ユーザーガイド*」の「[保管時の暗号化を有効にする](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable)」を参照してください。

## [ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります
<a name="elasticache-5"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ElastiCache::ReplicationGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、ElastiCache レプリケーショングループが転送中に暗号化されているかどうかをチェックします。レプリケーショングループが転送中に暗号化されていない場合、コントロールは失敗します。

転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。ElastiCache レプリケーショングループで転送中の暗号化を有効にすると、ある場所から別の場所に移動するデータ (クラスターのノード間、クラスターとアプリケーション間など) に対して必ず暗号化が行なわれます。

### 修正
<a name="elasticache-5-remediation"></a>

ElastiCache レプリケーショングループで転送中の暗号化を設定するには、「*Amazon ElastiCache ユーザーガイド*」の「[転送時の暗号化を有効にする](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html)」を参照してください。

## [ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります
<a name="elasticache-6"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、PCI DSS v4.0.1/8.3.1

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::ElastiCache::ReplicationGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、ElastiCache (Redis OSS) レプリケーショングループの Redis OSS AUTH が有効になっているかどうかを確認します。Redis OSS バージョンが 6.0 より前で `AuthToken` が使用されていない場合、ElastiCache for Redis レプリケーショングループのコントロールは失敗します。

Redis 認証トークンまたはパスワードを使用すると、Redis はクライアントにコマンドの実行を許可する前にパスワードを要求するため、データのセキュリティが向上します。Redis 6.0 以降のバージョンでは、ロールベースのアクセス制御 (RBAC) の使用をお勧めします。RBAC は 6.0 より前のバージョンの Redis ではサポートされていないため、このコントロールは RBAC 機能を使用できないバージョンのみを評価します。

### 修正
<a name="elasticache-6-remediation"></a>

ElastiCache (Redis OSS) レプリケーショングループで Redis AUTH を使用するには、「*Amazon ElastiCache ユーザーガイド*」の「[既存の ElastiCache (Redis OSS) クラスターでの AUTH トークンの変更](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token)」を参照してください。

## [ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください
<a name="elasticache-7"></a>

**関連する要件:** NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 高

**リソースタイプ :** `AWS::ElastiCache::CacheCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、ElastiCache クラスターにカスタムサブネットグループが設定されているかどうかをチェックします。ElastiCache クラスターの `CacheSubnetGroupName` の値が `default` である場合、コントロールは失敗します。

ElastiCache クラスターを起動すると、デフォルトのサブネットグループがまだ存在しない場合は作成されます。デフォルトグループは、デフォルトの仮想プライベートクラウド (VPC) のサブネットを使用します。クラスターが存在するサブネットや、クラスターがサブネットから継承するネットワークの制限機能がより強力な、カスタムサブネットグループを使用することをお勧めします。

### 修正
<a name="elasticache-7-remediation"></a>

ElastiCache クラスターの新しいサブネットグループを作成するには、「*Amazon ElastiCache ユーザーガイド*」の「[サブネットグループの作成](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html)」を参照してください。

# Elastic Beanstalk の Security Hub CSPM コントロール
<a name="elasticbeanstalk-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Elastic Beanstalk サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。
<a name="elasticbeanstalk-1"></a>

**関連する要件:** NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

**カテゴリ:** 検出 > 検出サービス > アプリケーションモニタリング

**重要度:** 低

**リソースタイプ :** `AWS::ElasticBeanstalk::Environment`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、 AWS Elastic Beanstalk 環境で拡張ヘルスレポートが有効になっているかどうかをチェックします。

Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。

Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。サポートされている Amazon マシンイメージ (AMI) に含まれる Elastic Beanstalk ヘルスエージェントは、環境 EC2 インスタンスのログとメトリクスを評価します。

詳細については、「AWS Elastic Beanstalk 開発者ガイド」の「[拡張ヘルスレポートおよびモニタリング](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)」を参照してください。

### 修正
<a name="elasticbeanstalk-1-remediation"></a>

拡張ヘルスレポートを有効にする手順については、「AWS Elastic Beanstalk 開発者ガイド」の「[Elastic Beanstalk コンソールを使用した拡張ヘルスレポートの有効化](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console)」を参照してください。

## [ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります
<a name="elasticbeanstalk-2"></a>

**関連する要件:** NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 高

**リソースタイプ :** `AWS::ElasticBeanstalk::Environment`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `UpdateLevel`  |  バージョン更新レベル  |  列挙型  |  `minor`, `patch`  |  デフォルト値なし  | 

このコントロールは、Elastic Beanstalk 環境でマネージドプラットフォームの更新が有効になっているかどうかをチェックします。マネージドプラットフォームの更新が有効になっていない場合、コントロールは失敗します。デフォルトでは、何らかのプラットフォーム更新が有効になっていればコントロールは成功します。必要に応じて、特定の更新レベルを要求するカスタムパラメータ値を指定できます。

マネージドプラットフォームの更新を有効にすると、環境で使用可能な最新のプラットフォームの修正、更新、および機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。

### 修正
<a name="elasticbeanstalk-2-remediation"></a>

マネージドプラットフォームの更新を有効にするには、「*AWS Elastic Beanstalk デベロッパーガイド*」の「[To configure managed platform updates under Managed platform updates](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html)」を参照してください。

## [ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります
<a name="elasticbeanstalk-3"></a>

**関連する要件:** PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 高

**リソースタイプ :** `AWS::ElasticBeanstalk::Environment`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `RetentionInDays`  |  有効期限が切れるまでログイベントを保持する日数  |  列挙型  |  `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653`   |  デフォルト値なし  | 

このコントロールは、Elastic Beanstalk 環境が CloudWatch Logs にログを送信するように設定されているかどうかをチェックします。Elastic Beanstalk 環境が CloudWatch Logs にログを送信するように設定されていない場合、コントロールは失敗します。有効期限が切れる前の指定された日数だけログが保持される場合にのみコントロールを成功させたい場合は、必要に応じて `RetentionInDays` パラメータにカスタム値を指定できます。

CloudWatch は、アプリケーションやインフラストラクチャリソースのさまざまなメトリクスを収集して監視するのに役立ちます。CloudWatch を使用して、特定のメトリックスに基づいてアラームアクションを設定することもできます。Elastic Beanstalk 環境への可視性を高めるために、Elastic Beanstalk を CloudWatch と統合することをおすすめします。Elastic Beanstalk のログには、eb-activity.log、その環境の nginx または Apache プロキシサーバーからのアクセスログ、および環境に固有のログが含まれます。

### 修正
<a name="elasticbeanstalk-3-remediation"></a>

Elastic Beanstalk を CloudWatch Logs と統合するには、「*AWS Elastic Beanstalk デベロッパーガイド*」の「[CloudWatch Logs へのインスタンスログのストリーミング](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming)」を参照してください。

# Elastic Load Balancing の Security Hub CSPM コントロール
<a name="elb-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Elastic Load Balancing サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります
<a name="elb-1"></a>

**関連する要件:** PCI DSS v3.2.1/2.3、PCI DSS v3.2.1/4.1、NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 検出 > 検出サービス

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) 

**スケジュールタイプ :** 定期的

**パラメータ:** なし

このコントロールは、HTTP から HTTPS へのリダイレクトが Application Load Balancer のすべての HTTP リスナーで設定されているかどうかを確認します。HTTP から HTTPS へのリダイレクトが設定されていない Application Load Balancer の HTTP リスナーがある場合、コントロールは失敗します。

Application Load Balancer の使用を開始する前に、1 つ以上のリスナーを追加する必要があります。リスナーとは、設定したプロトコルとポートを使用して接続リクエストをチェックするプロセスです。リスナーは、HTTP プロトコルと HTTPS プロトコルの両方をサポートします。HTTPS リスナーを使用して、暗号化と復号化の作業をロードバランサーにオフロードできます。転送中の暗号化を強制するには、Application Load Balancer でリダイレクトアクションを使用して、クライアントの HTTP リクエストをポート 443 の HTTPS リクエストにリダイレクトする必要があります。

詳細については、「Application Load Balancer ユーザーガイド」の「[Application Load Balancer のリスナー](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html)」を参照してください。

### 修正
<a name="elb-1-remediation"></a>

HTTP リクエストを HTTPS にリダイレクトするには、Application Load Balancer のリスナールールを追加するか、既存のルールを編集する必要があります。

新しいルールを追加する手順については、「*Application Load Balancer ユーザーガイド*」の「[ルールの追加](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule)」を参照してください。**[プロトコル: ポート]** で **[HTTP]** を選択し、**80** と入力します。**[アクションの追加、リダイレクト先]** で **[HTTPS]** を選択し、**443** と入力します。

既存のルールを編集する手順については、「*Application Load Balancer ユーザーガイド*」の「[ルールの編集](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule)」を参照してください。**[プロトコル: ポート]** で **[HTTP]** を選択し、**80** と入力します。**[アクションの追加、リダイレクト先]** で **[HTTPS]** を選択し、**443** と入力します。

## [ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager
<a name="elb-2"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(5)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、NIST.800-171.r2 3.13.8

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

Classic Load Balancer が AWS Certificate Manager (ACM) によって提供される HTTPS/SSL 証明書を使用しているかどうかをチェックします。HTTPS/SSL リスナーで構成された Classic Load Balancer が ACM によって提供される証明書を使用しない場合、コントロールは失敗します。

証明書の作成には、ACM または SSL や TLS プロトコルをサポートする OpenSSL などのツールを使用できます。Security Hub CSPM では、ACM を使用してロードバランサーの証明書を作成またはインポートすることをお勧めします。

ACM は Classic Load Balancer と統合して、ロードバランサーに証明書をデプロイできます。また、これらの証明書は自動的に更新する必要があります。

### 修正
<a name="elb-2-remediation"></a>

ACM SSL/TLS 証明書を Classic Load Balancer に関連付ける方法については、 AWS ナレッジセンターの記事[「ACM SSL/TLS 証明書を Classic、Application、または Network Load Balancer に関連付けるにはどうすればよいですか？」を参照してください。](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/)

## [ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります
<a name="elb-3"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、NIST.800-171.r2 3.13.8、NIST.800-171.r2 3.13.15、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Classic Load Balancer リスナーがフロントエンド (クライアントからロードバランサー) 接続に HTTPS または TLS プロトコルを使用するよう設定されているかどうかをチェックします。このコントロールは、Classic Load Balancer にリスナーが有効な場合に適用されます。Classic Load Balancer にリスナーが設定されていない場合、コントロールは結果を報告しません。

Classic Load Balancer のリスナーがフロントエンド接続に TLS または HTTPS が設定されている場合、コントロールは成功します。

リスナーがフロントエンド接続に TLS または HTTPS が設定されていない場合、コントロールは失敗します。

ロードバランサーの使用を開始する前に、1 つまたは複数のリスナーを追加する必要があります。リスナーとは、設定したプロトコルとポートを使用して接続リクエストをチェックするプロセスです。リスナーは、HTTP プロトコルと HTTPS/TLS プロトコルの両方をサポートします。ロードバランサーが転送中に暗号化と復号化を行うため、常に HTTPS または TLS リスナーを使用する必要があります。

### 修正
<a name="elb-3-remediation"></a>

この問題を修正するには、TLS または HTTPS プロトコルを使用するようにリスナーを更新します。

**すべての非準拠リスナーを TLS/HTTPS リスナーに変更するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインの [**Load Balancing**] で、[**Load Balancers**] を選択します。

1. Classic Load Balancer を選択します。

1. [**Listeners**] タブで、[**Edit**] を選択します。

1. すべてのリスナーについて、**[Load Balancer Protocol]** (ロードバランサーのプロトコル) が HTTPS または SSL に設定されていない場合は、設定を HTTPS または SSL に変更します。

1. 変更されたすべてのリスナーに対して、**[証明書]** タブで **[デフォルトの変更]** を選択します。

1. **[ACM 証明書と IAM 証明書]**の場合は、証明書を選択します。

1. **[デフォルトとして保存]** を選択します。

1. すべてのリスナーを更新したら、**[Save]** (保存) を選択します。

## [ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります
<a name="elb-4"></a>

**関連する要件:** NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/6.2.4

**カテゴリ:** 保護 > ネットワークセキュリティ

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 Application Load Balancer が無効な HTTP ヘッダーを削除するように設定されているかどうかを評価します。`routing.http.drop_invalid_header_fields.enabled` の値が `false` に設定されている場合、コントロールは失敗します。

デフォルトでは、Application Load Balancer は、無効な HTTP ヘッダー値を削除するように設定されていません。これらのヘッダー値を削除すると、HTTP desync 攻撃を防ぐことができます。

**注記**  
アカウントで ELB.12 が有効になっている場合は、このコントロールを無効にすることをお勧めします。詳細については、「[[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](#elb-12)」を参照してください。

### 修正
<a name="elb-4-remediation"></a>

この問題を修正するには、無効なヘッダーフィールドを削除するようにロードバランサーを設定します。

**ロードバランサーで無効なヘッダーフィールドを削除するように設定するには**

1. Amazon EC2 コンソール ([https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)) を開きます。

1. ナビゲーションペインで、**[Load Balancers]** (ロードバランサー) を選択します。

1. Application Load Balancer を選択します。

1. **[Actions]** (アクション) で、**[Edit attributes]** (属性の編集) を選択します。

1. **[Drop Invalid Header Fields]** (無効なヘッダーフィールドを削除) で、**[Enable]** (有効) を選択します。

1. **[Save]** (保存) を選択します。

## [ELB.5] アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります
<a name="elb-5"></a>

**関連する要件:** NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ:** `AWS::ElasticLoadBalancing::LoadBalancer`、`AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

Application Load Balancer と Classic Load Balancer でログ記録が有効になっているかどうかをチェックします。`access_logs.s3.enabled` が `false` の場合、コントロールは失敗します。

Elastic Load Balancing は、ロードバランサーに送信されるリクエストに関する詳細情報をキャプチャしたアクセスログを提供します。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。これらのアクセスログを使用して、トラフィックパターンの分析や、問題のトラブルシューティングを行うことができます。

詳細については、「Classic Load Balancer ユーザーガイド」の「[Classic Load Balancerのアクセスログ](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html)」を参照してください。

### 修正
<a name="elb-5-remediation"></a>

アクセスログを有効にするには、「*Application Load Balancer ユーザーガイド*」の「[ステップ 3: アクセスログの設定](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs)」を参照してください。

## [ELB.6] アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護を有効にする必要があります
<a name="elb-6"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、アプリケーション、ゲートウェイ、または Network Load Balancer で削除保護が有効になっているかどうかをチェックします。削除保護が無効になっている場合、コントロールは失敗します。

削除保護を有効にして、アプリケーション、ゲートウェイ、または Network Load Balancer を削除されないよう保護します。

### 修正
<a name="elb-6-remediation"></a>

ロードバランサーが誤って削除されるのを防ぐために、削除保護を有効にできます。デフォルトでは、ロードバランサーで削除保護が無効になっています。

ロードバランサーの削除保護を有効にした場合、ロードバランサーを削除する前に無効にする必要があります。

Application Load Balancer の削除保護については、「*Application Load Balancer ユーザーガイド*」の「[削除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection)」を参照してください。Gateway Load Balancer の削除保護については、「*Gateway Load Balancer ユーザーガイド*」の「[削除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection)」を参照してください。Network Load Balancer の削除保護については、「*Network Load Balancer ユーザーガイド*」の「[削除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection)」を参照してください。

## [ELB.7] Classic Load Balancers は、Connection Draining を有効にする必要があります
<a name="elb-7"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**カテゴリ:** リカバリ > 耐障害性

**重要度:** 低

**リソースタイプ :** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config rule:** `elb-connection-draining-enabled` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Classic Load Balancers で Connection Draining が有効になっているかどうかをチェックします。

Classic Load Balancers で Connection Draining を有効にすることで、ロードバランサーは、登録解除中のインスタンスまたは異常の発生したインスタンスへのリクエストの送信を確実に停止します。既存の接続を開いたままにします。これは、Auto Scaling グループのインスタンスで、接続が突然切断されないようにするために特に役立ちます。

### 修正
<a name="elb-7-remediation"></a>

Classic Load Balancer で Connection Draining を有効にするには、「*Classic Load Balancer ユーザーガイド*」の「[Classic Load Balancer の Connection Draining の設定](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html)」を参照してください。

## [ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります
<a name="elb-8"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、NIST.800-171.r2 3.13.8、NIST.800-171.r2 3.13.15、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (カスタマイズ不可)

このコントロールは、Classic Load Balancer の HTTPS/SSL リスナーが事前定義されたポリシー `ELBSecurityPolicy-TLS-1-2-2017-01` を使用しているかどうかをチェックします。Classic Load Balancer の HTTPS/SSL リスナーが `ELBSecurityPolicy-TLS-1-2-2017-01` を使用しない場合、コントロールは失敗します。

セキュリティポリシーは、SSL プロトコル、暗号、およびサーバーの優先順位オプションを組み合わせたものです。事前定義されたポリシーは、クライアントとロードバランサー間の SSL ネゴシエーションでサポートする暗号、プロトコル、および優先順位をコントロールします。

`ELBSecurityPolicy-TLS-1-2-2017-01` を使用すると、SSL および TLS の特定のバージョンを無効にする必要があるコンプライアンスとセキュリティ標準に準拠することに役立ちます。詳細については、「Classic Load Balancer ユーザーガイド」の「[Classic Load Balancer の事前定義された SSL セキュリティポリシー](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html)」を参照してください。

### 修正
<a name="elb-8-remediation"></a>

Classic Load Balancer で定義済みのセキュリティポリシー `ELBSecurityPolicy-TLS-1-2-2017-01` を使用する方法については、「Classic Load Balancer ユーザーガイド」の「[セキュリティ設定の構成](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth)」を参照してください。

## [ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります
<a name="elb-9"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、クロスゾーンロードバランシングが Classic Load Balancer (CLB) に対して有効になっているかどうかをチェックします。クロスゾーンロードバランシングが CLB に対して有効になっていない場合、コントロールは失敗します。

ロードバランサノードは、アベイラビリティーゾーン内の登録済みターゲット全体にのみトラフィックを分散します。クロスゾーンロードバランシングが無効の場合、各ロードバランサーノードは、そのアベイラビリティーゾーンの登録済みターゲットにのみトラフィックを分散します。登録済みターゲット数がアベイラビリティーゾーン間で同じでない場合、トラフィックは均等に分散されず、あるゾーンのインスタンスは、別のゾーンのインスタンスと比較して過剰に使用される可能性があります。クロスゾーンロードバランシングを有効にすると、Classic Load Balancer の各ロードバランサーノードは、有効なすべてのアベイラビリティーゾーンに登録済みのインスタンスにリクエストを均等に分散します。詳細については、「Elastic Load Balancing ユーザーガイド」の「[クロスゾーンロードバランシング](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing)」を参照してください。

### 修正
<a name="elb-9-remediation"></a>

Classic Load Balancer でクロスゾーンロードバランシングを有効にするには、「*Classic Load Balancer ユーザーガイド*」の「[クロスゾーンロードバランシングを有効にする](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone)」を参照してください。

## [ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります
<a name="elb-10"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  アベイラビリティーゾーンの最小数  |  列挙型  |  `2, 3, 4, 5, 6`  |  `2`  | 

このコントロールは、Classic Load Balancer が少なくとも指定された数のアベイラビリティーゾーン (AZ) にまたがるように設定されているかどうかをチェックします。Classic Load Balancer が少なくとも指定された数の AZ にまたがっていない場合、コントロールは失敗します。AZs の最小数にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 2 つの AZs を使用します。

 Classic Load Balancer は、単一のアベイラビリティーゾーンまたは複数のアベイラビリティーゾーンにある Amazon EC2 インスタンスに受信リクエストを配信するように設定できます。複数のアベイラビリティーゾーンにまたがらない Classic Load Balancer は、単独で構成されたアベイラビリティーゾーンが使用できなくなった場合、別のアベイラビリティーゾーンのターゲットにトラフィックをリダイレクトすることはできません。

### 修正
<a name="elb-10-remediation"></a>

 Classic Load Balancer にアベイラビリティーゾーンを追加するには、「*Classic Load Balancer ユーザーガイド*」の「[Add or remove subnets for your Classic Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html)」を参照してください。

## [ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります
<a name="elb-12"></a>

**関連する要件:** NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/6.2.4

**カテゴリ:** 保護 > データ保護 > データの整合性

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `desyncMode`: `defensive, strictest` (カスタマイズ不可)

このコントロールは、Application Load Balancer が防御モードまたは最も厳密な非同期緩和モードに設定されているかどうかをチェックします。Application Load Balancer が防御モードまたは最も厳密な非同期緩和モードに設定されていない場合、このコントロールは失敗します。

HTTP 非同期の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。そしてこうした脆弱性は、認証情報スタッフィングや不正なコマンドの実行につながります。防御モードまたは最も厳密な非同期緩和モードで構成された Application Load Balancer は、HTTP 非同期に起因するセキュリティ上の問題からアプリケーションを保護します。

### 修正
<a name="elb-12-remediation"></a>

Application Load Balancer の非同期緩和モードの更新方法については、「*Application Load Balancer ユーザーガイド*」の「[Desync mitigation mode](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode)」(非同期緩和モード) を参照してください。

## [ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります
<a name="elb-13"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性 

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  アベイラビリティーゾーンの最小数  |  列挙型  |  `2, 3, 4, 5, 6`  |  `2`  | 

このコントロールは、Elastic Load Balancer V2 (アプリケーション、ネットワーク、または Gateway Load Balancer) に少なくとも指定された数のアベイラビリティーゾーン (AZ) のインスタンスが登録されているかどうかをチェックします。Elastic Load Balancer V2 で、少なくとも指定された数の AZ にインスタンスが登録されていない場合、コントロールは失敗します。AZs の最小数にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 2 つの AZs を使用します。

Elastic Load Balancing は、受信したトラフィックを複数のアベイラビリティーゾーンの複数のターゲット (EC2 インスタンス、コンテナ、IP アドレスなど) に自動的に分散させます。Elastic Load Balancing は、受信トラフィックの時間的な変化に応じて、ロードバランサーをスケーリングします。サービスの可用性を確保するため、2 つ以上のアベイラビリティーゾーンを設定することが推奨されます。それにより、Elastic Load Balancer はアベイラビリティーゾーンを使用できなくなったときに、別のアベイラビリティーゾーンにトラフィックを転送することができます。複数のアベイラビリティーゾーンを設定しておくと、アプリケーションの単一障害点を回避できます。

### 修正
<a name="elb-13-remediation"></a>

アベイラビリティーゾーンを Application Load Balancer に追加する方法については、「*Application Load Balancer ユーザーガイド*」の「[Application Load Balancer のアベイラビリティーゾーン](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html)」参照してください。アベイラビリティーゾーンを Network Load Balancer に追加する方法については、「*Network Load Balancer ユーザーガイド*」の「[Network Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)」を参照してください。アベイラビリティーゾーンを Gateway Load Balancer に追加する方法については、「*Gateway Load Balancer ユーザーガイド*」の「[Create a Gateway Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html)」を参照してください。

## [ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります
<a name="elb-14"></a>

**関連する要件:** NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/6.2.4

**カテゴリ:** 保護 > データ保護 > データの整合性

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `desyncMode`: `defensive, strictest` (カスタマイズ不可)

このコントロールは、Classic Load Balancer が防御モードまたは最も厳密な非同期緩和モードで設定されているかどうかをチェックします。Classic Load Balancer が防御モードまたは最も厳密な非同期緩和モードに設定されていない場合、このコントロールは失敗します。

HTTP 非同期の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。そしてこうした脆弱性は、認証情報の乗っ取りや不正なコマンドの実行につながります。防御モードまたは最も厳密な非同期緩和モードで構成された Classic Load Balancer は、HTTP 非同期に起因するセキュリティ上の問題からアプリケーションを保護します。

### 修正
<a name="elb-14-remediation"></a>

Classic Load Balancer の非同期緩和モードの更新方法については、「*Classic Load Balancer ユーザーガイド*」の「[非同期緩和モードの変更](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode)」を参照してください。

## [ELB.16] Application Load Balancer は AWS WAF ウェブ ACL に関連付ける必要があります
<a name="elb-16"></a>

**関連する要件:** NIST.800-53.r5 AC-4(21)

**カテゴリ:** 保護 > 保護サービス

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Application Load Balancer が AWS WAF Classic または AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) に関連付けられているかどうかをチェックします。 AWS WAF 設定の `Enabled`フィールドが に設定されている場合、コントロールは失敗します`false`。

AWS WAF は、ウェブアプリケーションと APIsから保護するのに役立つウェブアプリケーションファイアウォールです。を使用すると AWS WAF、ウェブ ACL を設定できます。これは、定義したカスタマイズ可能なウェブセキュリティルールと条件に基づいてウェブリクエストを許可、ブロック、またはカウントする一連のルールです。Application Load Balancer を AWS WAF ウェブ ACL に関連付けて、悪意のある攻撃から保護することをお勧めします。

### 修正
<a name="elb-16-remediation"></a>

Application Load Balancer をウェブ ACL に関連付けるには、[「 デベロッパーガイド」の「ウェブ ACL と AWS リソースの関連付けまたは関連付け解除](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html)」を参照してください。 *AWS WAF *

## [ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。
<a name="elb-17"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancingV2::Listener`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** `sslPolicies`: `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (カスタマイズ不可)

このコントロールは、Application Load Balancer 用の HTTPS リスナーまたは Network Load Balancer 用の TLS リスナーが、推奨されるセキュリティポリシーを使用して転送中のデータを暗号化するように設定されているかどうかをチェックします。ロードバランサー用の HTTPS リスナー または TLS リスナーが推奨されるセキュリティポリシーを使用するように設定されていない場合、コントロールは失敗します。

Elastic Load Balancing は、*セキュリティポリシー*と呼ばれる SSL ネゴシエーション設定を使用して、クライアントとロードバランサー間の通信をネゴシエートします。セキュリティポリシーはプロトコルと暗号の組み合わせを指定するものです。プロトコルは、クライアントとサーバー間のセキュアな接続を確立します。暗号とは、暗号化キーを使用してコード化されたメッセージを作成する暗号化アルゴリズムです。接続ネゴシエーションのプロセスで、クライアントとロードバランサーでは、それぞれサポートされる暗号とプロトコルのリストが優先される順に表示されます。ロードバランサーに推奨されるセキュリティポリシーを使用すると、コンプライアンスとセキュリティの基準を満たすのに役立ちます。

### 修正
<a name="elb-17-remediation"></a>

推奨されるセキュリティポリシーとリスナーの更新方法については、「*Elastic Load Balancing ユーザーガイド*」の「[Application Load Balancer のセキュリティポリシー](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html)」、「[Network Load Balancer のセキュリティポリシー](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html)」、「[Application Load Balancer 用の HTTPS リスナーを更新する](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html)」、「[Update a listener for your Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html)」のセクションを参照してください。

## [ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります
<a name="elb-18"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancingV2::Listener`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Application Load Balancer 用または Network Load Balancer 用のリスナーが、安全なプロトコルを使用して転送中のデータを暗号化するように設定されているかどうかをチェックします。Application Load Balancer リスナーが HTTPS プロトコルを使用するように設定されていない場合、または Network Load Balancer リスナーが TLS プロトコルを使用するように設定されていない場合、コントロールは失敗します。

クライアントとロードバランサーの間で転送されるデータを暗号化するには、Elastic Load Balancer リスナーが業界標準のセキュリティプロトコル (Application Load Balancer の場合は HTTPS、Network Load Balancer の場合は TLS) を使用するように設定されている必要があります。そうしないと、クライアントとロードバランサーの間で転送されるデータは、傍受、改ざん、不正アクセスに対して脆弱になります。リスナーで HTTPS または TLS を使用すると、セキュリティのベストプラクティスに沿った運用になり、転送中のデータの機密性と整合性を確保するのに役立ちます。これは、機密情報を処理するアプリケーションや、転送中のデータの暗号化を必要とするセキュリティ標準に準拠する必要があるアプリケーションにとって特に重要です。

### 修正
<a name="elb-18-remediation"></a>

リスナーのセキュリティプロトコルの設定の詳細については、「*Elastic Load Balancing ユーザーガイド*」の「[Application Load Balancer 用の HTTPS リスナーを作成する](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)」および「[Network Load Balancer のリスナーを作成する](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html)」のセクションを参照してください。

## [ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります
<a name="elb-21"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancingV2::TargetGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、アプリケーションおよびネットワークロードバランサーのヘルスチェックのターゲットグループが暗号化されたトランスポートプロトコルを使用しているかどうかをチェックします。ヘルスチェックプロトコルが HTTPS を使用しない場合、コントロールは失敗します。このコントロールは Lambda ターゲットタイプには適用されません。

 ロードバランサーは、登録されたターゲットにヘルスチェックリクエストを送信してステータスを判断し、それに応じてトラフィックをルーティングします。ターゲットグループ設定で指定されたヘルスチェックプロトコルによって、これらのチェックの実行方法が決まります。ヘルスチェックプロトコルが HTTP などの暗号化されていない通信を使用する場合、リクエストとレスポンスは送信中に傍受または操作できます。これにより、攻撃者はインフラストラクチャの設定に関するインサイトを取得したり、ヘルスチェックの結果を改ざんしたり、ルーティングの決定に影響を与えるman-in-the-middle攻撃を実行したりできます。ヘルスチェックに HTTPS を使用すると、ロードバランサーとそのターゲット間の暗号化された通信が可能になり、ヘルスステータス情報の整合性と機密性が保護されます。

### 修正
<a name="elb-21-remediation"></a>

Application Load Balancer ターゲットグループの暗号化されたヘルスチェックを設定するには、*Elastic Load Balancing ユーザーガイド*の[Application Load Balancer ターゲットグループのヘルスチェック設定を更新する](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html)」を参照してください。Network Load Balancer ターゲットグループの暗号化されたヘルスチェックを設定するには、*Elastic Load Balancing ユーザーガイド*の[「Network Load Balancer ターゲットグループのヘルスチェック設定を更新する](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html)」を参照してください。

## [ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります
<a name="elb-22"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ElasticLoadBalancingV2::TargetGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Elastic Load Balancing ターゲットグループが暗号化されたトランスポートプロトコルを使用しているかどうかをチェックします。このコントロールは、ターゲットタイプが Lambda または ALB のターゲットグループ、または GENEVE プロトコルを使用するターゲットグループには適用されません。ターゲットグループが HTTPS、TLS、または QUIC プロトコルを使用していない場合、コントロールは失敗します。

 転送中のデータを暗号化すると、権限のないユーザーによる傍受から保護されます。暗号化されていないプロトコル (HTTP、TCP、UDP) を使用するターゲットグループは、暗号化なしでデータを送信し、盗聴に対して脆弱になります。暗号化されたプロトコル (HTTPS、TLS、QUIC) を使用すると、ロードバランサーとターゲット間で送信されるデータが保護されます。

### 修正
<a name="elb-22-remediation"></a>

暗号化されたプロトコルを使用するには、HTTPS、TLS、または QUIC プロトコルを使用して新しいターゲットグループを作成する必要があります。ターゲットグループプロトコルは、作成後に変更することはできません。Application Load Balancer ターゲットグループを作成するには、*Elastic Load Balancingユーザーガイド*」の[Application Load Balancer のターゲットグループを作成する](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html)」を参照してください。Network Load Balancer ターゲットグループを作成するには、*Elastic Load Balancing * [ユーザーガイド」の「Network Load Balancer のターゲットグループを作成する](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html)」を参照してください。

# Elasticsearch 用 Security Hub CSPM
<a name="es-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Elasticsearch サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります
<a name="es-1"></a>

**関連する要件:** PCI DSS v3.2.1/3.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::Elasticsearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)

**スケジュールタイプ :** 定期的

**パラメータ:** なし

このコントロールは、Elasticsearch ドメインで保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。

OpenSearch 内の機密データのセキュリティを強化するには、保管中に暗号化されるように OpenSearch を設定する必要があります。Elasticsearch ドメインは、保管中のデータの暗号化を提供します。この機能では AWS KMS 、 を使用して暗号化キーを保存および管理します。暗号化の実行には、256 ビットキーを使用した Advanced Encryption Standard アルゴリズム (AES-256) を使用します。

保管中の OpenSearch での暗号化の詳細については、「*Amazon OpenSearch Service デベロッパーガイド*」の「[Amazon OpenSearch Service の保管中のデータの暗号化](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html)」を参照してください。

`t.small` や `t.medium` などの特定のインスタンスタイプでは、保管中のデータの暗号化がサポートされていません。詳細については、「*Amazon OpenSearch Service デベロッパーガイド*」の「[サポートされるインスタンスタイプ](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html)」を参照してください。

### 修正
<a name="es-1-remediation"></a>

新規および既存の Elasticsearch ドメインの保管時の暗号化を有効にするには、「*Amazon OpenSearch Service デベロッパーガイド*」の「[保管中のデータの暗号化の有効化](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear)」を参照してください。

## [ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります
<a name="es-2"></a>

**関連する要件:** PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定 > VPC 内のリソース 

**重要度:** 非常事態

**リソースタイプ :** `AWS::Elasticsearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)

**スケジュールタイプ :** 定期的

**パラメータ:** なし

このコントロールは、Elasticsearch ドメインが VPC 内にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。Elasticsearch ドメインがパブリックサブネットに添付済みでないことを確認する必要があります。「*Amazon OpenSearch Service デベロッパーガイド*」の「[リソースベースのポリシー](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource)」を参照してください。また、推奨されるベストプラクティスに従って VPC が確実に設定されていることを確認する必要があります。「Amazon VPC ユーザーガイド」の「[VPC のセキュリティのベストプラクティス](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)」を参照してください。

VPC 内にデプロイされた Elasticsearch ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む Elasticsearch ドメインへのアクセスを保護するための多数のネットワークコントロールを提供します。Security Hub CSPM では、パブリック Elasticsearch ドメインを VPCs に移行して、これらのコントロールを利用することをお勧めします。

### 修正
<a name="es-2-remediation"></a>

パブリックエンドポイントを使用してドメインを作成する場合、後で VPC 内にドメインを配置することはできません。代わりに、新規のドメインを作成して、データを移行する必要があります。逆の場合も同様です。VPC 内にドメインを作成する場合、パブリックエンドポイントを持つことはできません。代わりに、[別のドメインを作成する](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html)か、このコントロールを無効にする必要があります。

「*Amazon OpenSearch Service デベロッパーガイド*」の「[VPC 内で Amazon OpenSearch Service ドメインを起動する](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html)」を参照してください。

## [ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります
<a name="es-3"></a>

**関連する要件:** NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::Elasticsearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは Elasticsearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。Elasticsearch ドメインでノード間の暗号化が有効になっていない場合、このコントロールは失敗します。Elasticsearch バージョンがノード間の暗号化チェックをサポートしていない場合、コントロールは失敗した検出結果も生成します。

HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。Elasticsearch ドメインのノード間の暗号化を有効にすると、クラスター内の通信が転送中に確実に暗号化されます。

この設定には、パフォーマンス上のペナルティが発生する可能性があります。このオプションを有効にする前に、パフォーマンスのトレードオフを認識してテストする必要があります。

### 修正
<a name="es-3-remediation"></a>

新規および既存のドメインでノード間の暗号化を有効にする方法については、「*Amazon OpenSearch Service デベロッパーガイド*」の「[ノード間の暗号化を有効にする](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn)」を参照してください。

## [ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります
<a name="es-4"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

**カテゴリ:** 識別 - ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::Elasticsearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `logtype = 'error'` (カスタマイズ不可)

このコントロールは、Elasticsearch ドメインが CloudWatch Logs にエラーログを送信するように設定されているかどうかをチェックします。

Elasticsearch ドメインのエラーログを有効にし、これらのログは保持と応答のために CloudWatch Logs に送信する必要があります。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。

### 修正
<a name="es-4-remediation"></a>

ログ発行を有効にする方法については、「*Amazon OpenSearch Service デベロッパーガイド*」の「[Enabling log publishing (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console)」を参照してください。

## [ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります
<a name="es-5"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::Elasticsearch::Domain`

**AWS Config rule:** `elasticsearch-audit-logging-enabled` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `cloudWatchLogsLogGroupArnList` (カスタマイズ不可)。Security Hub CSPM はこのパラメータに入力しません。監査ログ用に設定する必要がある CloudWatch Logs ロググループのカンマ区切りリスト。

  Elasticsearch ドメインの CloudWatch Logs ロググループがこのパラメータリストで指定されていない場合、このルールは `NON_COMPLIANT` です。

このコントロールは、Elasticsearch ドメインで監査ログ記録が有効になっているかどうかをチェックします。Elasticsearch ドメインで監査ログ記録が有効になっていない場合、このコントロールは失敗します。

監査ログは高度なカスタマイズが可能です。これにより、認証の成功と失敗、OpenSearch へのリクエスト、インデックス変更、受信検索クエリなど、Elasticsearch クラスターでのユーザーアクティビティを追跡できます。

### 修正
<a name="es-5-remediation"></a>

監査ログを有効にする詳細な手順については、「*Amazon OpenSearch Service デベロッパーガイド*」の「[Enabling audit logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling)」を参照してください。

## [ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です
<a name="es-6"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::Elasticsearch::Domain`

**AWS Config rule:** `elasticsearch-data-node-fault-tolerance` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Elasticsearch ドメインに少なくとも 3 つのデータノードが設定されていること、また `zoneAwarenessEnabled` が `true` かどうかをチェックします。

Elasticsearch ドメインでは、高可用性と耐障害性のために少なくとも 3 つのデータノードが必要です。少なくとも 3 つのデータノードを持つ Elasticsearch ドメインをデプロイすると、ノードに障害が発生した場合のクラスター操作が確保されます。

### 修正
<a name="es-6-remediation"></a>

**Elasticsearch ドメインのデータノードの数を変更するには**

1. [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/) で Amazon OpenSearch Service コンソールを開きます。

1. **[ドメイン]** で、編集するドメインの名前を選択します。

1. **[Edit domain]** (ドメインの編集) を選択します。

1. **[Data nodes]** (データノード) で、**[Number of nodes]** (ノード数) に `3` 以上の数値を設定します。

   3 つのアベイラビリティーゾーンのデプロイは、3 の倍数に設定してアベイラビリティーゾーン間で均等に配信されるようにします。

1. **[Submit]** (送信) を選択します。

## [ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。
<a name="es-7"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::Elasticsearch::Domain`

**AWS Config rule:** `elasticsearch-primary-node-fault-tolerance` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Elasticsearch ドメインが、少なくとも 3 つの専用プライマリノードで構成されているかどうかをチェックします。ドメインが専用プライマリノードを使用しない場合、このコントロールは失敗します。Elasticsearch ドメインに 5 つの専用プライマリノードがある場合、このコントロールは成功します。ただし、3 つ以上のプライマリノードの使用は、可用性リスクを低減するために不要な場合があり、使用により追加コストが発生します。

Elasticsearch ドメインでは、高可用性と耐障害性のために、少なくとも 3 つの専用プライマリノードが必要です。専用プライマリノードのリソースは、データノードのブルー/グリーンのデプロイ中に管理が必要なノードが追加されるため、負荷がかかることがあります。少なくとも 3 つの専用プライマリノードを持つ Elasticsearch ドメインをデプロイすると、ノードに障害が発生した場合に十分なプライマリノードのリソース容量とクラスター操作が確保されます。

### 修正
<a name="es-7-remediation"></a>

**OpenSearch ドメイン内の専用プライマリノード数を変更するには**

1. [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/) で Amazon OpenSearch Service コンソールを開きます。

1. **[ドメイン]** で、編集するドメインの名前を選択します。

1. **[Edit domain]** (ドメインの編集) を選択します。

1. **[Dedicated master nodes]** (専用マスターノード) で、**[Instance type]** (インスタンスタイプ) に目的のインスタンスタイプを設定します。

1. **[Number of master nodes]** (マスターノードの数) を 3 以上に設定します。

1. **[Submit]** (送信) を選択します。

## [ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります
<a name="es-8"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::Elasticsearch::Domain`

**AWS Config rule:** `elasticsearch-https-required` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Elasticsearch ドメインエンドポイントが最新の TLS セキュリティポリシーを使用するように設定されているかどうかを確認します。Elasticsearch ドメインエンドポイントが最新のサポートされているポリシーを使用するように設定されていない場合、または HTTP が有効になっていない場合、コントロールは失敗します。現在サポートされている最新の TLS セキュリティポリシーは `Policy-Min-TLS-1-2-PFS-2023-10` です。

HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。TLS のパフォーマンスプロファイルと TLS の影響を把握するには、この機能を使用してアプリケーションをテストする必要があります。TLS 1.2 は、以前の TLS バージョンに比べて、いくつかのセキュリティ機能の強化を提供します。

### 修正
<a name="es-8-remediation"></a>

TLS 暗号化を有効にするには、[https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) API オペレーションを使用して、[https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html) を設定します。これにより、`TLSSecurityPolicy` が設定されます。

## [ES.9] Elasticsearch ドメインにはタグを付ける必要があります
<a name="es-9"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Elasticsearch::Domain`

**AWS Config rule:** `tagged-elasticsearch-domain` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Elasticsearch ドメインにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。ドメインにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ドメインにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="es-9-remediation"></a>

Elasticsearch ドメインにタグを追加するには、「*Amazon OpenSearch Service デベロッパーガイド*」の「[タグの使用](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console)」を参照してください。

# Amazon EMR の Security Hub CSPM コントロール
<a name="emr-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon EMR (以前は Amazon Elastic MapReduce と呼ばれていました) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります
<a name="emr-1"></a>

**関連する要件:** PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v4.0.1/1.4.4、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 高

**リソースタイプ :** `AWS::EMR::Cluster`

**AWS Config ルール:** [emr-master-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)

**スケジュールタイプ :** 定期的

**パラメータ:** なし

このコントロールは、Amazon EMR クラスターのマスターノードにパブリック IP アドレスが設定されているかどうかをチェックします。マスターノードインスタンスのいずれかにパブリック IP アドレスが関連付けられている場合、コントロールは失敗します。

パブリック IP アドレスは、インスタンスの `NetworkInterfaces` 設定の `PublicIp` フィールドで指定されます。このコントロールは、`RUNNING` または `WAITING` 状態にある Amazon EMR クラスターのみをチェックします。

### 修正
<a name="emr-1-remediation"></a>

起動中に、デフォルトサブネットまたはデフォルト以外のサブネット内のインスタンスがパブリック IPv4 アドレスを割り当てられるかどうかをコントロールできます。デフォルトでは、デフォルトサブネットのこの属性は `true` に設定されています。Amazon EC2 起動インスタンスウィザードによって作成された場合を除き、デフォルト以外のサブネットで IPv4 パブリックアドレス属性は `false` に設定されています。その場合、属性は `true` に設定されます。

起動後に、インスタンスからパブリック IPv4 アドレスの割り当てを手動で解除することはできません。

失敗した検出結果を修正するには、IPv4 パブリックアドレス属性が `false` に設定されているプライベートサブネットを使用して、VPC で新しいクラスターを起動する必要があります。手順については、「*Amazon EMR 管理ガイド*」の「[Launch clusters into a VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html)」を参照してください。

## [EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります
<a name="emr-2"></a>

**関連する要件:** PCI DSS v4.0.1/1.4.4、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**カテゴリ:** 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

**重要度:** 非常事態

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール:** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、アカウントに Amazon EMR ブロックパブリックアクセスが設定されているかどうかをチェックします。ブロックパブリックアクセス設定が有効になっていない場合、またはポート 22 以外のポートが許可されている場合、コントロールは失敗します。

Amazon EMR のブロックパブリックアクセスは、クラスターのセキュリティ設定でポートのパブリック IP アドレスからのインバウンドトラフィックが許可されている場合に、ユーザーがパブリックサブネットでクラスターを起動するのを防止します。 AWS アカウント のユーザーがクラスターを起動すると、Amazon EMR はクラスターのセキュリティグループのポートルールをチェックし、インバウンドトラフィックルールと比較します。セキュリティグループに、パブリック IP アドレス IPv4 0.0.0.0/0 または IPv6 ::/0 に対してポートを開くインバウンドルールがあり、それらのポートがアカウントで適切に指定されていない場合、Amazon EMR はユーザーにクラスターの作成を許可しません。

**注記**  
ブロックパブリックアクセスはデフォルトで有効になっています。アカウントの保護を強化するには、これを有効のままにしておくことが推奨されます。

### 修正
<a name="emr-2-remediation"></a>

Amazon EMR のブロックパブリックアクセスを設定するには、「*Amazon EMR 管理ガイド*」の「[Using Amazon EMR block public access](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html)」を参照してください。

## [EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります
<a name="emr-3"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CP-9(8)、NIST.800-53.r5 SI-12

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::EMR::SecurityConfiguration`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon EMR のセキュリティ設定で保管時の暗号化が有効になっているかどうかをチェックします。セキュリティ設定で保管時の暗号化が有効になっていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。

### 修正
<a name="emr-3-remediation"></a>

Amazon EMR セキュリティ設定で保管時の暗号化を有効にするには、「*Amazon EMR 管理ガイド*」の「[データ暗号化の設定](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html)」を参照してください。

## [EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります
<a name="emr-4"></a>

**関連する要件:** NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::EMR::SecurityConfiguration`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon EMR のセキュリティ設定で転送中の暗号化が有効になっているかどうかをチェックします。セキュリティ設定で転送中の暗号化が有効になっていない場合、コントロールは失敗します。

転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

### 修正
<a name="emr-4-remediation"></a>

Amazon EMR セキュリティ設定で転送中の暗号化を有効にするには、「*Amazon EMR 管理ガイド*」の「[データ暗号化の設定](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html)」を参照してください。

# EventBridge の Security Hub CSPM コントロール
<a name="eventbridge-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon EventBridge サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [EventBridge.2] EventBridge イベントバスにはタグを付ける必要があります
<a name="eventbridge-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Events::EventBus`

**AWS Config rule:**`tagged-events-eventbus` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon EventBridge イベントバスにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。イベントバスにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、イベントバスにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="eventbridge-2-remediation"></a>

EventBridge イベントバスにタグを追加するには、「*Amazon EventBridge ユーザーガイド*」の「[Amazon EventBridge タグ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)」を参照してください。

## [EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります
<a name="eventbridge-3"></a>

**関連する要件:** NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(3)、PCI DSS v4.0.1/10.3.1

**カテゴリ:** 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

**重要度:** 低

**リソースタイプ :** `AWS::Events::EventBus`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは Amazon EventBridge カスタムイベントバスにリソースベースのポリシーがアタッチされているかどうかを確認します。カスタムイベントバスにリソースベースのポリシーがない場合、このコントロールは失敗します。

デフォルトでは、EventBridge カスタムイベントバスには、リソースベースのポリシーはアタッチされていません。これにより、アカウント内のプリンシパルはイベントバスにアクセスできます。リソースベースのポリシーをイベントバスにアタッチすることで、イベントバスへのアクセスを特定のアカウントに制限したり、別のアカウントのエンティティへのアクセスを意図的に許可したりできます。

### 修正
<a name="eventbridge-3-remediation"></a>

リソースベースのポリシーを EventBridge カスタムイベントバスにアタッチするには、「*Amazon EventBridge ユーザーガイド*」の「[Amazon EventBridge のリソースベースのポリシーの使用](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html)」を参照してください。

## [EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります
<a name="eventbridge-4"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::Events::Endpoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは Amazon EventBridge グローバルエンドポイントでイベントレプリケーションが有効になっているかどうかを確認します。グローバルエンドポイントでイベントレプリケーションが有効になっていない場合、コントロールは失敗します。

グローバルエンドポイントによりアプリケーションをリージョンフォールトトレラントにできます。開始するには、エンドポイントに Amazon Route 53 ヘルスチェックを割り当てます。フェイルオーバーが開始されると、ヘルスチェックは「異常」状態を報告します。フェイルオーバーの開始から数分以内に、すべてのカスタムイベントがセカンダリリージョンのイベントバスにルーティングされ、そのイベントバスによって処理されます。グローバルエンドポイントを使用する場合、イベントレプリケーションを有効にできます。イベントレプリケーションは、マネージドルールを使用して、すべてのカスタムイベントをプライマリリージョンとセカンダリリージョンのイベントバスに送信します。グローバルエンドポイントを設定する場合は、イベントレプリケーションを有効にすることをお勧めします。イベントレプリケーションは、グローバルエンドポイントが正しく設定されていることを確認するのに役立ちます。フェイルオーバーイベントから自動的にリカバリするには、イベントレプリケーションが必要です。イベントレプリケーションを有効にしていない場合は、イベントがプライマリリージョンにルーティングされる前に、Route 53 ヘルスチェックを手動で「正常」にリセットする必要があります。

**注記**  
カスタムイベントバスを使用している場合、フェイルオーバーが正常に機能するためには、各リージョンに同じ名前と同じアカウントを持つカスタムイベントバスが必要です。イベントレプリケーションを有効にすると、月額のコストが増加する可能性があります。料金の詳細については、[Amazon EventBridge の料金](https://aws.amazon.com/eventbridge/pricing/)を参照してください。

### 修正
<a name="eventbridge-4-remediation"></a>

EventBridge グローバルエンドポイントのイベントレプリケーションを有効にするには、「**Amazon EventBridge ユーザーガイド」の「[グローバルエンドポイントの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint)」を参照してください。**イベントレプリケーション**の場合は、[**イベントレプリケーションが有効**] を選択します。

# Amazon Fraud Detector の Security Hub CSPM コントロール
<a name="frauddetector-controls"></a>

これらの Security Hub CSPM コントロールは、Amazon Fraud Detector サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります
<a name="frauddetector-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::FraudDetector::EntityType`

**AWS Config ルール :** `frauddetector-entity-type-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon Fraud Detector エンティティタイプにパラメータ `requiredKeyTags` で定義された特定のキーを持つタグがあるかどうかをチェックします。エンティティタイプにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、エンティティタイプにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="frauddetector-1-remediation"></a>

**Amazon Fraud Detector エンティティタイプにタグを追加するには (コンソール)**

1. Amazon Fraud Detector コンソールを [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/) で開きます。

1. ナビゲーションペインで **[エンティティ]** を選択します。

1. リストからエンティティタイプを選択します。

1. **[エンティティタイプタグ]** セクションで、**[タグを管理]** を選択します。

1. [**新しいタグを追加**] をクリックします。タグのキーと値を入力します。追加のキーと値のペアについても繰り返します。

1. タグの追加を完了したら、**[保存]** を選択します。

## [FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります
<a name="frauddetector-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::FraudDetector::Label`

**AWS Config ルール :** `frauddetector-label-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon Fraud Detector ラベルにパラメータ `requiredKeyTags` で定義された特定のキーを持つタグがあるかどうかをチェックします。ラベルにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ラベルにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="frauddetector-2-remediation"></a>

**Amazon Fraud Detector ラベルにタグを追加するには (コンソール)**

1. Amazon Fraud Detector コンソールを [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/) で開きます。

1. ナビゲーションペインで、**[ラベル]** を選択します。

1. リストからラベルを選択します。

1. **[ラベルタグ]** セクションで、**[タグを管理]** を選択します。

1. [**新しいタグを追加**] をクリックします。タグのキーと値を入力します。追加のキーと値のペアについても繰り返します。

1. タグの追加を完了したら、**[保存]** を選択します。

## [FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります
<a name="frauddetector-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::FraudDetector::Outcome`

**AWS Config ルール :** `frauddetector-outcome-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon Fraud Detector の結果にパラメータ `requiredKeyTags` で定義された特定のキーを持つタグがあるかどうかをチェックします。結果にタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、結果にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="frauddetector-3-remediation"></a>

**Amazon Fraud Detector の結果にタグを追加するには (コンソール)**

1. Amazon Fraud Detector コンソールを [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/) で開きます。

1. ナビゲーションペインで、**[結果]** を選択します。

1. リストから結果を選択します。

1. **[結果タグ]** セクションで、**[タグを管理]** を選択します。

1. [**新しいタグを追加**] をクリックします。タグのキーと値を入力します。追加のキーと値のペアについても繰り返します。

1. タグの追加を完了したら、**[保存]** を選択します。

## [FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります
<a name="frauddetector-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::FraudDetector::Variable`

**AWS Config ルール :** `frauddetector-variable-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon Fraud Detector 変数にパラメータ `requiredKeyTags` で定義された特定のキーを持つタグがあるかどうかをチェックします。変数にタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、変数にキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="frauddetector-4-remediation"></a>

**Amazon Fraud Detector 変数にタグを追加するには (コンソール)**

1. Amazon Fraud Detector コンソールを [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/) で開きます。

1. ナビゲーションペインで、**[変数]** を選択します。

1. リストから変数を選択します。

1. **[変数タグ]** セクションで、**[タグを管理]** を選択します。

1. [**新しいタグを追加**] をクリックします。タグのキーと値を入力します。追加のキーと値のペアについても繰り返します。

1. タグの追加を完了したら、**[保存]** を選択します。

# Amazon FSx の Security Hub CSPM コントロール
<a name="fsx-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon FSx サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります
<a name="fsx-1"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::FSx::FileSystem`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon FSx for OpenZFS ファイルシステムがタグをバックアップとボリュームにコピーするように設定されているかどうかをチェックします。OpenZFS ファイルシステムがタグをバックアップとボリュームにコピーするように設定されていない場合、コントロールは失敗します。

IT アセットの身分証明書とインベントリはガバナンスとセキュリティの重要な側面です。タグは、目的、所有者、環境など、さまざまな方法で AWS リソースを分類するのに役立ちます。割り当てたタグに基づいて特定のリソースをすばやく識別できるため、これは同じ型のリソースが多い場合に役立ちます。

### 修正
<a name="fsx-1-remediation"></a>

タグをバックアップとボリュームにコピーするように FSx for OpenZFS ファイルシステムを設定する方法については、「*Amazon FSx for OpenZFS ユーザーガイド*」の「[Updating a file system](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html)」を参照してください。

## [FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります
<a name="fsx-2"></a>

**関連する要件:** NIST.800-53.r5 CP-9、NIST.800-53.r5 CM-8

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::FSx::FileSystem`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon FSx for Lustre ファイルシステムがタグをバックアップとボリュームにコピーするように設定されているかどうかをチェックします。Lustre ファイルシステムがタグをバックアップとボリュームにコピーするように設定されていない場合、コントロールは失敗します。

IT アセットの身分証明書とインベントリはガバナンスとセキュリティの重要な側面です。タグは、目的、所有者、環境など、さまざまな方法で AWS リソースを分類するのに役立ちます。割り当てたタグに基づいて特定のリソースをすばやく識別できるため、これは同じ型のリソースが多い場合に役立ちます。

### 修正
<a name="fsx-2-remediation"></a>

タグをバックアップにコピーするように FSx for Lustre ファイルシステムを設定する方法については、「*Amazon FSx for Lustre ユーザーガイド*」の「[Copying backups within the same AWS アカウント](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html)」を参照してください。

## [FSx.3] FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります
<a name="fsx-3"></a>

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::FSx::FileSystem`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)

**スケジュールタイプ:** 定期的

**パラメータ:** `deploymentTypes: MULTI_AZ_1` (カスタマイズ不可)

このコントロールは、Amazon FSx for OpenZFS ファイルシステムがマルチアベイラビリティーゾーン (マルチ AZ) 配置タイプを使用するように設定されているかどうかをチェックします。ファイルシステムがマルチ AZ 配置タイプを使用するように設定されていない場合、コントロールは失敗します。

Amazon FSx for OpenZFS は、ファイルシステムで*マルチ AZ (HA)*、*シングル AZ (HA)*、*シングル AZ (非 HA)* などさまざまな配置タイプをサポートしています。配置タイプは、さまざまなレベルの可用性と耐久性を提供します。マルチ AZ (HA) ファイルシステムは、2 つのアベイラビリティーゾーン (AZ) にまたがるファイルサーバーの高可用性 (HA) ペアで構成されます。高い可用性と耐久性を持つモデルを実現できるため、ほとんどのプロダクションワークロードでマルチ AZ (HA) 配置タイプを使用することをお勧めします。

### 修正
<a name="fsx-3-remediation"></a>

ファイルシステムの作成時にマルチ AZ 配置タイプを使用するように Amazon FSx for OpenZFS ファイルシステムを設定できます。既存の FSx for OpenZFS ファイルシステムの配置タイプを変更することはできません。

FSx for OpenZFS ファイルシステムの配置タイプとオプションの詳細については、「*Amazon FSx for OpenZFS ユーザーガイド*」の「[Availability and durability for Amazon FSx for OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html)」および「[Managing file system resources](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html)」を参照してください。

## [FSx.4] FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります
<a name="fsx-4"></a>

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::FSx::FileSystem`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `deploymentTypes`  |  評価に含める配置タイプのリスト。ファイルシステムがリストで指定された配置タイプを使用するように設定されていない場合、コントロールは `FAILED` 検出結果を生成します。  |  列挙型  |  `MULTI_AZ_1`, `MULTI_AZ_2`  |  `MULTI_AZ_1`, `MULTI_AZ_2`  | 

このコントロールは、Amazon FSx for NetApp ONTAP ファイルシステムマルチアベイラビリティーゾーン (マルチ AZ) 配置タイプを使用するように設定されているかどうかをチェックします。ファイルシステムがマルチ AZ 配置タイプを使用するように設定されていない場合、コントロールは失敗します。必要に応じて、評価に含める配置タイプのリストを指定できます。

Amazon FSx for NetApp ONTAP は、ファイルシステムで *Single-AZ 1*、*Single-AZ 2*、*Multi-AZ 1*、*Multi-AZ 2* という複数の配置タイプをサポートしています。配置タイプは、さまざまなレベルの可用性と耐久性を提供します。マルチ AZ 配置タイプでは高い可用性と耐久性を持つモデルを実現できるため、ほとんどのプロダクションワークロードでマルチ AZ 配置タイプを使用することをお勧めします。マルチ AZ ファイルシステムは、シングル AZ ファイルシステムの可用性と耐久性の機能をすべてサポートしています。さらに、アベイラビリティーゾーン (AZ) が利用できない場合でも、データに継続的な可用性を提供するように設計されています。

### 修正
<a name="fsx-4-remediation"></a>

既存の Amazon FSx for NetApp ONTAP ファイルシステムの配置タイプを変更することはできません。ただし、データをバックアップし、マルチ AZ 配置タイプを使用する新しいファイルシステムに復元することはできます。

FSx for ONTAP ファイルシステムの配置タイプとオプションの詳細については、「*FSx for ONTAP ユーザーガイド*」の「[Availability, durability, and deployment options](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html)」および「[Managing file systems](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html)」を参照してください。

## [FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります
<a name="fsx-5"></a>

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::FSx::FileSystem`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)

**スケジュールタイプ:** 定期的

**パラメータ:** `deploymentTypes: MULTI_AZ_1` (カスタマイズ不可)

このコントロールは、Amazon FSx for Windows File Server ファイルシステムマルチアベイラビリティーゾーン (マルチ AZ) 配置タイプを使用するように設定されているかどうかをチェックします。ファイルシステムがマルチ AZ 配置タイプを使用するように設定されていない場合、コントロールは失敗します。

Amazon FSx for Windows File Server は、ファイルシステムで*シングル AZ* と*マルチ AZ* という 2 種類の配置タイプをサポートしています。配置タイプは、さまざまなレベルの可用性と耐久性を提供します。シングル AZ ファイルシステムは、単一の Windows ファイルサーバーインスタンスと、単一のアベイラビリティーゾーン (AZ) 内の一連のストレージボリュームで構成されます。マルチ AZ ファイルシステムは、2 つのアベイラビリティーゾーンにまたがる Windows ファイルサーバーの高可用性クラスターで構成されます。高い可用性と耐久性を持つモデルを実現できるため、ほとんどのプロダクションワークロードでマルチ AZ 配置タイプを使用することをお勧めします。

### 修正
<a name="fsx-5-remediation"></a>

ファイルシステムの作成時にマルチ AZ 配置タイプを使用するように Amazon FSx for Windows File Server ファイルシステムを設定できます。既存の FSx for Windows File Server ファイルシステムの配置タイプを変更することはできません。

FSx for Windows File Server ファイルシステムの配置タイプとオプションの詳細については、「*Amazon FSx for Windows File Server ユーザーガイド*」の「[Availability and durability: Single-AZ and Multi-AZ file systems](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html)」および「[Getting started with Amazon FSx for Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html)」を参照してください。

# Global Accelerator の Security Hub CSPM コントロール
<a name="globalaccelerator-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Global Accelerator サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
<a name="globalaccelerator-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::GlobalAccelerator::Accelerator`

**AWS Config rule:** `tagged-globalaccelerator-accelerator` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、アクセラレーターにパラメータ AWS Global Accelerator で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。アクセラレータにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、アクセラレータにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="globalaccelerator-1-remediation"></a>

Global Accelerator グローバルアクセラレーターにタグを追加するには、「*AWS Global Accelerator デベロッパーガイド*」の「[AWS Global Acceleratorのタグ付け](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html)」を参照してください。

# の Security Hub CSPM コントロール AWS Glue
<a name="glue-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Glue サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Glue.1] AWS Glue ジョブにはタグを付ける必要があります
<a name="glue-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Glue::Job`

**AWS Config rule:** `tagged-glue-job` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS Glue ジョブにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。ジョブにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ジョブにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="glue-1-remediation"></a>

 AWS Glue ジョブにタグを追加するには、「 *AWS Glue ユーザーガイド*」の「 [AWS のタグ AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html)」を参照してください。

## [Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります
<a name="glue-3"></a>

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::Glue::MLTransform`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS Glue 機械学習変換が保管時に暗号化されているかどうかをチェックします。機械学習変換が保管中に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。

### 修正
<a name="glue-3-remediation"></a>

 AWS Glue 機械学習変換の暗号化を設定するには、「 *AWS Glue ユーザーガイド*」の[「機械学習変換の使用](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html)」を参照してください。

## [Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue
<a name="glue-4"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 中

**リソースタイプ :** `AWS::Glue::Job`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** `minimumSupportedGlueVersion`: `3.0` (カスタマイズ不可)

このコントロールは、 AWS Glue for Spark ジョブがサポートされているバージョンの で実行されるように設定されているかどうかを確認します AWS Glue。Spark ジョブがサポートされている最小バージョンより前のバージョンの で実行されるように設定されている場合、コントロール AWS Glue は失敗します。

**注記**  
このコントロールは、 AWS Glue バージョン (`GlueVersion`) プロパティが存在しないか、ジョブの設定項目 (CI) AWS Glue が null の場合にも、Spark ジョブの `FAILED`の結果を生成します。このような場合、検出結果には `GlueVersion is null or missing in glueetl job configuration` という注釈が含まれます。このタイプの `FAILED` 検出結果に対処するには、ジョブの設定に `GlueVersion` プロパティを追加します。サポートされているバージョンとランタイム環境のリストについては、「*AWS Glue ユーザーガイド*」の「[AWS Glue バージョン](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions)」を参照してください。

の最新バージョンで AWS Glue Spark ジョブを実行すると、パフォーマンス、セキュリティ、および の最新機能へのアクセスを最適化 AWS Glue できます AWS Glue。また、セキュリティの脆弱性に対する保護にも役立ちます。たとえば、新しいバージョンがリリースされて、セキュリティ更新プログラムの提供、問題への対処、新機能の導入が行われることがあります。

### 修正
<a name="glue-4-remediation"></a>

Spark ジョブをサポートされている バージョンに移行する方法については AWS Glue、*AWS Glue 「 ユーザーガイド*」の[「Spark ジョブ AWS Glue の移行](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html)」を参照してください。

# Amazon GuardDuty の Security Hub CSPM コントロール
<a name="guardduty-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon GuardDuty サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [GuardDuty.1] GuardDuty を有効にする必要があります
<a name="guardduty-1"></a>

**関連する要件:** NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 RA-3(4)、NIST.800-53.r5 SA-11(1)、NIST.800-53.r5 SA-11(6)、NIST.800-53.r5 SA-15(2)、NIST.800-53.r5 SA-15(8)、NIST.800-53.r5 SA-8(19)、NIST.800-53.r5 SA-8(21)、NIST.800-53.r5 SA-8(25)、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-5(1)、NIST.800-53.r5 SC-5(3)、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(1)、NIST.800-53.r5 SI-4(13)、NIST.800-53.r5 SI-4(2)、NIST.800-53.r5 SI-4(22)、NIST.800-53.r5 SI-4(25)、NIST.800-53.r5 SI-4(4)、NIST.800-53.r5 SI-4(5)、NIST.800-171.r2 3.4.2、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7、PCI DSS v3.2.1/11.4、PCI DSS v4.0.1/11.5.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)

**スケジュールタイプ :** 定期的

**パラメータ:** なし

このコントロールは、GuardDuty アカウントおよびリージョンで Amazon GuardDuty が有効になっているかどうかをチェックします。

サポートされているすべての AWS リージョンで GuardDuty を有効にすることを強くお勧めします。このように設定することで、ユーザーが能動的に使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する結果を GuardDuty で生成できます。これにより GuardDuty で、IAM などのグローバルな AWS のサービス の CloudTrail イベントもモニタリングできます。

### 修正
<a name="guardduty-1-remediation"></a>

GuardDuty を有効にするには、「*Amazon GuardDuty ユーザーガイド*」の「[GuardDuty の開始方法](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)」を参照してください。

## [GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります
<a name="guardduty-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::GuardDuty::Filter`

**AWS Config rule:** `tagged-guardduty-filter` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon GuardDuty フィルターにパラメータ `requiredTagKeys` で定義された特定のキーを含むタグがあるかどうかをチェックします。フィルターにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、フィルターにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="guardduty-2-remediation"></a>

GuardDuty フィルターにタグを追加するには、「*Amazon GuardDutyリファレンス*」の「[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)」を参照してください。

## [GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります
<a name="guardduty-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::GuardDuty::IPSet`

**AWS Config rule:** `tagged-guardduty-ipset` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon GuardDuty IPSet にパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。IPSet にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、IPSet にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="guardduty-3-remediation"></a>

GuardDuty IPSet にタグを追加するには、「*Amazon GuardDutyリファレンス*」の「[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)」を参照してください。

## [GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります
<a name="guardduty-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::GuardDuty::Detector`

**AWS Config rule:** `tagged-guardduty-detector` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon GuardDuty ディテクターにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。ディテクターにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ディテクターがキーでタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="guardduty-4-remediation"></a>

GuardDuty ディテクターにタグを追加するには、「*Amazon GuardDutyリファレンス*」の「[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)」を参照してください。

## [GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります
<a name="guardduty-5"></a>

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::GuardDuty::Detector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、GuardDuty EKS 監査ログモニタリングが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで GuardDuty EKS 監査ログモニタリングが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで EKS 監査ログモニタリングが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。組織内のメンバーアカウントの EKS 監査ログのモニタリング機能を有効または無効にできるのは、委任管理者アカウントのみです。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任 GuardDuty 管理者に GuardDuty EKS 監査ログモニタリングが有効になっていない停止されたメンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。

GuardDuty EKS 監査ログのモニタリングは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターの疑わしいアクティビティの可能性を検出するのに役立ちます。EKS 監査ログのモニタリングは、ユーザー、Kubernetes API を使用するアプリケーション、およびコントロールプレーンからの時系列アクティビティをキャプチャします。

### 修正
<a name="guardduty-5-remediation"></a>

GuardDuty EKS 監査ログモニタリングを有効にするには、「*Amazon GuardDuty ユーザーガイド*」の「[EKS 監査ログモニタリング](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html)」を参照してください。

## [GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります
<a name="guardduty-6"></a>

**関連する要件:** PCI DSS v4.0.1/11.5.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::GuardDuty::Detector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、GuardDuty Lambda Protection が有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで GuardDuty Lambda Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで Lambda Protection が有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者は、組織内の既存のメンバーアカウントに対して Lambda Protection 機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任 GuardDuty 管理者に GuardDuty Lambda Protection が有効になっていない停止メンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。

GuardDuty Lambda Protection は、 AWS Lambda 関数が呼び出されたときに潜在的なセキュリティ脅威を特定するのに役立ちます。Lambda Protection を有効にすると、GuardDuty は AWS アカウントの Lambda 関数に関連付けられた Lambda ネットワークアクティビティログのモニタリングを開始します。Lambda 関数が呼び出され GuardDuty が Lambda 関数に潜在的に悪意のあるコードが存在することを示す疑わしいネットワークトラフィックを特定した場合、GuardDuty は検出結果を生成します。

### 修正
<a name="guardduty-6-remediation"></a>

GuardDuty Lambda Protection を有効にするには、「*Amazon GuardDutyユーザーガイド*」の「[Lambda Protection の設定](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html)」を参照してください。

## [GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります
<a name="guardduty-7"></a>

**関連する要件:** PCI DSS v4.0.1/11.5.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::GuardDuty::Detector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、自動エージェント管理による GuardDuty EKS ランタイムモニタリングが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで自動エージェント管理による GuardDuty EKS ランタイムモニタリングが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントに自動エージェント管理が有効になっている EKS Runtime Monitoring がない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者のみが、組織内のメンバーアカウントのエージェント管理を自動化して EKS ランタイムモニタリング機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任 GuardDuty 管理者に GuardDuty EKS ランタイムモニタリングが有効になっていない停止メンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon GuardDuty の EKS Protection は、脅威検出の範囲を提供し、 AWS 環境内の Amazon EKS クラスターを保護するのに役立ちます。EKS Runtime Monitoring は、オペレーティングシステムレベルのイベントを使用して、EKS クラスター内の EKS ノードとコンテナにおける潜在的な脅威を検出するのに役立ちます。

### 修正
<a name="guardduty-7-remediation"></a>

自動エージェント管理で EKS ランタイムモニタリングを有効にするには、「*Amazon GuardDuty ユーザーガイド*」の「[GuardDuty ランタイムモニタリングの有効化](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html)」を参照してください。

## [GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります
<a name="guardduty-8"></a>

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::GuardDuty::Detector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、GuardDuty Malware Protection が有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで GuardDuty Malware Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで Malware Protection が有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者のみが、組織内のメンバーアカウントに対して Malware Protection 機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任された GuardDuty 管理者に GuardDuty Malware Protection が有効になっていない停止メンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。

GuardDuty Malware Protection for EC2 は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスおよびコンテナワークロードにアタッチされた Amazon Elastic Block Store (Amazon EBS) ボリュームをスキャンすることで、マルウェアの潜在的な存在を検出することに役立ちます。Malware Protection は、スキャン時に特定の EC2 インスタンスおよびコンテナワークロードを含めるか除外するかを決定できるスキャンオプションを提供します。EC2 インスタンスまたはコンテナワークロードにアタッチされた EBS ボリュームのスナップショットを GuardDuty アカウントに保持するオプションも提供します。スナップショットは、マルウェアが検出されて Malware Protection の検出結果が生成された場合にのみ保持されます。

### 修正
<a name="guardduty-8-remediation"></a>

EC2 で GuardDuty Malware Protection を有効にするには、「*Amazon GuardDuty ユーザーガイド*」の「[GuardDuty で開始されたマルウェアスキャンの設定](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html)」を参照してください。

## [GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります
<a name="guardduty-9"></a>

**関連する要件:** PCI DSS v4.0.1/11.5.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::GuardDuty::Detector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、GuardDuty RDS Protection が有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで GuardDuty RDS Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで RDS Protection が有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者のみが、組織内のメンバーアカウントに対して RDS Protection 機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任された GuardDuty 管理者に GuardDuty RDS Protection が有効になっていない停止メンバーアカウントがある場合に`FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。

GuardDuty の RDS Protection は、RDS ログインアクティビティを分析してプロファイリングし、Amazon Aurora データベース (Aurora MySQL 互換エディションおよび Aurora PostgreSQL 互換エディション) への潜在的なアクセス脅威がないかどうかを調べます。この機能により、潜在的に疑わしいログイン動作を特定できます。RDS Protection は追加のインフラストラクチャが不要で、データベースインスタンスのパフォーマンスに影響を与えないように設計されています。RDS Protection がデータベースへの脅威を示す潜在的に疑わしいログイン試行または異常なログイン試行を検出すると、GuardDuty は侵害の可能性があるデータベースに関する詳細な新しい検出結果を生成します。

### 修正
<a name="guardduty-9-remediation"></a>

GuardDuty RDS Protection を有効にするには、「*Amazon GuardDuty ユーザーガイド*」の「[GuardDuty RDS Protection](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html)」を参照してください。

## [GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります
<a name="guardduty-10"></a>

**関連する要件:** PCI DSS v4.0.1/11.5.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::GuardDuty::Detector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、GuardDuty S3 Protection が有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで GuardDuty S3 Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで S3 Protection が有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者のみが、組織内のメンバーアカウントに対して S3 Protection 機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任された GuardDuty 管理者に GuardDuty S3 Protection が有効になっていない停止メンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。

S3 Protectionにより、GuardDuty は、オブジェクトレベルの API オペレーションをモニタリングし、Amazon Simple Storage Service (Amazon S3) バケット内のデータに関する潜在的なセキュリティリスクを特定できるようになります。GuardDuty は、 AWS CloudTrail 管理イベントと CloudTrail S3 データイベントを分析して、S3 リソースに対する脅威をモニタリングします。

### 修正
<a name="guardduty-10-remediation"></a>

GuardDuty S3 Protection を有効にするには、「*Amazon GuardDuty ユーザーガイド*」の「[Amazon S3 protection in Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html)」を参照してください。

## [GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります
<a name="guardduty-11"></a>

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::GuardDuty::Detector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon GuardDuty でランタイムモニタリングが有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで GuardDuty ランタイムモニタリングが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで GuardDuty ランタイムモニタリングが無効になっている場合、コントロールは失敗します。

マルチアカウント環境で組織内のアカウントの GuardDuty ランタイムモニタリングを有効または無効にできるのは、委任 GuardDuty 管理者アカウントのみです。さらに、GuardDuty が組織内のアカウントの AWS ワークロードとリソースのランタイムモニタリングに使用するセキュリティエージェントを設定および管理できるのは、GuardDuty 管理者のみです。GuardDuty メンバーアカウントは、自分のアカウントのランタイムモニタリングを有効化、設定、または無効化することはできません。

GuardDuty Runtime Monitoring は、オペレーティングシステムレベル、ネットワーク、ファイルイベントを監視および分析して、環境内の特定の AWS ワークロードで潜在的な脅威を検出するのに役立ちます。GuardDuty セキュリティエージェントを使用して、ファイルアクセス、プロセス実行、コマンドライン引数、ネットワーク接続などのランタイム動作を可視化します。Amazon EKS クラスターや Amazon EC2 インスタンスなど、潜在的な脅威をモニタリングするリソースタイプごとに、セキュリティエージェントを有効にして管理できます。

### 修正
<a name="guardduty-11-remediation"></a>

GuardDuty ランタイムモニタリングの設定と有効化の詳細については、「*Amazon GuardDuty ユーザーガイド*」の「[GuardDuty ランタイムモニタリング](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html)」と「[GuardDuty ランタイムモニタリングの有効化](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html)」を参照してください。

## [GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります
<a name="guardduty-12"></a>

**カテゴリ:** 検出 > 検出サービス

**重要度:** 中

**リソースタイプ :** `AWS::GuardDuty::Detector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 AWS Fargateで Amazon ECS クラスターのランタイムモニタリングを行うために Amazon GuardDuty 自動セキュリティエージェントが有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントでセキュリティエージェントが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントでセキュリティエージェントが無効になっている場合、コントロールは失敗します。

マルチアカウント環境では、このコントロールは委任 GuardDuty 管理者アカウントでのみ検出結果を生成します。これは、組織内のアカウントの ECS-Fargate リソースのランタイムモニタリングを有効または無効にできるのは 委任 GuardDuty 管理者のみであるためです。GuardDuty メンバーアカウントは、自分のアカウントに対してこれを行うことはできません。さらに、このコントロールは、GuardDuty がメンバーアカウントで停止されていて、メンバーアカウントで ECS-Fargate リソースのランタイムモニタリングが無効になっている場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、GuardDuty 管理者が GuardDuty を使用して、停止されたメンバーアカウントと管理者アカウントの関連付けを解除する必要があります。

GuardDuty Runtime Monitoring は、オペレーティングシステムレベル、ネットワーク、ファイルイベントを監視および分析して、環境内の特定の AWS ワークロードで潜在的な脅威を検出するのに役立ちます。GuardDuty セキュリティエージェントを使用して、ファイルアクセス、プロセス実行、コマンドライン引数、ネットワーク接続などのランタイム動作を可視化します。潜在的な脅威をモニタリングするリソースタイプごとに、セキュリティエージェントを有効にして管理できます。これには、 AWS Fargate上の Amazon ECS クラスターが含まれます。

### 修正
<a name="guardduty-12-remediation"></a>

ECS-Fargate リソースの GuardDuty ランタイムモニタリングを行うために、セキュリティエージェントを有効にして管理するには、GuardDuty を直接使用する必要があります。ECS-Fargate リソースに対してこの機能を手動で有効化または管理することはできません。セキュリティエージェントの有効化と管理の詳細については、[「Amazon GuardDuty ユーザーガイド」の AWS Fargate 「(Amazon ECS のみ) サポートの前提条件](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html)」と[AWS Fargate 「(Amazon ECS のみ) の自動セキュリティエージェントの管理](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html)」を参照してください。 *Amazon GuardDuty *

## [GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります
<a name="guardduty-13"></a>

**カテゴリ:** 検出 > 検出サービス

**重要度:** 中

**リソースタイプ :** `AWS::GuardDuty::Detector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon EC2 インスタンスのランタイムモニタリングを行うために Amazon GuardDuty 自動セキュリティエージェントが有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントでセキュリティエージェントが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントでセキュリティエージェントが無効になっている場合、コントロールは失敗します。

マルチアカウント環境では、このコントロールは委任 GuardDuty 管理者アカウントでのみ検出結果を生成します。これは、組織内のアカウントの Amazon EC2 インスタンスのランタイムモニタリングを有効または無効にできるのは 委任 GuardDuty 管理者のみであるためです。GuardDuty メンバーアカウントは、自分のアカウントに対してこれを行うことはできません。さらに、このコントロールは、GuardDuty がメンバーアカウントで停止されていて、メンバーアカウントで EC2 インスタンスのランタイムモニタリングが無効になっている場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、GuardDuty 管理者が GuardDuty を使用して、停止されたメンバーアカウントと管理者アカウントの関連付けを解除する必要があります。

GuardDuty Runtime Monitoring は、オペレーティングシステムレベル、ネットワーク、ファイルイベントを監視および分析して、環境内の特定の AWS ワークロードで潜在的な脅威を検出するのに役立ちます。GuardDuty セキュリティエージェントを使用して、ファイルアクセス、プロセス実行、コマンドライン引数、ネットワーク接続などのランタイム動作を可視化します。潜在的な脅威をモニタリングするリソースタイプごとに、セキュリティエージェントを有効にして管理できます。これには Amazon EC2 インスタンスが含まれます。

### 修正
<a name="guardduty-13-remediation"></a>

EC2 インスタンスの GuardDuty ランタイムモニタリングを行うために自動セキュリティエージェントを設定して管理する方法については、「*Amazon GuardDuty ユーザーガイド*」の「[Prerequisites for Amazon EC2 instance support](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)」と「[Enabling the automated security agent for Amazon EC2 instances](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html)」を参照してください。

# の Security Hub CSPM コントロール AWS Identity and Access Management
<a name="iam-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Identity and Access Management (IAM) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください
<a name="iam-1"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/1.22、CIS AWS Foundations Benchmark v1.4.0/1.16、NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6r5 AC-6(10)、NIST.800-53.r5 AC-6(2) NIST.800-53.r5 AC-6

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 高

**リソースタイプ :** `AWS::IAM::Policy`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `excludePermissionBoundaryPolicy: true` (カスタマイズ不可)

このコントロールは、IAM ポリシー (カスタマー管理ポリシーとも呼ばれます) のデフォルトバージョンに、`"Action": "*"` が `"Resource": "*"` に対して規定された `"Effect": "Allow"` ステートメントを持つ管理者アクセス権があるかどうかをチェックします。このようなステートメントを含む IAM ポリシーがある場合、コントロールは失敗します。

コントロールは、作成したカスタマーマネージドポリシーのみをチェックします。インラインポリシーと AWS 管理ポリシーはチェックされません。

IAM ポリシーは、ユーザー、グループ、またはロールに付与される権限のセットを定義します。標準のセキュリティアドバイスに従って、 AWS は最小権限を付与することをお勧めします。これは、タスクの実行に必要なアクセス許可のみを付与することを意味します。ユーザーが必要とする最小限の許可セットではなく、完全な管理者権限を提供すると、リソースが不要なアクションにさらされる可能性があります。

完全な管理者権限を許可するのではなく、ユーザーが何をする必要があるのかを決定し、ユーザーが、それらのタスクのみを実行できるポリシーを作成します。最小限の許可セットから開始し、必要に応じて追加許可を付与する方がより安全です。あまりにも寛大な許可から始めて、後でそれらを強化しようとしないでください。

`"Effect": "Allow" ` および `"Action": "*"` が `"Resource": "*"` に対して規定されたステートメントを持つ IAM ポリシーは削除する必要があります。

**注記**  
AWS Config Security Hub CSPM を使用するすべてのリージョンで を有効にする必要があります。ただし、グローバルリソースの記録は 1 つのリージョンで有効にすることができます。グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。

### 修正
<a name="iam-1-remediation"></a>

IAM ポリシーを変更して、完全な「\$1」管理者権限を許可しないようにする方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。

## [IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください
<a name="iam-2"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.14、CIS AWS Foundations Benchmark v3.0.0/1.15、CIS AWS Foundations Benchmark v1.2.0/1.16、NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-63.NIST.800-53.r5 AC-6800-17r2

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 低

**リソースタイプ :** `AWS::IAM::User`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、IAM ユーザーにポリシーが添付済みかどうかをチェックします。IAM ユーザーにポリシーが添付されている場合、コントロールは失敗します。代わりに、IAM ユーザーは、IAM グループまたはロールから許可を継承するか、ロールを引き受ける必要があります。

デフォルトでは、IAM ユーザー、グループ、ロールは AWS リソースにアクセスできません。IAM ポリシーで、ユーザー、グループ、またはロールに権限を付与します。IAM ポリシーはグループとロールには直接適用しますが、ユーザーには直接適用しないことを推奨します。グループレベルまたはロールレベルで権限を割り当てると、ユーザー数が増えるにつれてアクセス管理の複雑さが軽減されます。アクセス管理の複雑さを軽減することで、プリンシパルが誤って過剰な権限を受け取ったり保持する機会を減らすことができます。

**注記**  
AWS Config Security Hub CSPM を使用するすべてのリージョンで を有効にする必要があります。ただし、グローバルリソースの記録は 1 つのリージョンで有効にすることができます。グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。

### 修正
<a name="iam-2-remediation"></a>

この問題を解決するには、[IAM グループを作成し](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html)、ポリシーをこのグループにアタッチします。続いて、[ユーザーをこのグループに追加します](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html)。ポリシーは、グループ内の各ユーザーに適用されます。ユーザーに直接添付されているポリシーを削除するには、「*IAM ユーザーガイド*」の「[IAM ID のアクセス許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。

## [IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります
<a name="iam-3"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.13、CIS AWS Foundations Benchmark v3.0.0/1.14、CIS AWS Foundations Benchmark v1.4.0/1.14、CIS AWS Foundations Benchmark v1.2.0/1.4、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-2(3)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.3.9、PCI DSS v4.0.1/8.6.3

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中 

**リソースタイプ :** `AWS::IAM::User`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)

**スケジュールタイプ :** 定期的

**パラメータ :**
+ `maxAccessKeyAge`: `90` (カスタマイズ不可)

このコントロールは、アクティブなアクセスキーが 90 日以内にローテーションされているかどうかをチェックします。

アカウントのすべてのアクセスキーを生成したり削除したりしないことを強く推奨します。代わりに、1 つ以上の IAM ロールを作成するか、[フェデレーション](https://aws.amazon.com/identity/federation/)を使用することをお勧めします AWS IAM アイデンティティセンター。これらの方法を使用して、 AWS マネジメントコンソール および へのアクセスをユーザーに許可できます AWS CLI。

各アプローチにはそれぞれのユースケースがあります。フェデレーションは、既存の中央ディレクトリを保有する企業や、現在の制限 IAM ユーザーよりも多くを必要とする予定の企業にとって一般的に適しています。 AWS 環境外で実行されるアプリケーションには、 AWS リソースへのプログラムによるアクセスのためのアクセスキーが必要です。

ただし、プログラムによるアクセスを必要とするリソースが内部で実行されている場合 AWS、ベストプラクティスは IAM ロールを使用することです。ロールを使用すると、アクセスキー ID とシークレットアクセスキーを設定にハードコーディングすることなく、リソースへのアクセスを許可できます。

アクセスキーとアカウントの保護の詳細については、の[AWS 「アクセスキーを管理するためのベストプラクティス](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html)」を参照してください*AWS 全般のリファレンス*。また、ブログ記事[「プログラムによるアクセスの使用 AWS アカウント 中に を保護するためのガイドライン」も参照してください](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/)。

アクセスキーがすでにある場合、Security Hub CSPM では、アクセスキーを 90 日ごとにローテーションすることをお勧めします。アクセスキーをローテーションすることにより、侵害されたアカウントや終了したアカウントに関連付けられているアクセスキーが使用される可能性が低くなります。また、紛失した、クラックされた、盗まれた古いキーでデータにアクセスできないようにします。アクセスキーをローテーションしたら、必ずアプリケーションを更新してください。

アクセスキーは、アクセスキー ID とシークレットアクセスキーで構成されます。これは AWSへのプログラムによるリクエストの署名に使用されます。ユーザーは、、Tools for Windows PowerShell AWS CLI、 AWS SDKs、または個々の API オペレーションを使用した直接 HTTP 呼び出し AWS からプログラムで を呼び出すために、独自のアクセスキーが必要です AWS のサービス。

組織が AWS IAM アイデンティティセンター (IAM Identity Center) を使用している場合、ユーザーは Active Directory、組み込みの IAM Identity Center ディレクトリ、または [IAM Identity Center に接続された別の ID プロバイダー (IdP) に](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)サインインできます。その後、アクセスキーを必要とせずに AWS CLI コマンドを実行したり AWS API オペレーションを呼び出すことができる IAM ロールにマッピングできます。詳細については、「 *AWS Command Line Interface ユーザーガイド*[」の「 を使用する AWS CLI ように AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html)を設定する」を参照してください。

**注記**  
AWS Config Security Hub CSPM を使用するすべてのリージョンで を有効にする必要があります。ただし、グローバルリソースの記録は 1 つのリージョンで有効にすることができます。グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。

### 修正
<a name="iam-3-remediation"></a>

90 日以上経過したアクセスキーをローテーションするには、「*IAM ユーザーガイド*」の「[アクセスキーのローテーション](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)」を参照してください。**[アクセスキーの有効期間]** が 90 日を超えるすべてのユーザーに対する指示に従ってください。

## [IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません
<a name="iam-4"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.3、CIS AWS Foundations Benchmark v3.0.0/1.4、CIS AWS Foundations Benchmark v1.4.0/1.4、CIS AWS Foundations Benchmark v1.2.0/1.12、PCI DSS v3.2.1/2.1、PCI DSS v3.2.1/2.2、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)NIST.800-53.r5 AC-6 -

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 非常事態 

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)

**スケジュールタイプ :** 定期的

**パラメータ:** なし

このコントロールは、ルートユーザーアクセスキーが存在するかどうかをチェックします。

ルートユーザーは、 で最も特権のあるユーザーです AWS アカウント。 AWS アクセスキーは、特定のアカウントへのプログラムによるアクセスを提供します。

Security Hub CSPM では、ルートユーザーに関連付けられているすべてのアクセスキーを削除することをお勧めします。これにより、お使いのアカウントの侵害に使用できるベクトルが制限されます。また、最小特権のロールベースのアカウントの作成と使用が促進されます。

### 修正
<a name="iam-4-remediation"></a>

ルートユーザーアクセスキーを削除するには、「*IAM ユーザーガイド*」の「[ルートユーザーのアクセスキーの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key)」を参照してください。 AWS アカウント の からルートユーザーアクセスキーを削除するには AWS GovCloud (US)、*AWS GovCloud (US) 「 ユーザーガイド*[」の AWS GovCloud (US) 「アカウントルートユーザーアクセスキーの削除](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key)」を参照してください。

## [IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります
<a name="iam-5"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.9、CIS AWS Foundations Benchmark v3.0.0/1.10、CIS AWS Foundations Benchmark v1.4.0/1.10、CIS AWS Foundations Benchmark v1.2.0/1.2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 IA-2(1)、NIST.800-53.r5 IA-2(2)、NIST.800-53.r5 IA-2(6)、NIST.800-53.r5 IA-2(8 IA-2)

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::IAM::User`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、コンソールパスワードを使用するすべての IAM ユーザーに対して AWS 多要素認証 (MFA) が有効になっているかどうかを確認します。

多要素認証 (MFA) は、ユーザー名とパスワードに更なる保護手段を追加します。MFA を有効にすると、ユーザーが AWS ウェブサイトにサインインすると、ユーザー名とパスワードの入力を求められます。さらに、 AWS MFA デバイスから認証コードの入力を求められます。

コンソールパスワードを使用するすべてのアカウントにおいて、MFA を有効にすることを推奨します。MFA は、コンソールアクセスのセキュリティを強化するために設計されています。認証プリンシパルは、時間的制約のあるキーを発行するデバイスを所有し、認証情報に関する知識がある必要があります。

**注記**  
AWS Config Security Hub CSPM を使用するすべてのリージョンで を有効にする必要があります。ただし、グローバルリソースの記録は 1 つのリージョンで有効にすることができます。グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。

### 修正
<a name="iam-5-remediation"></a>

IAM ユーザーに MFA を追加するには、「*IAM ユーザーガイド*」の「[Using multi-factor authentication (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。

## [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります
<a name="iam-6"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.5、CIS AWS Foundations Benchmark v3.0.0/1.6、CIS AWS Foundations Benchmark v1.4.0/1.6、CIS AWS Foundations Benchmark v1.2.0/1.14、PCI DSS v3.2.1/8.3.1、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 IA-2(1)、NIST.800IA-2-53.r5 IA-2(2)、NIST.800- IA-2

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 非常事態

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロール AWS アカウント は、 がハードウェア多要素認証 (MFA) デバイスを使用してルートユーザー認証情報でサインインできるかどうかを確認します。ハードウェア MFA が有効になっていない場合や、仮想 MFA デバイスにルートユーザー認証情報によるサインインが許可されている場合、コントロールは失敗します。

仮想 MFA はハードウェア MFA デバイスと同じレベルのセキュリティを提供しない可能性があります。ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間にのみ、仮想 MFA デバイスの使用を推奨します。詳細については、*IAM ユーザーガイド*[の「仮想 MFA デバイスの割り当て (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)」を参照してください。

**注記**  
Security Hub CSPM は、 内のルートユーザー認証情報 (ログインプロファイル) の存在に基づいてこのコントロールを評価します AWS アカウント。コントロールは、次の場合に `PASSED` 検出結果を生成します。  
ルートユーザーの認証情報がアカウントに存在し、ルートユーザーのハードウェア MFA が有効になっている。
ルートユーザーの認証情報がアカウントに存在しない。
このコントロールは、ルートユーザーの認証情報がアカウントに存在し、ルートユーザーのハードウェア MFA が有効になっていない場合、`FAILED` 検出結果を生成します。

### 修正
<a name="iam-6-remediation"></a>

ルートユーザーのハードウェア MFA を有効にする方法については、「*IAM ユーザーガイド*」の「[AWS アカウントのルートユーザーの多要素認証](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)」を参照してください。

## [IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です
<a name="iam-7"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-2(3)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 IA-5(1)、NIST.800-171.r2 3.5.2、NIST.800-171.r2 3.5.7、NIST.800-171.r2 3.5.8、PCI DSS v4.0.1/8.3.6、PCI DSS v4.0.1/8.3.7、PCI DSS v4.0.1/8.3.9、PCI DSS v4.0.1/8.3.10.1、PCI DSS v4.0.1/8.6.3

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `RequireUppercaseCharacters`  |  パスワードには少なくとも 1 つの大文字が必要です  |  ブール値  |  `true` 、、または `false`  |  `true`  | 
|  `RequireLowercaseCharacters`  |  パスワードには少なくとも 1 つの小文字が必要です  |  ブール値  |  `true` 、、または `false`  |  `true`  | 
|  `RequireSymbols`  |  パスワードには少なくとも 1 つの記号が必要です  |  ブール値  |  `true` 、、または `false`  |  `true`  | 
|  `RequireNumbers`  |  パスワードには少なくとも 1 つの数字が必要です  |  ブール値  |  `true` 、、または `false`  |  `true`  | 
|  `MinimumPasswordLength`  |  パスワードに含まれる文字の最小数  |  整数  |  `8`～`128`  |  `8`  | 
|  `PasswordReusePrevention`  |  古いパスワードを再使用できるようになるまでのパスワードローテーション回数  |  整数  |  `12`～`24`  |  デフォルト値なし  | 
|  `MaxPasswordAge`  |  パスワードが有効期限切れになるまでの日数  |  整数  |  `1`～`90`  |  デフォルト値なし  | 

このコントロールは、IAM ユーザーのアカウントパスワードポリシーが強力な設定を使用しているかどうかをチェックします。パスワードポリシーが強力な設定を使用していない場合、コントロールは失敗します。カスタムパラメータ値を指定しない限り、Security Hub CSPM は前の表で説明したデフォルト値を使用します。`PasswordReusePrevention` および `MaxPasswordAge`パラメータにはデフォルト値がないため、これらのパラメータを除外すると、Security Hub CSPM はこのコントロールを評価するときにパスワードのローテーション数とパスワード経過時間を無視します。

にアクセスするには AWS マネジメントコンソール、IAM ユーザーにパスワードが必要です。ベストプラクティスとして、Security Hub CSPM では、IAM ユーザーを作成する代わりにフェデレーションを使用することを強くお勧めします。フェデレーションでは、ユーザーは既存の企業認証情報を使用して、 AWS マネジメントコンソールにログインできます。 AWS IAM アイデンティティセンター (IAM Identity Center) を使用してユーザーを作成またはフェデレーションし、アカウントに IAM ロールを引き受けます。

アイデンティティプロバイダーとフェデレーションの詳細については、「IAM ユーザーガイド」の「[アイデンティティプロバイダーとフェデレーション](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)」を参照してください。IAM Identity Center の詳細については、「[https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。

 IAM ユーザーを使用する必要がある場合、Security Hub CSPM では、強力なユーザーパスワードの作成を強制することをお勧めします。でパスワードポリシーを設定 AWS アカウント して、パスワードの複雑さの要件と必須のローテーション期間を指定できます。パスワードポリシーを作成または変更する場合、パスワードポリシーの設定の多くは、ユーザーが次回パスワードを変更するときに適用されます。ただし、一部の設定は即座に適用されます。

### 修正
<a name="iam-7-remediation"></a>

パスワードポリシーの更新については、「*IAM ユーザーガイド*」の「[IAM ユーザーのアカウントパスワードポリシーの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)」を参照してください。

## [IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります
<a name="iam-8"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/1.3、NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-2(3)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、NIST.800-171.r2 3.1.2、PCI DSS v3.2.1/8.1.4、PCI DSS v4.0.1/8.2.

**カテゴリ:** 保護 > セキュアなアクセス管理 

**重要度:** 中 

**リソースタイプ :** `AWS::IAM::User`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :**
+ `maxCredentialUsageAge`: `90` (カスタマイズ不可)

このコントロールは、IAM ユーザーが 90 日間使用されていないパスワードまたはアクティブなアクセスキーを持っているかどうかをチェックします。

IAM ユーザーは、パスワードやアクセスキーなど、さまざまなタイプの認証情報を使用して AWS リソースにアクセスできます。

Security Hub CSPM では、90 日以上使用されていないすべての認証情報を削除または非アクティブ化することをお勧めします。不要な認証情報を無効化または削除することにより、侵害または放棄されたアカウントに関連付けられている認証情報が使用される可能性が少なくなります。

**注記**  
AWS Config Security Hub CSPM を使用するすべてのリージョンで を有効にする必要があります。ただし、グローバルリソースの記録は 1 つのリージョンで有効にすることができます。グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。

### 修正
<a name="iam-8-remediation"></a>

IAM コンソールでユーザー情報を表示すると、**[アクセスキーの有効期間]**、**[パスワードの有効期間]**、**[最終アクティビティ]** の列が表示されます。これらの列の値のいずれかが 90 日より大きい場合は、それらのユーザーの認証情報を非アクティブにします。

[認証情報レポート](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console)を使用してユーザーアカウントをモニタリングし、90 日以上アクティビティのないアカウントを特定することもできます。IAM コンソールから認証情報レポートを `.csv` 形式でダウンロードできます。

非アクティブなアカウント、または未使用の認証情報を特定したら、それらを非アクティブ化します。手順については、「*IAM ユーザーガイド*」の「[IAM ユーザーパスワードの作成、変更、削除 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console)」を参照してください。

## [IAM.9] ルートユーザーに対して MFA を有効にする必要があります
<a name="iam-9"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.4、PCI DSS v3.2.1/8.3.1、PCI DSS v4.0.1/8.4.2、CIS AWS Foundations Benchmark v3.0.0/1.5、CIS AWS Foundations Benchmark v1.4.0/1.5、CIS AWS Foundations Benchmark v1.2.0/1.13、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800IA-2-53.r5 IA-2(2)、NIST.800-5 IA-2 

**カテゴリ:** 保護 > セキュアなアクセス管理 

**重要度:** 非常事態

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 の IAM ルートユーザーが にサインイン AWS アカウント するために多要素認証 (MFA) が有効になっているかどうかを確認します AWS マネジメントコンソール。アカウントのルートユーザーに対して MFA が有効になっていない場合、コントロールは失敗します。

の IAM ルートユーザーは AWS アカウント 、アカウント内のすべてのサービスとリソースに完全にアクセスできます。MFA が有効になっている場合、 にサインインするには、ユーザーは AWS MFA デバイスからユーザー名、パスワード、および認証コードを入力する必要があります AWS マネジメントコンソール。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。

このコントロールは、次の場合に `PASSED` 検出結果を生成します。
+ ルートユーザーの認証情報がアカウントに存在し、ルートユーザーの MFA が有効になっている。
+ ルートユーザーの認証情報がアカウントに存在しない。

このコントロールは、ルートユーザーの認証情報がアカウントに存在し、ルートユーザーに対して MFA が有効になっていない場合、`FAILED` 検出結果を生成します。

### 修正
<a name="iam-9-remediation"></a>

のルートユーザーの MFA を有効にする方法については AWS アカウント、*AWS Identity and Access Management 「 ユーザーガイド*」の[「 の多要素認証 AWS アカウントのルートユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)」を参照してください。

## [IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です
<a name="iam-10"></a>

**関連する要件:** NIST.800-171.r2 3.5.2、NIST.800-171.r2 3.5.7、NIST.800-171.r2 3.5.8、PCI DSS v3.2.1/8.1.4、PCI DSS v3.2.1/8.2.3、PCI DSS v3.2.1/8.2.4、PCI DSS v3.2.1/8.2.5

**カテゴリ:** 保護 > セキュアなアクセス管理 

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**スケジュールタイプ :** 定期的

**パラメータ:** なし

このコントロールは、IAM ユーザーのアカウントパスワードポリシーが次の最低限の PCI DSS 設定を使用しているかどうかをチェックします。
+ `RequireUppercaseCharacters` - パスワードには少なくとも 1 つの大文字が必要。(デフォルト = `true`)
+ `RequireLowercaseCharacters` - パスワードには少なくとも 1 つの小文字が必要。(デフォルト = `true`)
+ `RequireNumbers` - パスワードには少なくとも 1 つの数字が必要。(デフォルト = `true`)
+ `MinimumPasswordLength` - パスワードの最小文字数。(デフォルト = 7 以上)
+ `PasswordReusePrevention` - パスワードの再利用を許可するまでのパスワードの数。(デフォルト = 4)
+ `MaxPasswordAge` – パスワードが有効期限切れになるまでの日数。(デフォルト = 90)

**注記**  
2025 年 5 月 30 日、Security Hub CSPM は PCI DSS v4.0.1 標準からこのコントロールを削除しました。PCI DSS v4.0.1 では、8 文字以上のパスワードが必要です。このコントロールは、異なるパスワード要件を持つ PCI DSS v3.2.1 標準に引き続き適用されます。  
PCI DSS v4.0.1 の要件に照らしてアカウントのパスワードポリシーを評価するには、[IAM.7 コントロール](#iam-7)を使用できます。このコントロールでは、8 文字以上のパスワードが必要です。また、パスワードの長さやその他のパラメータのカスタム値もサポートしています。IAM.7 コントロールは、Security Hub CSPM における PCI DSS v4.0.1 標準の一部です。

### 修正
<a name="iam-10-remediation"></a>

推奨される設定を使用するようにパスワードポリシーを更新するには、「*IAM ユーザーガイド*」の「[IAM ユーザー用のアカウントパスワードポリシーの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)」を参照してください。

## [IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します
<a name="iam-11"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/1.5、NIST.800-171.r2 3.5.7、PCI DSS v4.0.1/8.3.6、PCI DSS v4.0.1/8.6.3

**カテゴリ:** 保護 > セキュアなアクセス管理 

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

パスワードポリシーは、パスワードの複雑さの要件をある程度強制します。IAM パスワードポリシーを使用して、パスワードで異なる文字セットを使用するようにします。

CIS では、パスワードポリシーで少なくとも 1 文字の大文字を要求することを推奨しています。パスワードの複雑さに関するポリシーを設定すると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。

### 修正
<a name="iam-11-remediation"></a>

パスワードポリシーの変更については、「*IAM ユーザーガイド*」の「[IAM ユーザーのアカウントパスワードポリシーの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)」を参照してください。**[パスワードの強度]** で、**[ラテンアルファベット (A–Z) の少なくとも 1 つの大文字が必要]** を選択します。

## [IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します
<a name="iam-12"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/1.6、NIST.800-171.r2 3.5.7、PCI DSS v4.0.1/8.3.6、PCI DSS v4.0.1/8.6.3

**カテゴリ:** 保護 > セキュアなアクセス管理 

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

パスワードポリシーは、パスワードの複雑さの要件をある程度強制します。IAM パスワードポリシーを使用して、パスワードで異なる文字セットを使用するようにします。CIS では、パスワードポリシーで少なくとも 1 文字の小文字を要求することを推奨しています。パスワードの複雑さに関するポリシーを設定すると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。

### 修正
<a name="iam-12-remediation"></a>

パスワードポリシーの変更については、「*IAM ユーザーガイド*」の「[IAM ユーザーのアカウントパスワードポリシーの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)」を参照してください。**[パスワードの強度]** で、**[ラテンアルファベット (A–Z) の少なくとも 1 つの小文字が必要]** を選択します。

## [IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します
<a name="iam-13"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/1.7、NIST.800-171.r2 3.5.7

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

パスワードポリシーは、パスワードの複雑さの要件をある程度強制します。IAM パスワードポリシーを使用して、パスワードで異なる文字セットを使用するようにします。

CIS では、パスワードポリシーで少なくとも 1 文字の記号を要求することを推奨しています。パスワードの複雑さに関するポリシーを設定すると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。

### 修正
<a name="iam-13-remediation"></a>

パスワードポリシーの変更については、「*IAM ユーザーガイド*」の「[IAM ユーザーのアカウントパスワードポリシーの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)」を参照してください。**[パスワードの強度]** で、**[少なくとも 1 つの英数字以外の文字が必要]** を選択します。

## [IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します
<a name="iam-14"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/1.8、NIST.800-171.r2 3.5.7、PCI DSS v4.0.1/8.3.6、PCI DSS v4.0.1/8.6.3

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

パスワードポリシーは、パスワードの複雑さの要件をある程度強制します。IAM パスワードポリシーを使用して、パスワードで異なる文字セットを使用するようにします。

CIS では、パスワードポリシーで少なくとも 1 文字の数字を要求することを推奨しています。パスワードの複雑さに関するポリシーを設定すると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。

### 修正
<a name="iam-14-remediation"></a>

パスワードポリシーの変更については、「*IAM ユーザーガイド*」の「[IAM ユーザーのアカウントパスワードポリシーの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)」を参照してください。**[パスワードの強度]** で、**[少なくとも 1 つの数字が必要]** を選択します。

## [IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します
<a name="iam-15"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.7、CIS AWS Foundations Benchmark v3.0.0/1.8、CIS AWS Foundations Benchmark v1.4.0/1.8、CIS AWS Foundations Benchmark v1.2.0/1.9、NIST.800-171.r2 3.5.7

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

パスワードポリシーは、パスワードの複雑さの要件をある程度強制します。IAM パスワードポリシーを使用して、パスワードが指定された長さ以上になるようにします。

CIS では、パスワードポリシーで 14 文字以上の長さを要求することを推奨しています。パスワードの複雑さに関するポリシーを設定すると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。

### 修正
<a name="iam-15-remediation"></a>

パスワードポリシーの変更については、「*IAM ユーザーガイド*」の「[IAM ユーザーのアカウントパスワードポリシーの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)」を参照してください。**[パスワードの最小文字数]** で、**14** またはそれ以上の数字を入力します。

## [IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています
<a name="iam-16"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.8、CIS AWS Foundations Benchmark v3.0.0/1.9、CIS AWS Foundations Benchmark v1.4.0/1.9、CIS AWS Foundations Benchmark v1.2.0/1.10、NIST.800-171.r2 3.5.8、PCI DSS v4.0.1/8.3.7

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 低

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、記憶するパスワードの数が 24 に設定されているかどうかをチェックします。値が 24 でない場合、コントロールは失敗します。

IAM パスワードポリシーにより、同じユーザーによる特定のパスワードの再使用を防ぐことができます。

CIS では、パスワードポリシーでパスワードの再使用を禁止することを推奨しています。パスワードの再使用を禁止すると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。

### 修正
<a name="iam-16-remediation"></a>

パスワードポリシーの変更については、「*IAM ユーザーガイド*」の「[IAM ユーザーのアカウントパスワードポリシーの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)」を参照してください。**[パスワードの再利用を禁止]** で、**24** と入力します。

## [IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します
<a name="iam-17"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/1.11、PCI DSS v4.0.1/8.3.9、PCI DSS v4.0.1/8.3.10.1

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 低

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

IAM パスワードポリシーでは、指定された日数後にパスワードをローテーションするか、または有効期限切れにすることを要求できます。

CIS では、パスワードポリシーでパスワードを 90 日以内に有効期限切れにすることを推奨しています。パスワードの有効期間を短くすると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。定期的なパスワード変更の要求は、以下のシナリオでも役立ちます。
+ パスワードはユーザーが知らない間に、盗まれたり漏洩したりする可能性があります。これは、システムの侵害、ソフトウェアの脆弱性、または内部の脅威によって起こりえます。
+ 特定の企業や政府のウェブフィルターまたはプロキシサーバーは、暗号化されている場合でもトラフィックを傍受し記録できます。
+ 多くの人々が仕事、E メール、個人用など多くのシステムで同じパスワードを使用しています。
+ 侵害されたエンドユーザーのワークステーションに、キーストロークロガーが設置されている可能性があります。

### 修正
<a name="iam-17-remediation"></a>

パスワードポリシーの変更については、「*IAM ユーザーガイド*」の「[IAM ユーザーのアカウントパスワードポリシーの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)」を参照してください。**[パスワードの有効期間をオンにする]** で、**90** またはそれより小さい数字を入力します。

## [IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート
<a name="iam-18"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.16、CIS AWS Foundations Benchmark v3.0.0/1.17、CIS AWS Foundations Benchmark v1.4.0/1.17、CIS AWS Foundations Benchmark v1.2.0/1.20、NIST.800-171.r2 3.1.2、PCI DSS v4.0.1/12.10.3

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 低

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)

**スケジュールタイプ :** 定期的

**パラメータ :**
+ `policyARN`: `arn:partition:iam::aws:policy/AWSSupportAccess` (カスタマイズ不可)
+ `policyUsageType`: `ANY` (カスタマイズ不可)

AWS は、インシデントの通知と対応、テクニカルサポート、カスタマーサービスに使用できるサポートセンターを提供します。

IAM ロールを作成して、認可済みのユーザーが AWS サポートでインシデントを管理できるようにします。アクセスコントロールの最小権限を実装することで、IAM ロールには、インシデントを管理するためにサポートセンターへのアクセスを許可する適切な IAM ポリシーが必要です サポート。

**注記**  
AWS Config Security Hub CSPM を使用するすべてのリージョンで を有効にする必要があります。ただし、グローバルリソースの記録は 1 つのリージョンで有効にすることができます。グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。

### 修正
<a name="iam-18-remediation"></a>

この問題を修正するには、認可済みのユーザーに サポート インシデントの管理を許可するロールを作成します。

**サポート アクセスに使用するロールを作成するには**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. IAM ナビゲーションペインで **[Roles]** (ロール) を選択し、続いて **[Create role]** (ロールの作成) を選択します。

1. **[Role type]** (ロールタイプ) で、**[Another AWS アカウント]** を選択します。

1. **アカウント ID** には、リソースへのアクセスを許可する AWS アカウント の AWS アカウント ID を入力します。

   このロールを引き受けるユーザーまたはグループが同じアカウントに属している場合は、ローカルアカウント番号を入力します。
**注記**  
指定したアカウントの管理者は、そのアカウントのすべての ユーザーに、このロールを引き受けるアクセス許可を付与できます。そのためには、管理者から `sts:AssumeRole` アクションの許可を付与するユーザーまたはグループにポリシーを添付します。そのポリシーで、リソースはロール ARN である必要があります。

1. **[Next: Permissions]** (次へ: 許可) を選択します。

1. マネージドポリシー `AWSSupportAccess` を検索します。

1. `AWSSupportAccess` マネージドポリシーのチェックボックスを選択します。

1. **[Next: Tags]** (次へ: タグ) を選択します。

1. (オプション) ロールにメタデータを追加するには、キーバリューのペアとしてタグをアタッチします。

   IAM でのタグの使用の詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーとロールのタグ付け](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。

1. **[Next: Review]** (次へ: レビュー) を選択します。

1. **[Role name]** (ロール名) に、ロールの名前を入力します。

   ロール名は 内で一意である必要があります AWS アカウント。大文字と小文字は区別されません。

1. (オプション) **[Role description]** (ロールの説明) に、新しいロールの説明を入力します。

1. ロールを確認し、**[Create role]** (ロールの作成) を選択します。

## [IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります
<a name="iam-19"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 IA-2(1)、NIST.800-53.r5 IA-2(2)、NIST.800-53.r5 IA-2(6)、NIST.800-53.r5 IA-2(8)、NIST.800-171.r2 3.3.8、NIST.800-171.r2 3.5.3、NIST.800-171.r2 3.5.4、NIST.800-171.r2 3.7.5、PCI DSS v3.2.1/8.3.1、PCI DSS v4.0.1/8.4.2 

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::IAM::User`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ:** なし

このコントロールは、IAM ユーザーが多要素認証 (MFA) を有効にしているかどうかを確認します。

**注記**  
AWS Config Security Hub CSPM を使用するすべてのリージョンで を有効にする必要があります。ただし、グローバルリソースの記録は 1 つのリージョンで有効にすることができます。グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。

### 修正
<a name="iam-19-remediation"></a>

IAM ユーザーに MFA を追加するには、「*IAM ユーザーガイド*」の「[Enabling MFA devices for users in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html)」を参照してください。

## [IAM.20] ルートユーザーの使用を避けます
<a name="iam-20"></a>

**重要**  
Security Hub CSPM は、2024 年 4 月にこのコントロールを廃止しました。詳細については、「[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)」を参照してください。

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/1.1

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 低

**リソースタイプ :** `AWS::IAM::User`

**AWS Config rule:** `use-of-root-account-test` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロール AWS アカウント は、 にルートユーザーの使用に制限があるかどうかをチェックします。このコントロールは、以下のリソースを評価します。
+ Amazon Simple Notification Service (Amazon SNS)のトピック
+ AWS CloudTrail 証跡
+ CloudTrail トレイルに関連するメトリックスフィルター
+ フィルターに基づく Amazon CloudWatch アラーム

チェックの結果、以下の記述の 1 つ以上が真であれば `FAILED` と判定されます:
+ アカウントには CloudTrail トレイルは存在しません。
+ CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります
+ CloudTrail トレイルは有効になっていますが、CloudWatch Logs ロググループには関連付けられていません。
+ Center for Internet Security (CIS) が規定する正確なメトリックフィルターが使用されていません。規定のメトリックフィルターは `'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'` です。
+ メトリックスフィルターに基づく CloudWatch アラームがアカウントに存在しません。
+ 関連する SNS トピックに通知を送信するように設定された CloudWatch アラームは、アラーム条件に基づいてトリガーされません。
+ SNS トピックが、[SNS トピックにメッセージを送信するための制約](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html)に準拠していません。
+ SNS トピックに 1 人以上のサブスクライバーが存在しません。

チェックの結果、以下の条件の 1 つ以上に当てはまれば、`NO_DATA` コントロールステータスになります:
+ マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
+ マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。

チェックの結果、以下の条件の 1 つ以上に当てはまれば、`WARNING` コントロールステータスになります:
+ 現在のアカウントは、CloudWatch アラームで参照されている SNS トピックを所有していません。
+ `ListSubscriptionsByTopic` SNS API を呼び出しても、現在のアカウントは SNS トピックにアクセスできません。

**注記**  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡を使用することをお勧めします。組織の証跡は、デフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO\$1DATA になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。

ベストプラクティスは、[アカウントおよびサービスの管理タスクを実行する](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)ときに必要となる場合のみ、ルートユーザー認証情報を使用することです。IAM ポリシーは直接ユーザーに適用するのではなく、グループとロールに適用します。毎日使用するために管理者を設定する手順については、IAM *ユーザーガイド*の[「最初の IAM 管理者ユーザーとグループの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)」を参照してください。

### 修正
<a name="iam-20-remediation"></a>

この問題を修正するためのステップには、Amazon SNS トピック、CloudTrail 追跡、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。

**Amazon SNS トピックを作成するには**

1. Amazon SNS コンソール ([https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)) を開きます。

1. すべての CIS アラームを受信する Amazon SNS トピックを作成します。

   トピックに少なくとも 1 人の受信者を作成します。詳細については、「Amazon Simple Notification Service 開発者ガイド」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。

次に、すべてのリージョンに適用されるアクティブな CloudTrail を設定します。これを行うには、[[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1) の修正ステップに従います。

CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。そのロググループに対してメトリクスフィルターを作成します。

最後に、メトリクスフィルターとアラームを作成します。

**メトリクスフィルターとアラームを作成するには**

1. CloudWatch コンソール ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) を開きます。

1. ナビゲーションペインで、**[Log groups]** (ロググループ) を選択します。

1. 作成した CloudTrail 追跡に関連付けられている CloudWatch Logs ロググループのチェックボックスを選択します。

1. **[Actions]** (アクション) から、**[Create Metric Filter]** (メトリクスフィルターの作成) を選択します。

1. **[Define pattern]** (パターンを定義) で、以下の操作を行います。

   1. 次のパターンをコピーして、**[Filter Pattern]** (フィルターパターン) フィールドに貼り付けます。

      ```
      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
      ```

   1. **[Next]** (次へ) を選択します。

1. **[Assign Metric]** (メトリクスの割り当て) で、以下の操作を行います。

   1. **[Filter name]** (フィルター名) に、メトリクスフィルターの名前を入力します。

   1. **[Metric namespace]** (メトリクス名前空間) に **LogMetrics** と入力します。

      すべての CIS ログメトリクスフィルターに同じ名前空間を使用した場合、すべての CIS Benchmark メトリクスがグループ化されます。

   1. **[Metric Name]** (メトリクス名) に、メトリクスの名前を入力します。メトリクスの名前を忘れないでください。アラームの作成時にメトリクスを選択する必要があります。

   1. **[Metric value]** (メトリクス値) に **1** と入力します。

   1. **[Next]** (次へ) を選択します。

1. **[Review and create]** (確認して作成) で、新しいメトリクスフィルター用に入力した情報を確認します。その後、**[Create metric filter]** (メトリクスフィルターの作成) を選択します。

1. ナビゲーションペインで **[Log groups]** (ロググループ)を選択し、**[Metric filters]** (メトリクスフィルター) で作成したフィルターを選択します。

1. フィルターのチェックボックスをオンにします。[**アラームの作成**] を選択します。

1. **[Specify metric and conditions]** (メトリクスと条件の指定) で、以下の操作を行います。

   1. **[Conditions]** (条件) の **[Threshold]** (しきい値) で、**[Static]** (静的) を選択します。

   1. **[Define the alarm condition]** (アラーム条件を定義) で、**[Greater/Equal]** (より大きい/等しい) を選択します。

   1. **[Define the threshold value]** (しきい値の定義) で、**1** を入力します。

   1. **[Next]** (次へ) を選択します。

1. **[Configure actions]** (アクションの設定) で、次の作業を行います。

   1. **[Alarm state trigger]** (アラーム状態トリガー) で、**[In alarm]** (アラーム状態) を選択します。

   1. **[Select an SNS topic]** (SNS トピックの選択) で、**[Select an existing SNS topic]** (既存の SNS トピックの選択) を選択します。

   1. **[Send a notification to]** (通知の送信先) で、前の手順で作成した SNS トピックの名前を入力します。

   1. **[Next]** (次へ) を選択します。

1. **[Add name and description]** (名前と説明を追加) に、アラームの **[Name]** (名前)と **[Description]** (説明)を **CIS-1.1-RootAccountUsage** のように入力します。続いて、**[Next]** (次へ) を選択します。

1. **[Preview and create]** (プレビューと作成) で、アラームの設定を確認します。次に **[Create alarm]** (アラームの作成) を選択します。

## [IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません
<a name="iam-21"></a>

**関連する要件:** NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(10)、NIST.800-53.r5 AC-6(2)、NIST.800-53.r5 AC-6(3)、NIST.800-171.r2 3.1.1、NIST.800-171.r2 3.1.2、NIST.800-171.r2 3.1.5、NIST.800-171.r2 3.1.7、NIST.800-171.r2 3.3.8、NIST.800-171.r2 3.3.9、NIST.800-171.r2 3.13.3、NIST.800-171.r2 3.13.4

**カテゴリ:** 検出 > セキュアなアクセス管理 

**重要度:** 低

**リソースタイプ :** `AWS::IAM::Policy`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `excludePermissionBoundaryPolicy`: `True` (カスタマイズ不可)

このコントロールは、作成した IAM アイデンティティベースのポリシーに、ワイルドカード (\$1) を使用して、任意のサービスに対してすべてのアクションに許可を付与する許可ステートメントがあるかどうかをチェックします。ポリシーステートメントに、`"Effect": "Allow"` と `"Action": "Service:*"` が含まれている場合、コントロールは失敗します。

例えば、ポリシーに次のような記述があると、結果は失敗となります。

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}
```

`"Effect": "Allow"` と `"NotAction": "service:*"` を使用する場合も、コントロールは失敗します。この場合、 `NotAction`要素は、 で指定されたアクションを除き AWS のサービス、 のすべてのアクションへのアクセスを提供します`NotAction`。

このコントロールは、カスタマー管理 IAM ポリシーにのみ適用されます。 AWSによって管理される IAM ポリシーには適用されません。

アクセス許可を割り当てるときは AWS のサービス、IAM ポリシーで許可された IAM アクションの範囲を設定することが重要です。IAM アクションは、必要なアクションのみに制限する必要があります。これは、最小特権の許可のプロビジョンに役立ちます。ポリシーが許可を必要としない IAM プリンシパルに添付済みの場合、過度に許可されたポリシーは特権エスカレーションにつながる可能性があります。

場合によっては、`DescribeFlowLogs` や `DescribeAvailabilityZones` のような類似のプレフィックスを持つ IAM アクションを許可する必要があります。これらの承認済みのケースでは、共通プレフィクスにサフィックス付きワイルドカードを追加することができます。例えば、`ec2:Describe*`。

プレフィクスが付いた IAM アクションとサフィックス付きワイルドカードを使用する場合、このコントロールは成功します。例えば、ポリシー内の次のステートメントでは、結果が成功になります。

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}
```

この方法で関連する IAM アクションをグループ化することで、IAM ポリシーのサイズ制限を超えないようにすることもできます。

**注記**  
AWS Config Security Hub CSPM を使用するすべてのリージョンで を有効にする必要があります。ただし、グローバルリソースの記録は 1 つのリージョンで有効にすることができます。グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。

### 修正
<a name="iam-21-remediation"></a>

この問題を修正するには、IAM ポリシーを更新して、完全な「\$1」管理者権限を許可しないようにします。IAM ポリシーを編集する方法の詳細は、「*IAM ユーザーガイド*」の「[IAM ポリシーの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。

## [IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります
<a name="iam-22"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.11、CIS AWS Foundations Benchmark v3.0.0/1.12、CIS AWS Foundations Benchmark v1.4.0/1.12、NIST.800-171.r2 3.1.2

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::IAM::User`

**AWS Config ルール: **[https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、IAM ユーザーが 45 日以上使用されていないパスワードまたはアクティブなアクセスキーを持っていないかどうかをチェックします。そのためには、 AWS Config ルールの `maxCredentialUsageAge`パラメータが 45 以上であるかどうかをチェックします。

ユーザーは、パスワードやアクセスキーなど、さまざまなタイプの認証情報を使用して AWS リソースにアクセスできます。

CIS では、45 日以上使用されていないすべての認証情報を削除または非アクティブ化することが推奨されています。不要な認証情報を無効化または削除することにより、侵害または放棄されたアカウントに関連付けられている認証情報が使用される可能性が少なくなります。

このコントロールの AWS Config ルールは、4 時間ごとにのみ更新される [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)および [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html) API オペレーションを使用します。IAM ユーザーへの変更がこのコントロールから確認できるようになるまでに、最大 4 時間かかる場合があります。

**注記**  
AWS Config Security Hub CSPM を使用するすべてのリージョンで を有効にする必要があります。ただし、グローバルリソースの記録は 1 つのリージョンで有効にすることができます。グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。

### 修正
<a name="iam-22-remediation"></a>

IAM コンソールでユーザー情報を表示すると、**[アクセスキーの有効期間]**、**[パスワードの有効期間]**、**[最終アクティビティ]** の列が表示されます。これらの列の値のいずれかが 45 日より大きい場合は、それらのユーザーの認証情報を非アクティブにします。

[認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console)レポートを使用してユーザーアカウントをモニタリングし、45 日以上アクティビティのないアカウントを特定することもできます。IAM コンソールから認証情報レポートを `.csv` 形式でダウンロードできます。

非アクティブなアカウント、または未使用の認証情報を特定したら、それらを非アクティブ化します。手順については、「*IAM ユーザーガイド*」の「[IAM ユーザーパスワードの作成、変更、削除 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console)」を参照してください。

## [IAM.23] IAM Access Analyzer アナライザーにはタグを付ける必要があります
<a name="iam-23"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::AccessAnalyzer::Analyzer`

**AWS Config rule: ** `tagged-accessanalyzer-analyzer` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) によって管理されるアナライザーに、パラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。アナライザーにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、アナライザーにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="iam-23-remediation"></a>

アナライザーにタグを追加するには、「*AWS IAM Access Analyzer API リファレンス*」の「[https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html)」を参照してください。

## [IAM.24] IAM ロールにはタグを付ける必要があります
<a name="iam-24"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IAM::Role`

**AWS Config rule: ** `tagged-iam-role` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS Identity and Access Management (IAM) ロールにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。ロールにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ロールにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="iam-24-remediation"></a>

IAM ロールにタグを追加するには、「*IAM ユーザーガイド*」の「[IAM リソースのタグ付け](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。

## [IAM.25] IAM ユーザーにはタグを付ける必要があります
<a name="iam-25"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IAM::User`

**AWS Config rule: ** `tagged-iam-user` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS Identity and Access Management (IAM) ユーザーにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。ユーザーにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ユーザーがキーでタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="iam-25-remediation"></a>

IAM ユーザーにタグを追加するには、「*IAM ユーザーガイド*」の「[IAM リソースのタグ付け](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。

## [IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります
<a name="iam-26"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.18、CIS AWS Foundations Benchmark v3.0.0/1.19

**カテゴリ：** 識別 > コンプライアンス

**重要度:** 中

**リソースタイプ :** `AWS::IAM::ServerCertificate`

**AWS Config ルール: **[https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、IAM で管理されているアクティブな SSL/TLS サーバー証明書の有効期限が切れているかどうかを確認します。期限切れの SSL/TLS サーバー証明書が削除されない場合、コントロールは失敗します。

でウェブサイトまたはアプリケーションへの HTTPS 接続を有効にするには AWS、SSL/TLS サーバー証明書が必要です。IAM または AWS Certificate Manager (ACM) を使用して、サーバー証明書を保存およびデプロイできます。ACM でサポートされていない で HTTPS 接続をサポートする必要がある場合にのみ、IAM AWS リージョン を証明書マネージャーとして使用します。IAM はプライベートキーを安全に暗号化し、暗号化されたバージョンを IAM SSL 証明書ストレージに保存します。IAM はすべてのリージョンでのサーバー証明書のデプロイをサポートしていますが、 で使用するには外部プロバイダーから証明書を取得する必要があります AWS。ACM 証明書を IAM にアップロードすることはできません。また、IAM コンソールから証明書を管理することはできません。期限切れの SSL/TLS 証明書を削除すると、基盤となるアプリケーションやウェブサイトの信頼性を損うような、無効な証明書が誤ってリソースにデプロイされるといったリスクがなくなります。

### 修正
<a name="iam-26-remediation"></a>

IAM からサーバー証明書を削除するには、「*IAM ユーザーガイド*」の「[IAM でのサーバー証明書の管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)」を参照してください。

## [IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください
<a name="iam-27"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.21、CIS AWS Foundations Benchmark v3.0.0/1.22

**カテゴリ:** 保護 > セキュアなアクセス管理 > セキュアな IAM ポリシー

**重要度:** 中

**リソースタイプ:** `AWS::IAM::Role`、`AWS::IAM::User`、`AWS::IAM::Group`

**AWS Config ルール: **[https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ "policyArns": "arn:aws:iam::aws:policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess"

このコントロールは、IAM ID (ユーザー、ロール、またはグループ) に AWS 管理ポリシーが`AWSCloudShellFullAccess`アタッチされているかどうかを確認します。IAM ID に `AWSCloudShellFullAccess` ポリシーがアタッチされている場合、コントロールは失敗します。

AWS CloudShell は、 CLI コマンドを実行するのに便利な方法を提供します AWS のサービス。 AWS マネージドポリシー`AWSCloudShellFullAccess`は CloudShell へのフルアクセスを提供します。これにより、ユーザーのローカルシステムと CloudShell 環境間のファイルのアップロードおよびダウンロード機能が可能になります。CloudShell 環境内では、ユーザーは sudo アクセス許可を持ち、インターネットにアクセスできます。その結果、このマネージドポリシーを IAM ID にアタッチすることで、ファイル転送ソフトウェアをインストールし、データを CloudShell から外部のインターネットサーバーに移動できます。最小特権の原則に従い、IAM ID に狭いアクセス許可をアタッチすることをお勧めします。

### 修正
<a name="iam-27-remediation"></a>

IAM ID から `AWSCloudShellFullAccess` ポリシーをデタッチするには、「*IAM ユーザーガイド*」の「[IAM ID アクセス許可の追加と削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。

## [IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります
<a name="iam-28"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/1.19、CIS AWS Foundations Benchmark v3.0.0/1.20

**カテゴリ:** 検出 > 検出サービス > 特権使用状況モニタリング monitoring

**重要度:** 高

**リソースタイプ :** `AWS::AccessAnalyzer::Analyzer`

**AWS Config ルール: **[https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロール AWS アカウント は、 で IAM Access Analyzer 外部アクセスアナライザーが有効になっているかどうかを確認します。現在選択されている AWS リージョンで外部アクセスアナライザーが有効になっていない場合、コントロールは失敗します。

IAM Access Analyzer 外部アクセスアナライザーは、外部エンティティと共有されている Amazon Simple Storage Service (Amazon S3) バケットや IAM ロールなどのリソースを識別するのに役立ちます。これは、リソースやデータへの意図しないアクセスを回避するのに役立ちます。IAM Access Analyzer はリージョン別であり、各リージョンで有効にする必要があります。外部プリンシパルと共有されているリソースを識別するために、アクセスアナライザーはロジックベースの推論を使用して AWS 環境内のリソースベースのポリシーを分析します。外部アクセスアナライザー作成するときに、組織全体または個々のアカウントに対してアナライザーを作成して有効にすることができます。

**注記**  
アカウントが の組織の一部である場合 AWS Organizations、このコントロールでは、組織を信頼ゾーンとして指定し、現在のリージョンの組織に対して有効になっている外部アクセスアナライザーは考慮されません。組織がこのタイプの設定を使用している場合は、リージョンの組織内の個々のメンバーアカウントに対してこのコントロールを無効にすることを検討してください。

### 修正
<a name="iam-28-remediation"></a>

特定のリージョンで外部アクセスアナライザーを有効にする方法については、「*IAM ユーザーガイド*」の「[IAM Access Analyzer の開始方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)」を参照してください。アナライザーは、リソースへのアクセスをモニタリングするリージョンごとに有効にする必要があります。

# Amazon Inspector の Security Hub CSPM コントロール
<a name="inspector-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Inspector サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります
<a name="inspector-1"></a>

**関連する要件:** PCI DSS v4.0.1/11.3.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Inspector EC2 スキャンが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで Amazon Inspector EC2 スキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで EC2 スキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 Amazon Inspector 管理者アカウントでのみ検出結果を生成します。委任管理者のみが、組織内のメンバーアカウントの EC2 スキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントからは、この設定を変更できません。このコントロールは、委任管理者に Amazon Inspector EC2 スキャンが有効になっていない停止メンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector EC2 スキャンは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスからメタデータを抽出し、このメタデータをセキュリティアドバイザリから収集されたルールと比較して、検出結果を生成します。Amazon Inspector はインスタンスをスキャンして、パッケージの脆弱性とネットワークの到達性の問題がないか調べます。SSM エージェントなしでスキャンできるオペレーティングシステムなど、サポートされているオペレーティングシステムの詳細については、「[サポートされているオペレーティングシステム: Amazon EC2 スキャン](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2)」を参照してください。

### 修正
<a name="inspector-1-remediation"></a>

Amazon Inspector EC2 スキャンを有効にするには、「*Amazon Inspector ユーザーガイド*」の「[スキャンのアクティブ化](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)」を参照してください。

## [Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります
<a name="inspector-2"></a>

**関連する要件:** PCI DSS v4.0.1/11.3.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Inspector ECR スキャンが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで Amazon Inspector ECR スキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで ECR スキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 Amazon Inspector 管理者アカウントでのみ検出結果を生成します。委任管理者のみが、組織内のメンバーアカウントの ECR スキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントからは、この設定を変更できません。このコントロールは、委任管理者に Amazon Inspector ECR スキャンが有効になっていない停止メンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector は、Amazon Elastic Container Registry (Amazon ECR) に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないかを調べ、パッケージ 脆弱性の検出結果を生成します。Amazon ECR の Amazon Inspector スキャンをアクティブ化すると、Amazon Inspector をプライベートレジストリの優先スキャンサービスとして設定します。これにより、Amazon ECR が無料で提供する基本的なスキャンが、Amazon Inspector を通じて提供および請求される拡張スキャンに置き換わります。拡張スキャンでは、オペレーティングシステムパッケージとプログラミング言語パッケージの両方をレジストリレベルで脆弱性スキャンできるという利点があります。拡張スキャンを使用して検出された検出結果は、Amazon ECR コンソールで、イメージのレイヤーごとにイメージレベルで確認できます。さらに、 や AWS Security Hub CSPM Amazon EventBridge など、基本的なスキャン検出には利用できない他のサービスで、これらの検出結果を確認して操作できます。

### 修正
<a name="inspector-2-remediation"></a>

Amazon Inspector ECR スキャンを有効にするには、「*Amazon Inspector ユーザーガイド*」の「[スキャンのアクティブ化](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)」を参照してください。

## [Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります
<a name="inspector-3"></a>

**関連する要件:** PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Inspector Lambda コードスキャンが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで Amazon Inspector Lambda コードスキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで Lambda コードスキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 Amazon Inspector 管理者アカウントでのみ検出結果を生成します。委任管理者のみが、組織内のメンバーアカウントの Lambda コードスキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントからは、この設定を変更できません。このコントロールは、委任管理者に Amazon Inspector Lambda コードスキャンが有効になっていない停止メンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector Lambda コードスキャンは、 AWS セキュリティのベストプラクティスに基づいて、 AWS Lambda 関数内のカスタムアプリケーションコードをスキャンして、コードの脆弱性を検出します。Lambda コードスキャンでは、コード内のインジェクションの欠陥、データ漏洩、脆弱な暗号化、または暗号化の欠落を検出できます。この機能は特定の [AWS リージョン でのみ](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability)使用できます。Lambda コードスキャンを Lambda 標準スキャンと同時にアクティブ化できます ([[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](#inspector-4) を参照)。

### 修正
<a name="inspector-3-remediation"></a>

Amazon Inspector Lambda コードスキャンを有効にするには、「*Amazon Inspector ユーザーガイド*」の「[スキャンのアクティブ化](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)」を参照してください。

## [Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります
<a name="inspector-4"></a>

**関連する要件:** PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Inspector Lambda 標準スキャンが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで Amazon Inspector Lambda 標準スキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで Lambda 標準スキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 Amazon Inspector 管理者アカウントでのみ検出結果を生成します。委任管理者のみが、組織内のメンバーアカウントの Lambda 標準スキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントからは、この設定を変更できません。このコントロールは、委任管理者に Amazon Inspector Lambda 標準スキャンが有効になっていない停止メンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector Lambda 標準スキャンは、 AWS Lambda 関数コードとレイヤーに追加するアプリケーションパッケージの依存関係のソフトウェアの脆弱性を特定します。Amazon Inspector が Lambda 関数のアプリケーションパッケージの依存関係に脆弱性を検出すると、Amazon Inspector は詳細な `Package Vulnerability` タイプの検出結果を生成します。Lambda コードスキャンを Lambda 標準スキャンと同時にアクティブ化できます ([[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](#inspector-3) を参照)。

### 修正
<a name="inspector-4-remediation"></a>

Amazon Inspector Lambda 標準スキャンを有効にするには、「*Amazon Inspector ユーザーガイド*」の「[スキャンのアクティブ化](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)」を参照してください。

# の Security Hub CSPM コントロール AWS IoT
<a name="iot-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS IoT サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります
<a name="iot-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoT::SecurityProfile`

**AWS Config rule:** `tagged-iot-securityprofile` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS IoT Device Defender セキュリティプロファイルにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。セキュリティプロファイルにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、セキュリティプロファイルにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="iot-1-remediation"></a>

 AWS IoT Device Defender セキュリティプロファイルにタグを追加するには、「 *AWS IoT デベロッパーガイド*[」の「 AWS IoT リソースのタグ付け](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)」を参照してください。

## [IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります
<a name="iot-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoT::MitigationAction`

**AWS Config rule:** `tagged-iot-mitigationaction` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS IoT Core 緩和アクションにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。緩和アクションにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、緩和アクションにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="iot-2-remediation"></a>

 AWS IoT Core 緩和アクションにタグを追加するには、「 *AWS IoT デベロッパーガイド*[」の AWS IoT 「リソースのタグ付け](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)」を参照してください。

## [IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります
<a name="iot-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoT::Dimension`

**AWS Config rule:** `tagged-iot-dimension` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS IoT Core ディメンションにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。ディメンションにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ディメンションにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="iot-3-remediation"></a>

 AWS IoT Core ディメンションにタグを追加するには、「 *AWS IoT デベロッパーガイド*[」の AWS IoT 「リソースのタグ付け](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)」を参照してください。

## [IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります
<a name="iot-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoT::Authorizer`

**AWS Config rule:** `tagged-iot-authorizer` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS IoT Core オーソライザーにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。オーソライザーにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、オーソライザーがキーでタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="iot-4-remediation"></a>

 AWS IoT Core オーソライザーにタグを追加するには、「 *AWS IoT デベロッパーガイド*[」の「 AWS IoT リソースのタグ付け](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)」を参照してください。

## [IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります
<a name="iot-5"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoT::RoleAlias`

**AWS Config ルール:** `tagged-iot-rolealias` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS IoT Core ロールエイリアスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。ロールエイリアスにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ロールエイリアスがキーでタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="iot-5-remediation"></a>

 AWS IoT Core ロールエイリアスにタグを追加するには、「 *AWS IoT デベロッパーガイド*」の[AWS IoT 「リソースのタグ付け](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)」を参照してください。

## [IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります
<a name="iot-6"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoT::Policy`

**AWS Config rule:** `tagged-iot-policy` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS IoT Core ポリシーにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。ポリシーにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ポリシーにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="iot-6-remediation"></a>

 AWS IoT Core ポリシーにタグを追加するには、「 *AWS IoT デベロッパーガイド*[」の「 AWS IoT リソースのタグ付け](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)」を参照してください。

# AWS IoT イベントの Security Hub CSPM コントロール
<a name="iotevents-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS IoT Events サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります
<a name="iotevents-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTEvents::Input`

**AWS Config ルール :** `iotevents-input-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT Events 入力にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。入力にタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、入力にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iotevents-1-remediation"></a>

 AWS IoT Events 入力にタグを追加するには、「 *AWS IoT Events デベロッパーガイド*[」の AWS IoT Events 「リソースのタグ付け](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html)」を参照してください。

## [IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります
<a name="iotevents-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTEvents::DetectorModel`

**AWS Config ルール :** `iotevents-detector-model-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT Events ディテクターモデルにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。ディテクターモデルにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ディテクターモデルがキーでタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iotevents-2-remediation"></a>

 AWS IoT Events ディテクターモデルにタグを追加するには、「 *AWS IoT Events デベロッパーガイド*[」の「 AWS IoT Events リソースのタグ付け](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html)」を参照してください。

## [IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります
<a name="iotevents-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTEvents::AlarmModel`

**AWS Config ルール :** `iotevents-alarm-model-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT Events アラームモデルにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。アラームモデルにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、アラームモデルにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iotevents-3-remediation"></a>

 AWS IoT Events アラームモデルにタグを追加するには、「 *AWS IoT Events デベロッパーガイド*[」の AWS IoT Events 「リソースのタグ付け](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html)」を参照してください。

# AWS IoT SiteWise の Security Hub CSPM コントロール
<a name="iotsitewise-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS IoT SiteWise サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります
<a name="iotsitewise-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTSiteWise::AssetModel`

**AWS Config ルール :** `iotsitewise-asset-model-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT SiteWise アセットモデルにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。アセットモデルにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、アセットモデルにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iotsitewise-1-remediation"></a>

 AWS IoT SiteWise アセットモデルにタグを追加するには、*AWS IoT SiteWise 「 ユーザーガイド*」の[AWS IoT SiteWise 「リソースのタグ付け](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)」を参照してください。

## [IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります
<a name="iotsitewise-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTSiteWise::Dashboard`

**AWS Config ルール :** `iotsitewise-dashboard-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT SiteWise ダッシュボードにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。ダッシュボードにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ダッシュボードにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iotsitewise-2-remediation"></a>

 AWS IoT SiteWise ダッシュボードにタグを追加するには、*AWS IoT SiteWise 「 ユーザーガイド*」の[AWS IoT SiteWise 「リソースのタグ付け](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)」を参照してください。

## [IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります
<a name="iotsitewise-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTSiteWise::Gateway`

**AWS Config ルール :** `iotsitewise-gateway-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT SiteWise ゲートウェイにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。ゲートウェイにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ゲートウェイにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iotsitewise-3-remediation"></a>

 AWS IoT SiteWise ゲートウェイにタグを追加するには、*AWS IoT SiteWise 「 ユーザーガイド*」の[AWS IoT SiteWise 「リソースのタグ付け](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)」を参照してください。

## [IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります
<a name="iotsitewise-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTSiteWise::Portal`

**AWS Config ルール :** `iotsitewise-portal-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT SiteWise ポータルにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。ポータルにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ポータルにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iotsitewise-4-remediation"></a>

 AWS IoT SiteWise ポータルにタグを追加するには、*AWS IoT SiteWise 「 ユーザーガイド*」の[AWS IoT SiteWise 「リソースのタグ付け](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)」を参照してください。

## [IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります
<a name="iotsitewise-5"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTSiteWise::Project`

**AWS Config ルール :** `iotsitewise-project-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT SiteWise プロジェクトにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。プロジェクトにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、プロジェクトにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iotsitewise-5-remediation"></a>

 AWS IoT SiteWise プロジェクトにタグを追加するには、*AWS IoT SiteWise 「 ユーザーガイド*」の[AWS IoT SiteWise 「リソースのタグ付け](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)」を参照してください。

# AWS IoT TwinMaker の Security Hub CSPM コントロール
<a name="iottwinmaker-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS IoT TwinMaker サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります
<a name="iottwinmaker-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTTwinMaker::SyncJob`

**AWS Config ルール :** `iottwinmaker-sync-job-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT TwinMaker 同期ジョブにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。同期ジョブにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、同期ジョブにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iottwinmaker-1-remediation"></a>

 AWS IoT TwinMaker 同期ジョブにタグを追加するには、*AWS IoT TwinMaker 「 ユーザーガイド*[https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)」の「」を参照してください。

## [IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります
<a name="iottwinmaker-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTTwinMaker::Workspace`

**AWS Config ルール :** `iottwinmaker-workspace-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT TwinMaker ワークスペースにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。ワークスペースにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ワークスペースにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iottwinmaker-2-remediation"></a>

 AWS IoT TwinMaker ワークスペースにタグを追加するには、*AWS IoT TwinMaker 「 ユーザーガイド*[https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)」の「」を参照してください。

## [IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります
<a name="iottwinmaker-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTTwinMaker::Scene`

**AWS Config ルール :** `iottwinmaker-scene-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT TwinMaker シーンにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。シーンにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、シーンにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iottwinmaker-3-remediation"></a>

 AWS IoT TwinMaker シーンにタグを追加するには、*AWS IoT TwinMaker 「 ユーザーガイド*[https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)」の「」を参照してください。

## [IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります
<a name="iottwinmaker-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTTwinMaker::Entity`

**AWS Config ルール :** `iottwinmaker-entity-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT TwinMaker エンティティにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。エンティティにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、エンティティにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iottwinmaker-4-remediation"></a>

 AWS IoT TwinMaker エンティティにタグを追加するには、*AWS IoT TwinMaker 「 ユーザーガイド*[https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)」の「」を参照してください。

# AWS IoT Wireless の Security Hub CSPM コントロール
<a name="iotwireless-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS IoT Wireless サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります
<a name="iotwireless-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTWireless::MulticastGroup`

**AWS Config ルール :** `iotwireless-multicast-group-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT Wireless マルチキャストグループにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。マルチキャストグループにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、マルチキャストグループがキーでタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iotwireless-1-remediation"></a>

 AWS IoT Wireless マルチキャストグループにタグを追加するには、「 *AWS IoT Wireless デベロッパーガイド*[」の AWS IoT Wireless 「リソースのタグ付け](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html)」を参照してください。

## [IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります
<a name="iotwireless-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTWireless::ServiceProfile`

**AWS Config ルール :** `iotwireless-service-profile-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT Wireless サービスプロファイルにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。サービスプロファイルにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、サービスプロファイルがキーでタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iotwireless-2-remediation"></a>

 AWS IoT Wireless サービスプロファイルにタグを追加するには、「 *AWS IoT Wireless デベロッパーガイド*[」の「 AWS IoT Wireless リソースのタグ付け](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html)」を参照してください。

## [IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります
<a name="iotwireless-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IoTWireless::FuotaTask`

**AWS Config ルール :** `iotwireless-fuota-task-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS IoT Wireless ファームウェアのover-the-air更新 (FUOTA) タスクに、パラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。FUOTA タスクにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、FUOTA タスクにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="iotwireless-3-remediation"></a>

 AWS IoT Wireless FUOTA タスクにタグを追加するには、「 *AWS IoT Wireless デベロッパーガイド*[」の「 AWS IoT Wireless リソースのタグ付け](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html)」を参照してください。

# Amazon IVS の Security Hub CSPM コントロール
<a name="ivs-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Interactive Video Service (IVS) サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [IVS.1] IVS 再生キーペアにはタグを付ける必要があります
<a name="ivs-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IVS::PlaybackKeyPair`

**AWS Config ルール :** `ivs-playback-key-pair-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、Amazon IVS 再生キーペアにパラメータ `requiredKeyTags` で定義された特定のキーを持つタグがあるかどうかをチェックします。再生キーペアにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、再生キーペアにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="ivs-1-remediation"></a>

IVS 再生キーペアにタグを追加するには、「*Amazon IVS Real-Time Streaming API リファレンス*」の「[https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)」を参照してください。

## [IVS.2] IVS 記録設定にはタグを付ける必要があります
<a name="ivs-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IVS::RecordingConfiguration`

**AWS Config ルール :** `ivs-recording configuration-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、Amazon IVS 録画設定にパラメータ `requiredKeyTags` で定義された特定のキーを持つタグがあるかどうかをチェックします。録画設定にタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、録画設定にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="ivs-2-remediation"></a>

IVS 録画設定にタグを追加するには、「*Amazon IVS Real-Time Streaming API リファレンス*」の「[https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)」を参照してください。

## [IVS.3] IVS チャネルにはタグを付ける必要があります
<a name="ivs-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::IVS::Channel`

**AWS Config ルール :** `ivs-channel-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、Amazon IVS チャネルにパラメータ `requiredKeyTags` で定義された特定のキーを持つタグがあるかどうかをチェックします。チャネルにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、チャネルにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="ivs-3-remediation"></a>

IVS チャネルにタグを追加するには、「*Amazon IVS Real-Time Streaming API リファレンス*」の「[https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)」を参照してください。

# Amazon Keyspaces の Security Hub CSPM コントロール
<a name="keyspaces-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Keyspaces サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります
<a name="keyspaces-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Cassandra::Keyspace`

**AWS Config ルール :** `cassandra-keyspace-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、Amazon Keyspaces キースペースにパラメータ `requiredKeyTags` で定義された特定のキーを持つタグがあるかどうかをチェックします。キースペースにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、キースペースにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="keyspaces-1-remediation"></a>

Amazon Keyspaces キースペースにタグを追加するには、「*Amazon Keyspaces デベロッパーガイド*」の「[Add tags to a keyspace](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html)」を参照してください。

# Kinesis の Security Hub CSPM コントロール
<a name="kinesis-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Kinesis サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります
<a name="kinesis-1"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::Kinesis::Stream`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし 

このコントロールは、Amazon Kinesis Streams が保管中にサーバー側の暗号化を使用して暗号化されているかどうかをチェックします。Amazon Kinesis Streams が、保管中にサーバー側の暗号化を使用して暗号化されていない場合、このコントロールは失敗します。

サーバー側の暗号化は、 AWS KMS keyを使用してデータを保管中になる前に自動的に暗号化する、Amazon Kinesis Data Streams の機能です。データは、Kinesis ストリームストレージレイヤーに書き込まれる前に暗号化され、ストレージから取得された後で復号されます。これにより、Amazon Kinesis Data Streams サービス内に保管中のデータは暗号化されます。

### 修正
<a name="kinesis-1-remediation"></a>

Kinesis Streams でサーバー側の暗号化を有効にする方法については、「*Amazon Kinesis デベロッパーガイド*」の「[How do I get started with server-side encryption?](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html)」を参照してください。

## [Kinesis.2] Kinesis ストリームにはタグを付ける必要があります
<a name="kinesis-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Kinesis::Stream`

**AWS Config rule:** `tagged-kinesis-stream` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon Kinesis データストリームにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。データストリームにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、データストリームにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="kinesis-2-remediation"></a>

Kinesis データストリームにタグを追加するには、「*Amazon Kinesis デベロッパーガイド*」の「[Amazon Kinesis Data Streams でのストリームのタグ付け](https://docs.aws.amazon.com/streams/latest/dev/tagging.html)」を参照してください。

## [Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です
<a name="kinesis-3"></a>

**重要度:** 中

**リソースタイプ :** `AWS::Kinesis::Stream`

**AWS Configルール :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  minimumBackupRetentionPeriod  | データが保持される最小時間数。 | String  | 24～8760  | 168  | 

このコントロールは、Amazon Kinesis データストリームのデータ保持期間が指定された時間枠以上であるかどうかをチェックします。データ保持期間が指定された時間枠未満の場合、コントロールは失敗します。データ保持期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 168 時間を使用します。

Kinesis Data Streams では、データストリームは、データレコードの順序付けられたシーケンスで、リアルタイムで書き込みと読み取りができることが前提となっています。データレコードはシャードに一時的に保存されます。レコードが追加されてからアクセスできなくなるまでの期間は、保持期間と呼ばれます。Kinesis Data Streams は、保持期間が短縮されると、新しい保持期間よりも古いレコードをほぼ即座にアクセス不能にします。たとえば、保持期間を 24 時間から 48 時間に変更すると、23 時間 55 分前にストリームに追加されたレコードは、さらに 24 時間後まで使用できます。

### 修正
<a name="kinesis-3-remediation"></a>

Kinesis Data Streams のバックアップ保持期間を変更するには、「*Amazon Kinesis Data Streams デベロッパーガイド*」の「[データ保持期間の変更](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html)」を参照してください。

# の Security Hub CSPM コントロール AWS KMS
<a name="kms-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Key Management Service (AWS KMS) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください
<a name="kms-1"></a>

**関連する要件:** NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(3)

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::IAM::Policy`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** 
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt` (カスタマイズ不可)
+ `excludePermissionBoundaryPolicy`: `True` (カスタマイズ不可)

IAM カスタマー管理ポリシーのデフォルトバージョンで、プリンシパルがすべてのリソースで復 AWS KMS 号アクションを使用できるようにするかどうかを確認します。ポリシーがすべての KMS キーに対して `kms:Decrypt` または `kms:ReEncryptFrom` のアクションを許可するのに十分にオープンな場合、このコントロールは失敗します。

コントロールはリソース要素の KMS キーのみをチェックし、ポリシーの Condition 要素の条件は考慮しません。このコントロールは、添付済みのカスタマーマネージドポリシーと添付されていないカスタマーマネージドポリシーの両方を評価します。インラインポリシーや AWS 管理ポリシーはチェックされません。

を使用すると AWS KMS、KMS キーを使用できるユーザーを制御し、暗号化されたデータにアクセスできます。IAM ポリシーは、アイデンティティ (ユーザー、グループ、またはロール) がどのリソースに対してどのアクションを実行できるかを定義します。セキュリティのベストプラクティスに従って、 は最小権限を許可することを AWS 推奨しています。つまり、ID に付与するのは `kms:Decrypt` または `kms:ReEncryptFrom` 許可と、タスクの実行に必要なキーのみにする必要があります。そうでない場合、ユーザーはデータに適さないキーを使用する可能性があります。

すべてのキーに対する許可を付与する代わりに、ユーザーが暗号化されたデータにアクセスするために必要な最小限のキーのセットを決定します。次に、ユーザーがそれらのキーのみを使用できるようにするポリシーを設計します。例えば、すべての KMS キーに `kms:Decrypt` 許可を付与しないでください。代わりに、アカウントの特定のリージョン内のキーのみに `kms:Decrypt` を許可します。最小特権のプリンシパルを採用することで、意図しないデータ開示のリスクを減らすことができます。

### 修正
<a name="kms-1-remediation"></a>

IAM カスタマー管理ポリシーを変更するには、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console)」を参照してください。`Resource` フィールドのポリシーを編集する際、復号化アクションを許可する特定の 1 つまたは複数キーの Amazon リソースネーム (ARN) を指定します。

## [KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください
<a name="kms-2"></a>

**関連する要件:** NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(3)

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ: **
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html) 

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt` (カスタマイズ不可)

このコントロールは、IAM ID (ロール、ユーザー、またはグループ) に埋め込まれているインラインポリシーが、すべての AWS KMS KMS キーで復号化および再暗号化アクションを許可しているかどうかをチェックします。ポリシーがすべての KMS キーに対して `kms:Decrypt` または `kms:ReEncryptFrom` のアクションを許可するのに十分にオープンな場合、このコントロールは失敗します。

コントロールはリソース要素の KMS キーのみをチェックし、ポリシーの Condition 要素の条件は考慮しません。

を使用すると AWS KMS、KMS キーを使用できるユーザーを制御し、暗号化されたデータにアクセスできます。IAM ポリシーは、アイデンティティ (ユーザー、グループ、またはロール) がどのリソースに対してどのアクションを実行できるかを定義します。セキュリティのベストプラクティスに従って、 は最小権限を許可することを AWS 推奨しています。つまり、ID には必要な許可のみを、タスクの実行に必要なキーにのみ付与する必要があります。そうでない場合、ユーザーはデータに適さないキーを使用する可能性があります。

すべてのキーに対する許可を付与する代わりに、ユーザーが暗号化されたデータにアクセスするために必要なキーの最小セットを決定します。次に、ユーザーがそれらのキーのみを使用できるようにするポリシーを設計します。例えば、すべての KMS キーに `kms:Decrypt` 許可を付与しないでください。代わりに、アカウントの特定リージョンでの特定のキーにのみ許可を付与してください。最小特権のプリンシパルを採用することで、意図しないデータ開示のリスクを減らすことができます。

### 修正
<a name="kms-2-remediation"></a>

IAM インラインポリシーを変更するには、「*IAM ユーザーガイド*」の「[インラインポリシーの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console)」を参照してください。`Resource` フィールドのポリシーを編集する際、復号化アクションを許可する特定の 1 つまたは複数キーの Amazon リソースネーム (ARN) を指定します。

## [KMS.3] AWS KMS keys を意図せずに削除しないでください
<a name="kms-3"></a>

**関連する要件:** NIST.800-53.r5 SC-12、NIST.800-53.r5 SC-12(2)

**カテゴリ:** 保護 > データ保護 > データ削除保護

**重要度:** 非常事態

**リソースタイプ :** `AWS::KMS::Key`

**AWS Config rule:** `kms-cmk-not-scheduled-for-deletion-2` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、KMS キーの削除がスケジュール済みかどうかをチェックします。KMS キーの削除がスケジュール済みの場合、コントロールは失敗します。

KMS キーは、一度削除すると復元できません。KMS キーで暗号化されたデータも、KMS キーが削除された場合は永久に回復できません。削除予定の KMS キーで、意味のあるデータが暗号化されている場合、意図的に暗号化消去を実行しない限り、データの復号化または新しい KMS キーでデータの再暗号化を検討してください。

KMS キーの削除がスケジュール済みで、誤ってスケジュールされた場合、削除の取り消し時間を確保するために、強制的に待ち時間が適用されます。デフォルトの待機期間は 30 日間ですが、KMS キーの削除がスケジュールされている場合は 7 日以内に短縮できます。待機期間中、スケジュール済みの削除はキャンセルすることができ、KMS キーは削除されません。

KMS キーの削除の詳細については、「AWS Key Management Service 開発者ガイド」の「[KMS キーの削除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)」を参照してください。

### 修正
<a name="kms-3-remediation"></a>

スケジュール済み KMS キーの削除をキャンセルには、「*AWS Key Management Service デベロッパーガイド*」の「[キー削除のスケジュールとキャンセル (コンソール)](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console)」内にある「**キーの削除をキャンセルするには**」を参照してください。

## [KMS.4] AWS KMS キーローテーションを有効にする必要があります
<a name="kms-4"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.6、CIS AWS Foundations Benchmark v3.0.0/3.6、CIS AWS Foundations Benchmark v1.4.0/3.8、CIS AWS Foundations Benchmark v1.2.0/2.8、NIST.800-53.r5 SC-12、NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 SC-28(3)、PCI DSS v3.2.1/3.6.4、PCI DSS v4.0.1/3.7.4

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::KMS::Key`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

AWS KMS では、 に保存されているキーマテリアルであり、KMS キーのキー ID AWS KMS に関連付けられているバッキングキーをローテーションできます。バッキングキーは、暗号化や復号化などの暗号化オペレーションを実行するために使用されます。現在、キーの自動ローテーションでは以前のすべてのバッキングキーが保持されるため、暗号化したデータは透過的に復号化できます。

CIS では、KMS キーのローテーションを有効にすることを推奨しています。新しいキーで暗号化されたデータは、漏洩した可能性がある以前のキーではアクセスできないため、暗号化キーをローテーションすることで、漏洩したキーにより起こる可能性のある被害を減らすことができます。

### 修正
<a name="kms-4-remediation"></a>

KMS キーローテーションを有効にするには、「*AWS Key Management Service デベロッパーガイド*」の「[自動キーローテーションを有効または無効にする方法](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable)」を参照してください。

## [KMS.5] KMS キーはパブリックにアクセスしないでください
<a name="kms-5"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 非常事態

**リソースタイプ :** `AWS::KMS::Key`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロール AWS KMS key は、 がパブリックにアクセス可能かどうかをチェックします。KMS キーがパブリックにアクセス可能な場合、コントロールは失敗します。

最小特権アクセスの実装は、セキュリティリスクおよびエラーの影響や悪意ある行動を減らす上での基礎となります。のキーポリシーで外部アカウントからのアクセス AWS KMS key が許可されている場合、サードパーティーは キーを使用してデータを暗号化および復号化できる場合があります。これにより、 キーを使用する内部または外部の脅威 AWS のサービス が からデータを流出する可能性があります。

**注記**  
このコントロールは、設定で が KMS キーの設定項目 (CI) にキーポリシー AWS Config を記録 AWS KMS key できない場合も、 `FAILED`の結果を返します。 AWS Config が KMS キーの CI にキーポリシーを入力するには、[AWS Config ロール](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole)に [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) API コールを使用してキーポリシーを読み取るためのアクセス権が必要です。このタイプの`FAILED`検出結果を解決するには、 AWS Config ロールが KMS キーのキーポリシーに読み取りアクセスできないようにするポリシーを確認します。たとえば、次のものをチェックします。  
KMS キーのキーポリシー。
アカウント AWS Organizations に適用される [のサービスコントロールポリシー (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) と[リソースコントロールポリシー (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
[AWS Config サービスにリンク](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)された AWS Config ロールを使用していない場合のロールのアクセス許可。
さらに、このコントロールはワイルドカード文字または変数を使用するポリシー条件を評価しません。`PASSED` 検出結果を生成するには、キーポリシーの条件は固定値のみを使用する必要があります。固定値は、ワイルドカード文字やポリシー変数を含まない値です。ポリシー変数に関する詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。

### 修正
<a name="kms-5-remediation"></a>

のキーポリシーの更新については AWS KMS key、「 *AWS Key Management Service デベロッパーガイド*」の「 [のキーポリシー AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview)」を参照してください。

# の Security Hub CSPM コントロール AWS Lambda
<a name="lambda-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Lambda サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります
<a name="lambda-1"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、PCI DSS v4.0.1/7.2.1

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 非常事態

**リソースタイプ :** `AWS::Lambda::Function`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Lambda 関数リソースベースポリシーがアカウントの外部からのパブリックアクセスを禁止しているかどうかをチェックします。パブリックアクセスが許可されている場合、コントロールは失敗します。Lambda 関数が Amazon S3 から呼び出され、ポリシーが `AWS:SourceAccount` などパブリックアクセスを制限する条件が含まれていない場合も、コントロールは失敗します。より細かくアクセスするには、バケットポリシーで他の S3 条件を `AWS:SourceAccount` と併用することをおすすめします。

**注記**  
このコントロールはワイルドカード文字または変数を使用するポリシー条件を評価しません。`PASSED` 検出結果を生成するには、Lambda 関数のポリシーの条件は固定値のみを使用する必要があります。固定値は、ワイルドカード文字やポリシー変数を含まない値です。ポリシー変数に関する詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。

Lambda 関数は、関数コードへの意図しないアクセスを許可する可能性があるため、パブリックからアクセスできない必要があります。

### 修正
<a name="lambda-1-remediation"></a>

この問題を修正するには、関数のリソースベースのポリシーを更新して許可を削除するか、`AWS:SourceAccount` 条件を追加します。リソースベースのポリシーは、Lambda API または からのみ更新できます AWS CLI。

まず、Lambda コンソールで[リソースベースのポリシーを確認](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)します。`"*"` や `{ "AWS": "*" }` など、ポリシーをパブリックにする `Principal` フィールド値を持つポリシーステートメントを特定します。

ポリシーはコンソールから編集できません。関数から許可を削除するには、 AWS CLIから [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html) コマンドを作動します。

```
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
```

`<function-name>` を Lambda 関数の名前で置き換え、`<statement-id>` を削除するステートメントのステートメント ID (`Sid`) に置き換えます。

## [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります
<a name="lambda-2"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/12.3.4

**カテゴリ:** 保護 > セキュアな開発

**重要度:** 中

**リソースタイプ :** `AWS::Lambda::Function`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** 
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (カスタマイズ不可)

このコントロールは、 AWS Lambda 関数のランタイム設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかをチェックします。Lambda 関数でサポートされているランタイムが使用されていない場合、パラメータセクションに記載されているように、コントロールは失敗します。Security Hub CSPM は、パッケージタイプが の関数を無視します`Image`。

Lambda ランタイムは、メンテナンスとセキュリティの更新の対象となる OS、プログラミング言語、およびソフトウェアライブラリの組み合わせを中心に構築されています。ランタイムコンポーネントがセキュリティアップデートでサポート対象外となった場合、Lambda はこのランタイムを非推奨にします。非推奨のランタイムを使用する関数を作成することはできませんが、この関数は呼び出しイベントのプロセスに使用できます。Lambda 関数が最新であり、非推奨のランタイム環境の使用は避けることをお勧めします。サポートされているランタイム識別子のリストについては、「*AWS Lambda デベロッパーガイド*」の「[Lambda ランタイム](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html)」を参照してください。

### 修正
<a name="lambda-2-remediation"></a>

サポートされているランタイムおよび非推奨スケジュールの詳細については、「*AWS Lambda デベロッパーガイド*」の「[ランタイムの非推奨化に関するポリシー](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html)」を参照してください。ランタイムを最新バージョンに移行するときは、言語の発行元からの構文とガイダンスに従ってください。ランタイムバージョンの非互換性というまれな状況で、ワークロードに影響が及ぶリスクを軽減するために、[ランタイム更新](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls)を適用することをお勧めします。

## [Lambda.3] Lambda 関数は VPC 内に存在する必要があります
<a name="lambda-3"></a>

**関連する要件:** PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 低

**リソースタイプ :** `AWS::Lambda::Function`

**AWS Config ルール: ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Lambda 関数が 仮想プライベートクラウド (VPC) にデプロイされているかどうかをチェックします。Lambda 関数が VPC にデプロイされていない場合、コントロールは失敗します。Security Hub CSPM は、パブリック到達可能性を判断するために VPC サブネットルーティング設定を評価しません。Lambda@Edge リソースに関する失敗の結果が表示される場合があります。

VPC にリソースをデプロイすると、ネットワーク設定のセキュリティとコントロールが強化されます。このようなデプロイでは、複数のアベイラビリティーゾーンにわたってスケーラビリティと高い耐障害性も提供されます。VPC デプロイをカスタマイズして、さまざまなアプリケーション要件を満たすことができます。

### 修正
<a name="lambda-3-remediation"></a>

VPC のプライベートサブネットに接続する既存の機能を設定するには、「*AWS Lambda デベロッパーガイド*」の「[VPC アクセスの設定](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring)」を参照してください。可用性を高めるためにプライベートサブネットを少なくとも 2 つ選択し、機能の接続要件を満たすセキュリティグループを少なくとも 1 つ選択することをお勧めします。

## [Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります
<a name="lambda-5"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::Lambda::Function`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `availabilityZones`  |  アベイラビリティーゾーンの最小数  |  列挙型  |  `2, 3, 4, 5, 6`  |  `2`  | 

このコントロールは、仮想プライベートクラウド (VPC) に接続する AWS Lambda 関数が、少なくとも指定された数のアベイラビリティーゾーン (AZs) で動作するかどうかを確認します。少なくとも指定された数の AZ で関数が動作していない場合、コントロールは失敗します。AZs の最小数にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 2 つの AZs を使用します。

複数の AZs にリソースをデプロイすることは、アーキテクチャ内で高可用性を確保するための AWS ベストプラクティスです。可用性は、機密性、完全性、可用性から成り立つセキュリティモデルの 3 要素における中心的な柱です。VPC に接続するすべての Lambda 関数には、1 つのゾーンで障害が発生しても運用が完全に中断されないように、マルチ AZ 配置がある必要があります。

### 修正
<a name="lambda-5-remediation"></a>

お客様のアカウントで VPC に接続するように関数を設定する場合は、複数のアベイラビリティーゾーン (AZ) でサブネットを指定することで、高可用性を確保します。手順については、「*AWS Lambda デベロッパーガイド*」の「[VPC アクセスの設定](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring)」を参照してください。

Lambda は、複数のアベイラビリティーゾーン (AZ) で他の関数を自動的に実行し、1 つのゾーンでサービスの中断が発生した場合にも、関数をイベントの処理に使用できることを保証します。

## [Lambda.6] Lambda 関数にはタグを付ける必要があります
<a name="lambda-6"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Lambda::Function`

**AWS Config rule:** `tagged-lambda-function` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS Lambda 関数にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。関数にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、関数にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「*AWS 全般のリファレンス*」の「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。

### 修正
<a name="lambda-6-remediation"></a>

Lambda 関数にタグを追加するには、「*AWS Lambda デベロッパーガイド*」の「[Lambda 関数でのタグの使用](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html)」を参照してください。

## [Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります
<a name="lambda-7"></a>

**関連する要件:** NIST.800-53.r5 CA-7

**カテゴリ:** 識別 > ログ記録

**重要度:** 低

**リソースタイプ :** `AWS::Lambda::Function`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロール AWS X-Ray は、 関数で を使用したアクティブトレースが有効になっている AWS Lambda かどうかを確認します。Lambda 関数で X-Ray によるアクティブトレースが無効になっている場合、コントロールは失敗します。

AWS X-Ray は AWS Lambda 関数のトレースとモニタリング機能を提供し、Lambda 関数のデバッグと運用にかかる時間と労力を節約できます。Lambda 関数のレイテンシーを分類することで、エラーを診断し、パフォーマンスのボトルネック、速度低下、タイムアウトを特定するのに役立ちます。また、データのプライバシーとコンプライアンスの要件にも役立ちます。Lambda 関数のアクティブトレースを有効にすると、X-Ray が Lambda 関数内のデータフローと処理の全体像を提供するため、潜在的なセキュリティ脆弱性や非準拠のデータ処理プラクティスを特定するのに役立ちます。この可視性は、データ整合性、機密性、関連する規制へのコンプライアンスを維持するのに役立ちます。

**注記**  
AWS X-Ray 現在、トレースは、Amazon Managed Streaming for Apache Kafka (Amazon MSK)、セルフマネージド Apache Kafka、ActiveMQ および RabbitMQ を使用した Amazon MQ、または Amazon DocumentDB イベントソースマッピングを使用する Lambda 関数ではサポートされていません。

### 修正
<a name="lambda-7-remediation"></a>

 AWS Lambda 関数のアクティブトレースを有効にする方法については、 *AWS Lambda デベロッパーガイド*の「 [を使用して Lambda 関数の呼び出しを視覚化する AWS X-Ray](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html)」を参照してください。

# Macie の Security Hub CSPM コントロール
<a name="macie-controls"></a>

これらの AWS Security Hub CSPM コントロールは Amazon Macie サービスを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Macie.1] Amazon Macie を有効にする必要があります
<a name="macie-1"></a>

**関連する要件:** NIST.800-53.r5 CA-7、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 RA-5、NIST.800-53.r5 SA-8(19)、NIST.800-53.r5 SI-4

**カテゴリ:** 検出 > 検出サービス

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)

**スケジュールタイプ:** 定期的

このコントロールは、アカウントで Amazon Macie が有効になっているかどうかをチェックします。アカウントに対して Macie が有効になっていない場合、コントロールは失敗します。

Amazon Macie は、機械学習とパターンマッチングを使用して機密データを検出し、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にします。Macie は、Amazon Simple Storage Service (Amazon S3) バケットのセキュリティとアクセスコントロールを自動的かつ継続的に評価し、検出結果を生成して、Amazon S3 データのセキュリティまたはプライバシーに関する潜在的な問題について通知します。また、Macie は、Amazon S3 に保存している個人を特定できる情報 (PII) などの機密データを詳細に把握できるよう、そのようなデータの検出とレポートを自動化します。詳細については、「[https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html)」を参照してください。

### 修正
<a name="macie-1-remediation"></a>

Macie を有効にするには、「*Amazon Macie ユーザーガイド*」の「[Macie を有効化する](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie)」を参照してください。

## [Macie.2] Macie 機密データ自動検出を有効にする必要があります
<a name="macie-2"></a>

**関連する要件:** NIST.800-53.r5 CA-7、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 RA-5、NIST.800-53.r5 SA-8(19)、NIST.800-53.r5 SI-4

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)

**スケジュールタイプ:** 定期的

このコントロールは、Amazon Macie 管理者アカウントに対して機密データ自動検出が有効になっているかどうかを確認します。Macie 管理者アカウントに対して機密データ自動検出が有効になっていない場合、コントロールは失敗します。このコントロールは管理者アカウントにのみ適用されます。

Macie は、Amazon Simple Storage Service (Amazon S3) バケット内の個人を特定できる情報 (PII) などの機密データの検出と報告を自動化します。機密データ自動検出により、Macie はバケットインベントリを継続的に評価し、サンプリング技術を使用してバケットから代表的な S3 オブジェクトを識別して選択します。その後、Macie は選択したオブジェクトを分析し、機密データがないか検査します。分析が進むにつれて、Macie は S3 データについて提供する統計、インベントリデータ、およびその他の情報を更新します。Macie は検出結果を生成して、検出した機密データを報告します。

### 修正
<a name="macie-2-remediation"></a>

S3 バケット内のオブジェクトを分析するための自動機密データ検出ジョブを作成して設定するには、「*Amazon Macie ユーザーガイド*」の「[アカウントの自動機密データ検出の設定](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html)」を参照してください。

# Amazon MSK の Security Hub CSPM コントロール
<a name="msk-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Managed Streaming for Apache Kafka (Amazon MSK) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります
<a name="msk-1"></a>

**関連する要件:** NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::MSK::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは Amazon MSK クラスターが、クラスターのブローカーノードで HTTPS (TLS) で転送中のデータを暗号化しているかどうかを確認します。クラスターブローカーノード接続でプレーンテキスト通信が有効になっていると、コントロールは失敗します。

HTTPS ではデータの移動に TLS を使用する追加のセキュリティレイヤーが提供されており、これをすると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。デフォルトでは、Amazon MSK は転送中のデータを TLS で暗号化します。ただし、このデフォルトはクラスターの作成時に上書きできます。ブローカーノード接続には、HTTPS (TLS) 経由の暗号化接続を使用することをお勧めします。

### 修正
<a name="msk-1-remediation"></a>

Amazon MSK クラスターの暗号化設定を更新する方法については、「*Amazon Managed Streaming for Apache Kafka デベロッパーガイド*」の「[Updating security settings of a cluster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html)」を参照してください。

## [MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります
<a name="msk-2"></a>

**関連する要件:** NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

**カテゴリ:** 検出 > 検出サービス

**重要度:** 低

**リソースタイプ :** `AWS::MSK::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon MSK クラスターに、少なくとも `PER_TOPIC_PER_BROKER` のモニタリングレベルで指定された拡張モニタリングが設定されているかどうかをチェックします。クラスターのモニタリングレベルが `DEFAULT` または `PER_BROKER` に設定されている場合、コントロールは失敗します。

`PER_TOPIC_PER_BROKER` モニタリングレベルでは、MSK クラスターのパフォーマンスをより詳細に把握できる他、CPU やメモリ使用量などのリソース使用率に関連するメトリクスも表示されます。これにより、個々のトピックおよびブローカーのパフォーマンスボトルネックやリソース使用パターンを特定できるようになります。この可視性により、Kafka ブローカーのパフォーマンスを最適化できます。

### 修正
<a name="msk-2-remediation"></a>

MSK クラスターの拡張モニタリングを設定するには、以下の手順を実行します。

1. [https://console.aws.amazon.com/msk/home?region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/) で Amazon MSK コンソールを開きます。

1. ナビゲーションペインで **[Clusters]** (クラスター) を選択してください。次に、クラスターを選択します。

1. **[アクション]** で **[モニタリングを編集]** を選択します。

1. **[拡張トピックレベルモニタリング]** のオプションを選択します。

1. **[Save changes]** (変更の保存) をクリックします。

モニタリングレベルの詳細については、「*Amazon Managed Streaming for Apache Kafka デベロッパーガイド*」の「[Amazon MSK metrics for monitoring Standard brokers with CloudWatch](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html)」を参照してください。

## [MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります
<a name="msk-3"></a>

**関連する要件:** PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::KafkaConnect::Connector`

**AWS Config rule:** `msk-connect-connector-encrypted` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon MSK Connect コネクタが転送中の暗号化されているかどうかを確認します。コネクタが転送中に暗号化されていない場合、このコントロールは失敗します。

転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

### 修正
<a name="msk-3-remediation"></a>

MSK Connect コネクタを作成するときに、転送中の暗号化を有効にすることができます。コネクタを作成した後で暗号化設定を変更することはできません。詳細については、「*Amazon Managed Streaming for Apache Kafka デベロッパーガイド*」の「[コネクタの作成](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html)」を参照してください。

## [MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります
<a name="msk-4"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

**重要度:** 非常事態

**リソースタイプ :** `AWS::MSK::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon MSK クラスターでパブリックアクセスが無効になっているかどうかをチェックします。MSK クラスターでパブリックアクセスが有効になっている場合、コントロールは失敗します。

デフォルトでは、クライアントは、クラスターと同じ VPC 内にある場合にのみ Amazon MSK クラスターにアクセスできます。Kafka クライアントと MSK クラスター間のすべての通信はデフォルトでプライベートであり、ストリーミングデータがインターネットを経由することはありません。ただし、MSK クラスターがパブリックアクセスを許可するように設定されている場合、インターネット上の誰でも、クラスター内で実行されている Apache Kafka ブローカーへの接続を確立できます。そのため、不正アクセス、データ侵害、または脆弱性の悪用などの問題につながる可能性があります。認証と認可の手段を要求してクラスターへのアクセスを制限すると、機密情報を保護し、リソースの整合性を維持できます。

### 修正
<a name="msk-4-remediation"></a>

Amazon MSK クラスターへのパブリックアクセスの管理については、「*Amazon Managed Streaming for Apache Kafka デベロッパーガイド*」の「[Turn on public access to an MSK Provisioned cluster](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html)」を参照してください。

## [MSK.5] MSK コネクタではログ記録が有効になっている必要があります
<a name="msk-5"></a>

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::KafkaConnect::Connector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon MSK コネクタでログ記録が有効になっているかどうかをチェックします。MSK コネクタでログ記録が無効になっていると、コントロールは失敗します。

Amazon MSK コネクタは、ストリーミングデータをデータソースから Apache Kafka クラスターに継続的にコピーするか、クラスターからデータシンクにデータを継続的にコピーすることにより、外部システムと Amazon サービスを Apache Kafka と統合します。MSK Connect は、コネクタのデバッグに役立つログイベントを書き込むことができます。コネクタを作成するときに、ログの送信先を、Amazon CloudWatch Logs、Amazon S3、Amazon Data Firehose の中から 0 個以上指定できます。

**注記**  
プラグインで機密設定値をシークレットとして定義していない場合、機密設定値がコネクタログに表示される可能性があります。Kafka Connect は、未定義の設定値を他のプレーンテキスト値と同じように扱います。

### 修正
<a name="msk-5-remediation"></a>

既存の Amazon MSK コネクタのログ記録を有効にするには、適切なログ記録設定を指定してコネクタを再作成する必要があります。詳細については、「*Amazon Managed Streaming for Apache Kafka デベロッパーガイド*」の「[Logging for MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html)」を参照してください。

## [MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります
<a name="msk-6"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理 > パスワードレス認証

**重要度:** 中

**リソースタイプ :** `AWS::MSK::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon MSK クラスターで非認証アクセスが有効になっているかどうかをチェックします。MSK クラスターで非認証アクセスが有効になっている場合、コントロールは失敗します。

Amazon MSK は、クラスターへのアクセスを制御するクライアント認証および認可メカニズムをサポートしています。これらのメカニズムは、クラスターに接続するクライアントの ID を検証し、クライアントが実行できるアクションを特定します。MSK クラスターは、非認証アクセスを許可するように設定できます。これにより、ネットワーク接続を持つすべてのクライアントは、認証情報を指定せずに Kafka トピックを発行およびサブスクライブできます。認証を必要とせずに MSK クラスターを実行すると、最小特権の原則に違反し、クラスターが不正アクセスにさらされる可能性があります。それによって、すべてのクライアントが Kafka トピックのデータにアクセスして、変更、削除できるため、データ侵害、不正なデータ変更、またはサービスの中断につながる可能性があります。適切なアクセスコントロールを確保し、セキュリティコンプライアンスを維持するために、IAM 認証、SASL/SCRAM、相互 TLS などの認証メカニズムを有効にすることをお勧めします。

### 修正
<a name="msk-6-remediation"></a>

Amazon MSK クラスターの認証設定を変更する方法については、「*Amazon Managed Streaming for Apache Kafka デベロッパーガイド*」の「[Update security settings of an Amazon MSK cluster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html)」と「[Authentication and authorization for Apache Kafka APIs](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html)」のセクションを参照してください。

# Amazon MQ の Security Hub CSPM コントロール
<a name="mq-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon MQ サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります
<a name="mq-2"></a>

**関連する要件:** NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-12、NIST.800-53.r5 SI-4、PCI DSS v4.0.1/10.3.3

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::AmazonMQ::Broker`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon MQ ActiveMQ ブローカーが監査ログを Amazon CloudWatch Logs にストリーミングするかどうかをチェックします。ブローカーが監査ログを CloudWatch Logs にストリーミングしていない場合、コントロールは失敗します。

ActiveMQ ブローカーログを CloudWatch Logs に発行することで、セキュリティ関連情報の可視性を高める CloudWatch アラームとメトリクスを作成できます。

### 修正
<a name="mq-2-remediation"></a>

ActiveMQ ブローカーログを CloudWatch Logs にストリーミングするには、「*Amazon MQ デベロッパーガイド*」の「[Amazon MQ for ActiveMQ ログの設定](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html)」を参照してください。

## [MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります
<a name="mq-3"></a>

**重要**  
Security Hub CSPM は、2026 年 1 月にこのコントロールを廃止しました。詳細については、「[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)」を参照してください。

**関連する要件:** NIST.800-53.r5 CM-3、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/6.3.3

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 中

**リソースタイプ :** `AWS::AmazonMQ::Broker`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon MQ ブローカーの自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。ブローカーの自動マイナーバージョンアップグレードが有効になっていない場合、コントロールは失敗します。

Amazon MQ が新しいブローカーエンジンバージョンをリリースしてサポートしているため、変更は既存のアプリケーションと下位互換性があり、既存の機能を非推奨にすることはありません。自動ブローカーエンジンバージョン更新は、セキュリティリスクから保護し、バグを修正し、機能を改善します。

**注記**  
自動マイナーバージョンアップグレードに関連付けられたブローカーが最新のパッチにあり、サポートされない場合は、アップグレードのために手動アクションを実行する必要があります。

### 修正
<a name="mq-3-remediation"></a>

MQ ブローカーの自動マイナーバージョンアップグレードを有効にするには、「*Amazon MQ デベロッパーガイド*」の「[マイナーエンジンバージョンの自動アップグレード](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html)」を参照してください。

## [MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります
<a name="mq-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::AmazonMQ::Broker`

**AWS Config rule:** `tagged-amazonmq-broker` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon MQ ブローカーにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。ブローカーにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ブローカーがキーでタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="mq-4-remediation"></a>

Amazon MQ ブローカーにタグを追加するには、「*Amazon MQ デベロッパーガイド*」の「[リソースのタグ付け](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html)」を参照してください。

## [MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります
<a name="mq-5"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 低

**リソースタイプ :** `AWS::AmazonMQ::Broker`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon MQ ActiveMQ ブローカーのデプロイモードがアクティブ/スタンバイに設定されているかどうかを確認します。単一インスタンスブローカー (デフォルトで有効) がデプロイモードに設定されている場合、コントロールは失敗します。

アクティブ/スタンバイデプロイにより、 AWS リージョン内の Amazon MQ ActiveMQ ブローカーの可用性が高くなります。アクティブ/スタンバイのデプロイモードには、2 つの異なるアベイラビリティーゾーンの 2 つのブローカーインスタンスが冗長ペアとして設定されています。これらのブローカーはアプリケーションと同期して通信するため、障害発生時のダウンタイムやデータ損失を減らすことができます。

### 修正
<a name="mq-5-remediation"></a>

アクティブ/スタンバイデプロイモードで新しい ActiveMQ ブローカーを作成するには、「**Amazon MQ デベロッパーガイド」の「[ActiveMQ ブローカーの作成と設定](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html)」を参照してください。**[デプロイモード]** で、**[アクティブ/スタンバイブローカー]** を選択します。既存のブローカーのデプロイモードは変更できません。代わりに、新しいブローカーを作成し、古いブローカーから設定をコピーする必要があります。

## [MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。
<a name="mq-6"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 低

**リソースタイプ :** `AWS::AmazonMQ::Broker`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon MQ RabbitMQ ブローカーのデプロイモードがクラスターデプロイに設定されているかどうかを確認します。単一インスタンスブローカー (デフォルトで有効) がデプロイモードに設定されている場合、コントロールは失敗します。

クラスターデプロイにより、 AWS リージョン内の Amazon MQ RabbitMQ ブローカーの可用性が高くなります。クラスターデプロイは、3 つの RabbitMQ ブローカーノードを論理的にグループ化したもので、それぞれに独自の Amazon Elastic Block Store (Amazon EBS) ボリュームと 1 つの共有状態があります。クラスターデプロイは、データがクラスター内の全ノードに確実に複製され、障害発生時のダウンタイムとデータ損失が減少するようにします。

### 修正
<a name="mq-6-remediation"></a>

クラスターデプロイモードで新しい RabbitMQ ブローカーを作成するには、「**Amazon MQ デベロッパーガイド」の「[RabbitMQ ブローカーの作成と接続](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html)」を参照してください。**[デプロイモード]** で、**[クラスターデプロイ]** を選択します。既存のブローカーのデプロイモードは変更できません。代わりに、新しいブローカーを作成し、古いブローカーから設定をコピーする必要があります。

# Neptune の Security Hub CSPM コントロール
<a name="neptune-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Neptune サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります
<a name="neptune-1"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Neptune DB クラスターが保管中に暗号化されているかどうかをチェックします。Neptune DB クラスターが保管中に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。暗号化は、このようなデータの機密性を保護し、権限のないユーザーがデータにアクセスするリスクを低減するのに役立ちます。Neptune DB クラスターを暗号化することで、データとメタデータを不正アクセスから保護します。また、本番稼働用ファイルシステムにおける保管中のデータの暗号化に関するコンプライアンス要件も満たします。

### 修正
<a name="neptune-1-remediation"></a>

Neptune DB クラスターを作成するときに、保管中の暗号化を有効にできます。クラスターを作成した後で暗号化設定を変更することはできません。詳細については、「*Neptune ユーザーガイド*」の「[Encrypting Neptune resources at rest](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html)」を参照してください。

## [Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります
<a name="neptune-2"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 AU-7(1)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-4(5)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.3.3

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Neptune DB クラスターが監査ログを Amazon CloudWatch Logs に発行しているかどうかをチェックします。Neptune DB クラスターが監査ログを CloudWatch Logs に発行しない場合、コントロールは失敗します。`EnableCloudWatchLogsExport` は `Audit` に設定する必要があります。

Amazon Neptune と Amazon CloudWatch が統合され、パフォーマンスメトリクスを収集して分析できるようになりました。Neptune はメトリクスを自動的に CloudWatch に送信し、CloudWatch アラームもサポートしています。監査ログは高度なカスタマイズが可能です。データベースを監査すると、データに対する各操作をモニタリングし、どのデータベースクラスターがどのようにアクセスされたかに関する情報などを監査証跡に記録できます。Neptune DB クラスターのモニタリングに役立てるため、これらのログを CloudWatch に送信することをお勧めします。

### 修正
<a name="neptune-2-remediation"></a>

Neptune の監査ログを CloudWatch Logs に発行するには、「*Neptune ユーザーガイド*」の「[Amazon CloudWatch Logs への Neptune ログの発行](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html)」を参照してください。**[Log exports]** セクションで、**[Audit]** を選択します。

## [Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください
<a name="neptune-3"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 非常事態

**リソースタイプ :** `AWS::RDS::DBClusterSnapshot`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Neptune の手動 DB クラスタースナップショットがパブリックかどうかをチェックします。Neptune の手動 DB クラスタースナップショットがパブリックの場合、コントロールは失敗します。

Neptune DB クラスターの手動スナップショットは、意図しない限りパブリックにしないでください。暗号化されていない手動スナップショットをパブリックとして共有すると、すべての AWS アカウントでこのスナップショットを使用できるようになります。パブリックスナップショットは、意図しないデータ漏えいにつながる可能性があります。

### 修正
<a name="neptune-3-remediation"></a>

Neptune の手動 DB クラスタースナップショットからパブリックアクセスを削除するには、「*Neptune ユーザーガイド*」の「[DB クラスターのスナップショットの共有](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html)」を参照してください。

## [Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります
<a name="neptune-4"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**カテゴリ:** 保護 > データ保護 > データ削除保護

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Neptune DB クラスターの削除保護が有効になっているかどうかをチェックします。Neptune DB クラスターで削除保護が有効になっていない場合、コントロールは失敗します。

クラスターの削除保護を有効にすることで、偶発的なデータベース削除や権限のないユーザーによる削除に対して保護の強化を提供します。削除保護が有効の間、Neptune DB クラスターは削除できません。削除リクエストを成功させるには、まず削除保護を無効にする必要があります。

### 修正
<a name="neptune-4-remediation"></a>

既存の Neptune DB クラスターの削除保護を有効にするには、「*Amazon Aurora ユーザーガイド*」の「[コンソール、CLI、API を使用した DB クラスターの変更](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings)」を参照してください。

## [Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります
<a name="neptune-5"></a>

**関連する要件:** NIST.800-53.r5 SI-12

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html) 

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  最小バックアップ保持期間 (日数)  |  整数  |  `7`～`35`  |  `7`  | 

このコントロールは、Neptune DB クラスターで自動バックアップが有効になっているかどうか、およびバックアップ保持期間が指定された時間枠以上であるかどうかをチェックします。Neptune DB クラスターのバックアップが有効になっていない場合や、保持期間が指定された時間枠未満の場合、コントロールは失敗します。バックアップ保持期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 7 日を使用します。

バックアップは、セキュリティインシデントからの迅速な復元と、システムの耐障害性の強化に役立ちます。Neptune DB クラスターのバックアップを自動化すると、システムを特定の時点に復元し、ダウンタイムとデータ損失を最小限に抑えることができます。

### 修正
<a name="neptune-5-remediation"></a>

Neptune DB クラスターの自動バックアップを有効にしてバックアップ保持期間を設定するには、「*Amazon RDS ユーザーガイド*」の「[自動バックアップの有効化](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling)」を参照してください。**[バックアップ保持期間]** で 7 以上の値を選択します。

## [Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります
<a name="neptune-6"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(18)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBClusterSnapshot`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Neptune DB クラスタースナップショットが保管中に暗号化されているかどうかをチェックします。Neptune DB クラスターが保管中に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。暗号化は、このようなデータの機密性を保護し、権限のないユーザーがデータにアクセスするリスクを低減するのに役立ちます。Neptune DB クラスタースナップショット内のデータは、セキュリティを強化するために、保管中に暗号化する必要があります。

### 修正
<a name="neptune-6-remediation"></a>

既存の Neptune DB クラスタースナップショットは暗号化できません。代わりに、スナップショットを新しい DB クラスターに復元し、このクラスターで暗号化を有効にする必要があります。これで、暗号化されたクラスターから、暗号化されたスナップショットを作成できます。手順については、「*Neptune ユーザーガイド*」の「[DB クラスターのスナップショットからの復元](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html)」と「[Neptune での DB クラスタースナップショットの作成](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html)」を参照してください。

## [Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります
<a name="neptune-7"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

**カテゴリ:** 保護 > セキュアなアクセス管理 > パスワードレス認証

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Neptune DB クラスターで IAM データベース認証が有効になっているかどうかをチェックします。Neptune DB クラスターで IAM データベース認証が有効になっていない場合、コントロールは失敗します。

Amazon Neptune データベースクラスターの IAM データベース認証では、認証は IAM を使用して外部で管理されるため、ユーザー認証情報をデータベース設定内に保存する必要がなくなります。IAM データベース認証が有効になっている場合は、 AWS 署名バージョン 4 を使用して各リクエストに署名する必要があります。

### 修正
<a name="neptune-7-remediation"></a>

デフォルトでは、Neptune DB クラスターの作成時、IAM データベース認証は無効になっています。有効にするには、「*Neptune ユーザーガイド*」の「[Neptune で IAM データベース認証を有効にする](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html)」を参照してください。

## [Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
<a name="neptune-8"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、スナップショットの作成時に、すべてのタグをスナップショットにコピーするように Neptune DB クラスターが設定されているかどうかをチェックします。Neptune DB クラスターがタグをスナップショットにコピーするように設定されていない場合、コントロールは失敗します。

IT アセットの身分証明書とインベントリはガバナンスとセキュリティの重要な側面です。スナップショットは、親 Amazon RDS データベースクラスターと同じ方法でタグ付けする必要があります。タグをコピーすると、DB スナップショットと親データベースクラスターのメタデータが確実に一致し、また、DB スナップショットと親 DB インスタンスのアクセスポリシーが確実に一致するようになります。

### 修正
<a name="neptune-8-remediation"></a>

Neptune DB クラスターのスナップショットにタグをコピーするには、「*Neptune ユーザーガイド*」の「[Neptune でタグをコピーする](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview)」を参照してください。

## [Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります
<a name="neptune-9"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html) 

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Neptune DB クラスターで、複数のアベイラビリティーゾーン (AZ) にリードレプリカインスタンスがあるかどうかをチェックします。クラスターが 1 つの AZ にのみデプロイされている場合、コントロールは失敗します。

AZ が使用できなくなった場合や、定期的なメンテナンスイベントでは、リードレプリカがプライマリインスタンスのフェイルオーバーターゲットとして機能します。つまり、プライマリインスタンスが失敗した場合、Neptune はリードレプリカをプライマリインスタンスに昇格します。対照的に、DB クラスターにリードレプリカインスタンスが含まれていない場合、プライマリインスタンスが再作成されるまで障害が発生しても、DB クラスターは使用できないままになります。プライマリインスタンスの再作成は、リードレプリカの昇格よりもかなり時間がかかります。高可用性を確保するために、プライマリインスタンスと同じ DB インスタンスクラスを持ち、プライマリインスタンスとは異なる AZ に配置する 1 つ以上のリードレプリカインスタンスを作成することをお勧めします。

### 修正
<a name="neptune-9-remediation"></a>

Neptune DB クラスターを複数の AZ にデプロイするには、「*Neptune ユーザーガイド*」の「[Neptune DB クラスター内のリードレプリカ DB インスタンス](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas)」を参照してください。

# の Security Hub CSPM コントロール AWS Network Firewall
<a name="networkfirewall-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Network Firewall サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります
<a name="networkfirewall-1"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::NetworkFirewall::Firewall`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 で管理されるファイアウォール AWS Network Firewall が複数のアベイラビリティーゾーン (AZs) にデプロイされているかどうかを評価します。ファイアウォールが 1 つの AZ にのみデプロイされている場合、コントロールは失敗します。

AWS グローバルインフラストラクチャには複数の が含まれています AWS リージョン。AZ は、低レイテンシー、高スループット、高冗長性のネットワークで接続されている、各リージョン内の物理的に独立し隔離されたロケーションです。Network Firewall ファイアウォールを複数の AZ にデプロイすることで、AZ 間でトラフィックを分散およびシフトできるため、可用性の高いソリューションを設計できるようになります。

### 修正
<a name="networkfirewall-1-remediation"></a>

**Network Firewall ファイアウォールを複数の AZ にデプロイする**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、**[ネットワークファイアウォール]** の下にある **[ファイアウォール]** を選択します。

1. **[ファイアウォール]** ページで、編集するファイアウォールを選択します。

1. ファイアウォールの詳細ページで、**[ファイアウォールの詳細]** タブを選択します。

1. **[関連付けられたポリシーと VPC]** セクションで、**[編集]** を選択します。

1. 新しい AZ を追加するには、**[新しいサブネットを追加]** を選択します。使用する AZ とサブネットを選択します。少なくとも 2 つの AZ を選択するようにします。

1. **[保存]** を選択します。

## [NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります
<a name="networkfirewall-2"></a>

**関連する要件:** NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、NIST.800-171.r2 3.1.20、NIST.800-171.r2 3.13.1

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::NetworkFirewall::LoggingConfiguration`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 AWS Network Firewall ファイアウォールでログ記録が有効になっているかどうかをチェックします。少なくとも 1 つのログタイプでログ記録が有効になっていない場合、またはログ記録先が存在しない場合、コントロールは失敗します。

ログ記録はファイアウォールの信頼性、可用性、パフォーマンスの維持に有益です。Network Firewall でログを記録すると、ステートフルエンジンがパケットフローを受信した時間、パケットフローに関する詳細情報、パケットフローに対して実行されたステートフルルールアクションなど、ネットワークトラフィックに関する詳細情報が得られます。

### 修正
<a name="networkfirewall-2-remediation"></a>

ファイアウォールのログ記録を有効にするには、「*AWS Network Firewall デベロッパーガイド*」の「[Updating a firewall's logging configuration](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html)」を参照してください。

## [Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります
<a name="networkfirewall-3"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.13.1

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Network Firewall ポリシーに、ステートフルなルールグループかステートレスなルールグループのいずれかが関連付けられているかどうかをチェックします。ステートレスまたはステートフルなルールグループが割り当てられていない場合、このコントロールは失敗します。

ファイアウォールポリシーは、ファイアウォールが Amazon Virtual Private Cloud (Amazon VPC) のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループの設定は、パケットとトラフィックフローのフィルタリングに役立ち、デフォルトのトラフィック処理を定義します。

### 修正
<a name="networkfirewall-3-remediation"></a>

Network Firewall ポリシーにルールグループを追加する方法については、「*AWS Network Firewall デベロッパーガイド*」の「[Updating a firewall policy](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)」を参照してください。ルールグループの作成および管理方法については、「[AWS Network Firewallのルールグループ](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html)」を参照してください。

## [NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。
<a name="networkfirewall-4"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe` (カスタマイズ不可)

このコントロールは、Network Firewall ポリシーの完全なパケットに対するデフォルトのステートレスアクションが、ドロップまたは転送かどうかをチェックします。`Drop` または `Forward` が選択されている場合、コントロールはパスします。`Pass` が選択されている場合、このコントロールは失敗します。

ファイアウォールポリシーは、ファイアウォールが Amazon VPC のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定し、パケットとトラフィックフローをフィルタリングします。`Pass` をデフォルトに設定すると、意図しないトラフィックが許可される可能性があります。

### 修正
<a name="networkfirewall-4-remediation"></a>

ファイアウォールポリシーを変更する方法については、「*AWS Network Firewall デベロッパーガイド*」の「[Updating a firewall policy](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)」を参照してください。**[ステートレスデフォルトアクション]** で、**[編集]** を選択します。続いて、**[アクション]** として、**[ドロップ]** または **[ステートフルルールグループに転送]** を選択します。

## [NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。
<a name="networkfirewall-5"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.1.14、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.13.6

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe` (カスタマイズ不可)

このコントロールは、Network Firewall ポリシーの断片化されたパケットに対するデフォルトのステートレスアクションが、ドロップまたは転送かどうかをチェックします。`Drop` または `Forward` が選択されている場合、コントロールはパスします。`Pass` が選択されている場合、このコントロールは失敗します。

ファイアウォールポリシーは、ファイアウォールが Amazon VPC のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定し、パケットとトラフィックフローをフィルタリングします。`Pass` をデフォルトに設定すると、意図しないトラフィックが許可される可能性があります。

### 修正
<a name="networkfirewall-5-remediation"></a>

ファイアウォールポリシーを変更する方法については、「*AWS Network Firewall デベロッパーガイド*」の「[Updating a firewall policy](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)」を参照してください。**[ステートレスデフォルトアクション]** で、**[編集]** を選択します。続いて、**[アクション]** として、**[ドロップ]** または **[ステートフルルールグループに転送]** を選択します。

## [NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください
<a name="networkfirewall-6"></a>

**関連する要件:** NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(5)、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.1.14、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.13.6

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::NetworkFirewall::RuleGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 のステートレスルールグループにルール AWS Network Firewall が含まれているかどうかを確認します。ルールグループにルールが含まれない場合、コントロールは失敗します。

ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、ルールグループがトラフィックを処理するという印象を与える可能性があります。ただし、ステートレスルールグループが空の場合、トラフィックは処理されません。

### 修正
<a name="networkfirewall-6-remediation"></a>

ネットワークファイアウォールのルールグループにルールを追加するには、「*AWS Network Firewall デベロッパーガイド*」の「[Updating a stateful rule group](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html)」を参照してください。ファイアウォールの詳細ページの **[ステートレスルールグループ]** で、**[編集]** を選択してルールを追加します。

## [NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります
<a name="networkfirewall-7"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::NetworkFirewall::Firewall`

**AWS Config rule:** `tagged-networkfirewall-firewall` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS Network Firewall ファイアウォールにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。ファイアウォールにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ファイアウォールにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="networkfirewall-7-remediation"></a>

Network Firewall ファイアウォールにタグを追加するには、「 *AWS Network Firewall デベロッパーガイド*[」の AWS Network Firewall 「リソースのタグ付け](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html)」を参照してください。

## [NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります
<a name="networkfirewall-8"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config rule:** `tagged-networkfirewall-firewallpolicy` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS Network Firewall ファイアウォールポリシーにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。ファイアウォールポリシーにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ファイアウォールポリシーにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="networkfirewall-8-remediation"></a>

Network Firewall ポリシーにタグを追加するには、「 *AWS Network Firewall デベロッパーガイド*[」の AWS Network Firewall 「リソースのタグ付け](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html)」を参照してください。

## [NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります
<a name="networkfirewall-9"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**カテゴリ:** 保護 > ネットワークセキュリティ

**重要度:** 中

**リソースタイプ :** `AWS::NetworkFirewall::Firewall`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS Network Firewall ファイアウォールで削除保護が有効になっているかどうかを確認します。ファイアウォールで削除保護が有効になっていないと、コントロールは失敗します。

AWS Network Firewall は、仮想プライベートクラウド (VPCs。削除防止設定は、ファイアウォールが誤って削除されないように保護するものです。

### 修正
<a name="networkfirewall-9-remediation"></a>

既存の Network Firewall ファイアウォールで削除保護を有効にするには、「**AWS Network Firewall デベロッパーガイド」の「[ファイアウォールの更新](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html)」を参照してください。**[変更保護]** で **[有効化]** を選択します。[UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html) API を呼び出し、`DeleteProtection` フィールドを `true` に設定することで削除保護を有効にすることもできます。

## [NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります
<a name="networkfirewall-10"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**カテゴリ:** 保護 > ネットワークセキュリティ

**重要度:** 中

**リソースタイプ :** `AWS::NetworkFirewall::Firewall`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS Network Firewall ファイアウォールでサブネット変更保護が有効になっているかどうかをチェックします。ファイアウォールでサブネット変更保護が有効になっていない場合、コントロールは失敗します。

AWS Network Firewall は、仮想プライベートクラウド (VPCs。Network Firewall ファイアウォールのサブネット変更保護を有効にすると、ファイアウォールのサブネットの関連付けが誤って変更されないようにファイアウォールを保護できます。

### 修正
<a name="networkfirewall-10-remediation"></a>

既存の Network Firewall ファイアウォールのサブネット変更保護を有効にする方法については、「*AWS Network Firewall デベロッパーガイド*」の「[Updating a Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html)」を参照してください。

# Amazon OpenSearch Service の Security Hub CSPM コントロール
<a name="opensearch-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon OpenSearch Service (OpenSearch Service) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります
<a name="opensearch-1"></a>

**関連する要件:** PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::OpenSearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、OpenSearch ドメインで保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。

機密データのセキュリティを強化するには、保管中に暗号化するように OpenSearch Service ドメインを設定する必要があります。保管中のデータの暗号化を設定すると、 は暗号化キー AWS KMS を保存および管理します。暗号化を実行するために、 は 256 ビットキー (AES-256) で Advanced Encryption Standard アルゴリズム AWS KMS を使用します。

保管中の OpenSearch での暗号化の詳細については、「*Amazon OpenSearch Service* *デベロッパーガイド*」の「[Encryption of data at rest for Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html)」を参照してください。

### 修正
<a name="opensearch-1-remediation"></a>

新規および既存の OpenSearch ドメインの保管時の暗号化を有効にするには、「*Amazon OpenSearch Service デベロッパーガイド*」の「[Enabling encryption of data at rest](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear)」を参照してください。

## [Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります
<a name="opensearch-2"></a>

**関連する要件:** PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**カテゴリ:** 保護 > セキュアなネットワーク設定 > VPC 内のリソース

**重要度:** 非常事態

**リソースタイプ :** `AWS::OpenSearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、OpenSearch ドメインが VPC 内にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。

OpenSearch ドメインがパブリックサブネットに添付済みではないことを確認する必要があります。「Amazon OpenSearch Service 開発者ガイド」の「[リソースベースのポリシー](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource)」を参照してください。また、推奨されるベストプラクティスに従って VPC が確実に設定されていることを確認する必要があります。「Amazon VPC ユーザーガイド」の「[VPC のセキュリティのベストプラクティス](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)」を参照してください。

VPC 内にデプロイされた OpenSearch ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む、OpenSearch ドメインへのアクセスを安全にするため、多数のネットワークコントロールを提供します。Security Hub では、これらのコントロールを有効に利用するために、パブリック OpenSearch ドメインを VPC に移行することを推奨します。

### 修正
<a name="opensearch-2-remediation"></a>

パブリックエンドポイントを使用してドメインを作成する場合、後で VPC 内にドメインを配置することはできません。代わりに、新規のドメインを作成して、データを移行する必要があります。逆の場合も同様です。VPC 内にドメインを作成する場合、パブリックエンドポイントを持つことはできません。代わりに、[別のドメインを作成する](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains)か、このコントロールを無効にする必要があります。

手順については、「*Amazon OpenSearch Service デベロッパーガイド*」の「[Launching your Amazon OpenSearch Service domains within a VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html)」を参照してください。

## [Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります
<a name="opensearch-3"></a>

**関連する要件:** NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::OpenSearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、OpenSearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。

HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。OpenSearch ドメインでノード間の暗号化を有効にすると、クラスター内通信は転送中に確実に暗号化されます。

この設定には、パフォーマンス上のペナルティが発生する可能性があります。このオプションを有効にする前に、パフォーマンスのトレードオフを認識してテストする必要があります。

### 修正
<a name="opensearch-3-remediation"></a>

OpenSearch ドメインでノード間の暗号化を有効にするには、「*Amazon OpenSearch Service デベロッパーガイド*」の「[ノード間の暗号化を有効にする](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn)」を参照してください。

## [Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります
<a name="opensearch-4"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::OpenSearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `logtype = 'error'` (カスタマイズ不可)

このコントロールは、OpenSearch ドメインが CloudWatch Logs にエラーログを送信するように設定されているかどうかをチェックします。CloudWatch へのエラーログ記録がドメインに対して有効になっていない場合、このコントロールは失敗します。

OpenSearch ドメインのエラーログを有効にし、それらのログを CloudWatch Logs に送信して保持と応答を行う必要があります。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。

### 修正
<a name="opensearch-4-remediation"></a>

ログ発行を有効にするには、「*Amazon OpenSearch Service デベロッパーガイド*」の「[Enabling log publishing (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console)」を参照してください。

## [Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります
<a name="opensearch-5"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.2.1

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::OpenSearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `cloudWatchLogsLogGroupArnList` (カスタマイズ不可) – Security Hub CSPM はこのパラメータに入力しません。監査ログ用に設定する必要がある CloudWatch Logs ロググループのカンマ区切りリスト。

このコントロールは、OpenSearch ドメインで監査ログ記録が有効になっているかどうかをチェックします。OpenSearch ドメインで監査ログ記録が有効になっていない場合、このコントロールは失敗します。

監査ログは高度なカスタマイズが可能です。これらを使用することで、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch クラスターでのユーザーアクティビティを追跡できます。

### 修正
<a name="opensearch-5-remediation"></a>

監査ログを有効にする手順については、「*Amazon OpenSearch Service デベロッパーガイド*」の「[Enabling audit logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling)」を参照してください。

## [Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です
<a name="opensearch-6"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::OpenSearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは OpenSearch ドメインが少なくとも 3 つのデータノードが設定されているか、また `zoneAwarenessEnabled` が `true` かどうかをチェックします。OpenSearch ドメインでは、`instanceCount` が 3 より小さいか `zoneAwarenessEnabled` が `false` の場合、このコントロールは失敗します。

クラスターレベルの高可用性と耐障害性を実現するには、OpenSearch ドメインに少なくとも 3 つのデータノードが必要です。少なくとも 3 つのデータノードを持つ OpenSearch ドメインをデプロイすると、ノードに障害が発生した場合のクラスター操作が確実になります。

### 修正
<a name="opensearch-6-remediation"></a>

**OpenSearch ドメインのデータノード数を変更するには**

1.  AWS コンソールにサインインし、[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/) で Amazon OpenSearch Service コンソールを開きます。

1. **[My domains]** (ドメイン) で、編集するドメインの名前を選択し、**[Edit]** (編集) を選択します。

1. **[Data nodes]** (データノード) で、**[Number of nodes]** (ノード数) を `3` 以上の数値に設定します。3 つのアベイラビリティーゾーンに展開する場合は、アベイラビリティーゾーン間で均等に分配されるように 3 の倍数に設定します。

1. [**Submit**] を選択してください。

## [Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります
<a name="opensearch-7"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6

**カテゴリ:** 保護 > セキュアなアクセス管理 > 機密性の高い API オペレーションアクションを制限する

**重要度:** 高

**リソースタイプ :** `AWS::OpenSearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

OpenSearch ドメインが、きめ細かなアクセスコントロールを有効にしているかどうかをチェックします。きめ細かなアクセスコントロールが有効でない場合、このコントロールは失敗します。OpenSearch パラメータ `update-domain-config` を有効にするには、きめ細かなアクセスコントロールに `advanced-security-options` が必要となります。

きめ細かなアクセスコントロールは、Amazon OpenSearch Service のデータへのアクセスをコントロールする追加の方法を提供します。

### 修正
<a name="opensearch-7-remediation"></a>

きめ細かなアクセスコントロールを有効にする方法については、「*Amazon OpenSearch Service デベロッパーガイド*」の「[Fine-grained access control in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html)」を参照してください。

## [Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります
<a name="opensearch-8"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::OpenSearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10` (カスタマイズ不可)

このコントロールは、Amazon OpenSearch Service ドメインエンドポイントが最新の TLS セキュリティポリシーを使用するように設定されているかどうかを確認します。OpenSearch ドメインエンドポイントが最新のサポートされているポリシーを使用するように設定されていない場合、または HTTPS が有効になっていない場合、コントロ―ルは失敗します。

HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。TLS のパフォーマンスプロファイルと TLS の影響を把握するには、この機能を使用してアプリケーションをテストする必要があります。TLS 1.2 は、以前の TLS バージョンに比べて、いくつかのセキュリティ機能の強化を提供します。

### 修正
<a name="opensearch-8-remediation"></a>

TLS 暗号化を有効にするには、[UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) API オペレーションを使用してください。「[DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)」フィールドを設定して、`TLSSecurityPolicy` の値を指定します。詳細については、「*Amazon OpenSearch Service デベロッパーガイド*」の「[Node-to-node encryption](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html)」を参照してください。

## [Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります
<a name="opensearch-9"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::OpenSearch::Domain`

**AWS Config rule:** `tagged-opensearch-domain` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon OpenSearch Service ドメインにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。ドメインにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ドメインにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="opensearch-9-remediation"></a>

OpenSearch Service ドメインにタグを追加するには、「*Amazon OpenSearch Service デベロッパーガイド*」の「[タグの使用](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console)」を参照してください。

## [Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります
<a name="opensearch-10"></a>

**関連する要件:** NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 中

**リソースタイプ :** `AWS::OpenSearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon OpenSearch Service ドメインに最新のソフトウェアアップデートがインストールされているかどうかをチェックします。ソフトウェアアップデートが利用可能で、ドメインにインストールされていない場合、コントロールは失敗します。

OpenSearch Service のソフトウェアアップデートは、環境で使用可能な最新のプラットフォーム修正、更新、および機能を提供します。パッチのインストールを最新の状態に保つことは、ドメインのセキュリティと可用性を維持するのに役立ちます。必要なアップデートに関するアクションを実行しない場合、サービスソフトウェアは (通常 2 週間後に) 自動的に更新されます。サービスの中断を最小限に抑えるため、ドメインへのトラフィックが少ない時間帯にアップデートをスケジュールすることをお勧めします。

### 修正
<a name="opensearch-10-remediation"></a>

OpenSearch ドメインのソフトウェアアップデートをインストールするには、「*Amazon OpenSearch Service デベロッパーガイド*」の「[Starting an update](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting)」を参照してください。

## [Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です
<a name="opensearch-11"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-36、NIST.800-53.r5 SI-13

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 低

**リソースタイプ :** `AWS::OpenSearch::Domain`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは Amazon OpenSearch Service ドメインが少なくとも 3 つの専用プライマリノードで設定されているかどうかをチェックします。ドメインの専用プライマリノードが 3 つ未満の場合、コントロールは失敗します。

OpenSearch Service では、クラスターの安定性を向上するために専用プライマリノードを使用します。専用プライマリノードはクラスター管理タスクを実行しますが、データは保持せず、データのアップロードリクエストにも応答しません。スタンバイ付きマルチ AZ を使用することを推奨します。これにより、本番稼働用の各 OpenSearch Service ドメインに 3 つの専用プライマリノードが追加されます。

### 修正
<a name="opensearch-11-remediation"></a>

OpenSearch ドメインのプライマリノードの数を変更するには、「*Amazon OpenSearch Service デベロッパーガイド*」の「[Amazon OpenSearch Service ドメインの作成と管理](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html)」を参照してください。

# の Security Hub CSPM コントロール AWS Private CA
<a name="pca-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Private Certificate Authority (AWS Private CA) サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [PCA.1] AWS Private CA ルート認証機関を無効にする必要があります
<a name="pca-1"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 低

**リソースタイプ :** `AWS::ACMPCA::CertificateAuthority`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロール AWS Private CA は、無効になっているルート認証機関 (CA) があるかどうかをチェックします。ルート CA が有効になっている場合、コントロールは失敗します。

を使用すると AWS Private CA、ルート CA と下位 CAs を含む CA 階層を作成できます。特に本番環境では、日常的なタスクでのルート CA の使用を最小限に抑える必要があります。ルート CA は、中間 CA 認定を交付するためにのみ使用する必要があります。これにより、中間 CA がエンドエンティティ証明書を発行する毎日のタスクを実行しながら、ルート CA を害のない方法で保存することができます。

### 修正
<a name="pca-1-remediation"></a>

ルート CA を無効にするには、「*AWS Private Certificate Authority ユーザーガイド*」の「[CA ステータスの更新](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps)」を参照してください。

## [PCA.2] AWS プライベート CA 認証機関にはタグを付ける必要があります
<a name="pca-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::ACMPCA::CertificateAuthority`

**AWS Config ルール :** `acmpca-certificate-authority-tagged`

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  デフォルト値なし  | 

このコントロールは、 AWS プライベート CA 認証機関にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredKeyTags`。認証機関にタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredKeyTags` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、認証機関にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の[「ベストプラクティスと戦略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください。 * AWS *

### 修正
<a name="pca-2-remediation"></a>

 AWS プライベート CA 機関にタグを追加するには、*AWS Private Certificate Authority 「 ユーザーガイド*」の[「プライベート CA のタグを追加する](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html)」を参照してください。

# Amazon RDS の Security Hub CSPM コントロール
<a name="rds-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Relational Database Service (Amazon RDS) および Amazon RDS リソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [RDS.1] RDS スナップショットはプライベートである必要があります
<a name="rds-1"></a>

**関連する要件:** PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 非常事態

**リソースタイプ:** `AWS::RDS::DBClusterSnapshot`、`AWS::RDS::DBSnapshot`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Amazon RDS スナップショットがパブリックかどうかをチェックします。RDS スナップショットがパブリックである場合、このコントロールは失敗します。このコントロールは、RDS インスタンス、Aurora DB インスタンス、Neptune DB インスタンス、Amazon DocumentDB クラスターを評価します。

RDS スナップショットは、特定の時点で RDS インスタンスのデータをバックアップするために使用されます。これらは、RDS インスタンスを以前の状態に復元するために使用できます。

RDS スナップショットは、意図しない限りパブリックにしないでください。暗号化されていない手動スナップショットをパブリックとして共有すると、このスナップショットをすべての AWS アカウントが使用できるようになります。これにより、RDS インスタンスの意図しないデータ漏えいが発生する可能性があります。

パブリックアクセスを許可するように設定を変更した場合、 AWS Config ルールは最大 12 時間変更を検出できない場合があります。 AWS Config ルールが変更を検出するまで、設定がルールに違反していても、チェックは成功します。

DB スナップショットの共有の詳細については、「Amazon RDS ユーザーガイド」の「[DB スナップショットの共有](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html)」を参照してください。

### 修正
<a name="rds-1-remediation"></a>

RDS スナップショットからパブリックアクセスを削除するには、「*Amazon RDS ユーザーガイド*」の「[スナップショットの共有](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing)」を参照してください。**[DB スナップショットの可視性]** で、**[プライベート]** を選択します。

## [RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります
<a name="rds-2"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/2.2.3、CIS AWS Foundations Benchmark v3.0.0/2.3.3、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-70-53.r5 SC-7(5)、PCI v3.2

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 非常事態

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、インスタンス設定項目内の `PubliclyAccessible` フィールドを評価して、Amazon RDS インスタンスがパブリックにアクセスできるかどうかをチェックします。

Neptune DB インスタンスと Amazon DocumentDB クラスターには、`PubliclyAccessible` フラグがないため、評価できません。ただし、このコントロールでは、これらのリソースに関する結果を生成できます。これらの結果を抑制できます。

RDS インスタンス設定 の `PubliclyAccessible` 値は、DB インスタンスがパブリックにアクセスできるかどうかを示します。DB インスタンスが `PubliclyAccessible` で設定されている場合、パブリックに解決可能な DNS 名を持つインターネット向けインスタンスであり、パブリック IP アドレスに解決されます。DB インスタンスがパブリックにアクセスできない場合、それはプライベート IP アドレスに解決される DNS 名を持つ内部インスタンスとなります。

RDS インスタンスのパブリックアクセスを可能にする意図がない限り、RDS インスタンスを `PubliclyAccessible` 値に設定しないでください。この設定を行った場合、データベースインスタンスへの不要なトラフィックが許可される可能性があります。

### 修正
<a name="rds-2-remediation"></a>

RDS DB インスタンスからパブリックアクセスを削除するには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS DB インスタンスを変更する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)」を参照してください。**[パブリックアクセス]** で **[いいえ]** を選択します。

## [RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。
<a name="rds-3"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/2.2.1、CIS AWS Foundations Benchmark v3.0.0/2.3.1、CIS AWS Foundations Benchmark v1.4.0/2.3.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Amazon RDS DB インスタンスに対してストレージの暗号化が有効になっているかどうかをチェックします。

このコントロールは、RDS DB インスタンスを対象としています。ただし、Aurora DB インスタンス、Neptune DB インスタンス、および Amazon DocumentDB クラスターの結果を生成することもできます。これらの結果が役に立たない場合は、それらを抑制できます。

RDS DB インスタンスの機密データのセキュリティを強化するには、RDS DB インスタンスを保管中に暗号化するように設定する必要があります。保管中の Amazon RDS DB インスタンスとスナップショットを暗号化するには、RDS DB インスタンスの暗号化オプションを有効にします。保管中に暗号化されるデータには、DB インスタンス、自動バックアップ、リードレプリカ、スナップショットの基本的なストレージが含まれます。

RDS の暗号化された DB インスタンスでは、RDS DB インスタンスをホストしているサーバーでデータを暗号化するために、オープン標準の AES-256 暗号化アルゴリズムを使用します。データが暗号化されると、Amazon RDS はパフォーマンスの影響を最小限に抑えながら、データへのアクセスと復号化の認証を透過的に処理します。暗号化を使用するために、データベースのクライアントアプリケーションを変更する必要はありません。

Amazon RDS 暗号化は、現在すべてのデータベースエンジンおよびストレージタイプに使用できます。Amazon RDS 暗号化は、ほとんどの DB インスタンスクラスで使用できます。Amazon RDS 暗号化をサポートしていない DB インスタンスクラスの詳細については、「Amazon RDS ユーザーガイド」の「[Amazon RDS リソースの暗号化](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)」を参照してください。

### 修正
<a name="rds-3-remediation"></a>

Amazon RDS での DB インスタンスの暗号化の詳細については、「Amazon RDS ユーザーガイド」の「[Amazon RDS リソースの暗号化](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)」を参照してください。

## [RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります
<a name="rds-4"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBClusterSnapshot`、` AWS::RDS::DBSnapshot`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、RDS DB スナップショットが暗号化されているかどうかをチェックします。RDS DB スナップショットが暗号化されていない場合、コントロールは失敗します。

このコントロールは、RDS DB インスタンスを対象としています。ただし、Aurora DB インスタンス、Neptune DB インスタンス、および Amazon DocumentDB クラスターのスナップショットに関する結果を生成することもできます。これらの結果が役に立たない場合は、それらを抑制できます。

保管中のデータを暗号化すると、認証されていないユーザーがディスクに保存しているデータにアクセスするリスクが低減されます。RDS スナップショット内のデータは、セキュリティを強化するために、保管中に暗号化する必要があります。

### 修正
<a name="rds-4-remediation"></a>

RDS スナップショットを暗号化するには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS リソースの暗号化](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)」を参照してください。RDS DB インスタンスを暗号化するとき、暗号化されたデータにはインスタンスの基盤となるストレージ、自動バックアップ、リードレプリカ、スナップショットが含まれます。

RDS DB インスタンスを暗号化できるのは作成時のみであり、DB インスタンスの作成後には暗号化できません。ただし、暗号化されていないスナップショットのコピーは暗号化できるので、暗号化されていない DB インスタンスに効果的に暗号化を追加できます。つまり、DB インスタンスのスナップショットを作成し、そのスナップショットの暗号化済みコピーを作成します。この暗号化されたスナップショットから DB インスタンスを復元することで、元の DB インスタンスの暗号化されたコピーを作成できます。

## [RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります
<a name="rds-5"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/2.2.4、NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、RDS DB インスタンスの高可用性が有効になっているかどうかをチェックします。RDS DB インスタンスが複数のアベイラビリティーゾーン (AZ) で設定されていない場合、コントロールは失敗します。このコントロールは、マルチ AZ DB クラスターデプロイの一部である RDS DB インスタンスには適用されません。

AZ を使用して Amazon RDS DB インスタンスを設定すると、保存されたデータの可用性を確保できます。マルチ AZ 配置では、AZ の可用性に問題が発生した場合や、RDS の定期メンテナンス中に自動フェイルオーバーを実行できます。

### 修正
<a name="rds-5-remediation"></a>

DB インスタンスを複数の AZ にデプロイするには、「*Amazon RDS ユーザーガイド*」の「[DB インスタンスをマルチ AZ DB インスタンスのデプロイに変更する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating)」を参照してください。

## [RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります
<a name="rds-6"></a>

**関連する要件:** NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

**カテゴリ:** 検出 > 検出サービス

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `monitoringInterval`  |  モニタリングメトリクスの収集間隔の秒数  |  列挙型  |  `1`, `5`, `10`, `15`, `30`, `60`  |  デフォルト値なし  | 

このコントロールは、Amazon Relational Database Service (Amazon RDS) DB インスタンスに対して拡張モニタリングが有効になっているかどうかをチェックします。インスタンスで拡張モニタリングが有効になっていない場合、コントロールは失敗します。`monitoringInterval` パラメータにカスタム値を指定したときは、指定された間隔でインスタンスの拡張モニタリングメトリクスが収集された場合にのみコントロールが成功します。

Amazon RDS では、拡張モニタリングによって、基盤となるインフラストラクチャのパフォーマンスの変化に対してより迅速にレスポンスできます。これらのパフォーマンスの変化により、データの可用性が低下する可能性があります。拡張モニタリングが有効になっている場合、RDS DB インスタンスが実行される OS のリアルタイムメトリクスを提供します。エージェントがインスタンスにインストールされています。エージェントは、ハイパーバイザーレイヤーから得られるよりも正確にメトリクスを取得できます。

拡張モニタリングのメトリクスは、DB インスタンス上のさまざまなプロセスやスレッドがどのように CPU を使用しているかを表示するときに便利です。詳細については、「Amazon RDS ユーザーガイド」の「[拡張モニタリング](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)」を参照してください。

### 修正
<a name="rds-6-remediation"></a>

DB インスタンスで拡張モニタリングを有効にする手順の詳細については、「*Amazon RDS ユーザーガイド*」の「[拡張モニタリングの設定と有効化](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling)」を参照してください。

## [RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります
<a name="rds-7"></a>

**関連する要件:** NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**カテゴリ:** 保護 > データ保護 > データ削除保護

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、RDS DB クラスターで削除保護が有効になっているかどうかをチェックします。RDS DB クラスターで削除保護が有効になっていない場合、コントロールは失敗します。

このコントロールは、RDS DB インスタンスを対象としています。ただし、Aurora DB インスタンス、Neptune DB インスタンス、および Amazon DocumentDB クラスターの結果を生成することもできます。これらの結果が役に立たない場合は、それらを抑制できます。

クラスターの削除保護を有効にすることで、偶発的なデータベース削除や不正なエンティティによる削除に対して保護の強化を提供します。

削除保護が有効になっている場合、RDS クラスターは削除できません。削除リクエストが成功するには、削除保護を無効にする必要があります。

### 修正
<a name="rds-7-remediation"></a>

RDS DB クラスターの削除保護を有効にするには、「*Amazon RDS ユーザーガイド*」の「[コンソール、CLI、API を使用した DB クラスターの変更](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster)」を参照してください。**[削除保護]** で **[削除保護の有効化]** を選択します。

## [RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります
<a name="rds-8"></a>

**関連する要件:** NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** 保護 > データ保護 > データ削除保護

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `databaseEngines`: `mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web` (カスタマイズ不可)

このコントロールは、リストされたデータベースエンジンのいずれかを使用する RDS DB インスタンスで削除保護が有効になっているかどうかをチェックします。RDS DB インスタンスで削除保護が有効になっていない場合、コントロールは失敗します。

インスタンス削除保護を有効にすると、偶発的なデータベース削除や不正なエンティティによる削除に対する保護の強化を提供します。

削除保護が有効になっている間は、RDS DB インスタンスを削除できません。削除リクエストが成功するには、削除保護を無効にする必要があります。

### 修正
<a name="rds-8-remediation"></a>

RDS DB インスタンスの削除保護を有効にするには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS DB インスタンスを変更する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)」を参照してください。**[削除保護]** で **[削除保護の有効化]** を選択します。

## [RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります
<a name="rds-9"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.2.1

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon RDS DB インスタンスが以下のログを Amazon CloudWatch Logs に発行するように設定されているかどうかをチェックします。インスタンスが以下のログを CloudWatch Logs に発行するように設定されていない場合、コントロールは失敗します。
+ Oracle: アラート、監査、トレース、リスナー
+ PostgreSQL: Postgresql、アップグレード
+ MySQL: 監査、エラー、一般、SlowQuery
+ MariaDB: 監査、エラー、一般、SlowQuery
+ SQL Server: エラー、エージェント
+ Aurora: 監査、エラー、一般、SlowQuery
+ Aurora-MySQL: 監査、エラー、一般、SlowQuery
+ Aurora-PostgreSQL: Postgresql

RDS データベースでは、関連するログを有効にする必要があります。データベースログ記録は、RDS に対して行われたリクエストの詳細な記録を提供します。データベースログは、セキュリティとアクセス監査に役立ち、可用性の問題を診断するのに役立ちます。

### 修正
<a name="rds-9-remediation"></a>

RDS データベースログを CloudWatch Logs に発行する方法については、「*Amazon RDS ユーザーガイド*」の「[CloudWatch Logs に発行するログの指定](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure)」を参照してください。

## [RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります
<a name="rds-10"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

**カテゴリ:** 保護 > セキュアなアクセス管理 > パスワードレス認証

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、RDS DB インスタンスで IAM データベース認証が有効になっているかどうかをチェックします。RDS DB インスタンスに IAM 認証が設定されていない場合、コントロールは失敗します。このコントロールは、`mysql`、`postgres`、`aurora`、`aurora-mysql`、`aurora-postgresql` および `mariadb` のエンジンタイプの RDS インスタンスのみを評価します。また、RDS インスタンスが結果を生成するには、`available`、`backing-up`、`storage-optimization`、`storage-full` のいずれかの状態になっている必要があります。

IAM データベース認証では、パスワードではなく、認証トークンを使用したデータベースインスタンスへの認証が可能です。データベースに出入りするネットワークトラフィックは、SSL を使用して暗号化されます。詳細については、「Amazon Aurora ユーザーガイド」の「[IAM データベース認証](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html)」を参照してください。

### 修正
<a name="rds-10-remediation"></a>

RDS DB インスタンスで IAM データベース認証を有効にするには、「*Amazon RDS ユーザーガイド*」の「[IAM データベース認証の有効化と無効化](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html)」を参照してください。

## [RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります
<a name="rds-11"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化 

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `backupRetentionMinimum`  |  最小バックアップ保持期間 (日数)  |  整数  |  `7`～`35`  |  `7`  | 
|  `checkReadReplicas`  |  リードレプリカに対して RDS DB インスタンスでバックアップが有効になっているかどうかを確認します  |  ブール値  |  カスタマイズ不可  |  `false`  | 

このコントロールは、Amazon Relational Database Service インスタンスで自動バックアップが有効に設定されていて、バックアップ保持期間が指定された時間枠以上であるかどうかをチェックします。リードレプリカは評価から除外されます。インスタンスのバックアップが有効になっていない場合や、保持期間が指定された時間枠未満の場合、コントロールは失敗します。バックアップ保持期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 7 日を使用します。

バックアップは、セキュリティインシデントからより迅速に復元し、システムの耐障害性を強化するのに役立ちます。Amazon RDS により、毎日のフルインスタンスボリュームスナップショットを設定することができます。Amazon RDS の自動バックアップの詳細については、「*Amazon RDS ユーザーガイド*」の「[バックアップの使用](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)」を参照してください。

### 修正
<a name="rds-11-remediation"></a>

RDS DB インスタンスの自動バックアップを有効化するには、「*Amazon RDS ユーザーガイド*」の「[自動バックアップの有効化](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling)」を参照してください。

## [RDS.12] IAM 認証は RDS クラスター用に設定する必要があります
<a name="rds-12"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

**カテゴリ:** 保護 > セキュアなアクセス管理 > パスワードレス認証

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon RDS DB クラスターで IAM データベース認証が有効になっているかどうかをチェックします。

IAM データベース認証では、データベースインスタンスへパスワードなしの認証が許可されています。認証には、認証トークンが使用されます。データベースに出入りするネットワークトラフィックは、SSL を使用して暗号化されます。詳細については、「Amazon Aurora ユーザーガイド」の「[IAM データベース認証](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html)」を参照してください。

### 修正
<a name="rds-12-remediation"></a>

DB クラスターで IAM 認証を有効にするには、「*Amazon Aurora ユーザーガイド*」の「[IAM データベース認証の有効化と無効化](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html)」を参照してください。

## [RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります
<a name="rds-13"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/2.2.2、CIS AWS Foundations Benchmark v3.0.0/2.3.2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 高

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、RDS データベースインスタンスでマイナーバージョン自動アップグレードが有効になっているかどうかをチェックします。

マイナーバージョン自動アップグレードは、データベースを定期的に最新のデータベースエンジンのバージョンに更新します。ただし、アップグレードに最新のデータベースエンジンのバージョンが含まれているとは限りません。特定の時間に特定のバージョンでデータベースを維持する必要がある場合は、必要なスケジュールに従って必要なデータベースのバージョンに手動でアップグレードすることをお勧めします。重大なセキュリティ問題が発生した場合、またはバージョンがサポート終了日に達すると、**[マイナーバージョン自動アップグレード]** オプションを有効にしていない場合でも、Amazon RDS はマイナーバージョンアップグレードを適用することがあります。詳細については、お使いのデータベースエンジンの Amazon RDS アップグレードドキュメントを参照してください。
+ [RDS for MariaDB の自動マイナーバージョンアップグレード](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [RDS for MySQL の自動マイナーバージョンアップグレード](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [RDS for PostgreSQL の自動マイナーバージョンアップグレード](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Amazon RDS バージョンの Db2 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Oracle マイナーバージョンアップグレード](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Microsoft SQL Server DB エンジンのアップグレード](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)

### 修正
<a name="rds-13-remediation"></a>

既存の DB インスタンスの自動マイナーバージョンアップグレードを有効にするには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS DB インスタンスを変更する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)」を参照してください。**[マイナーバージョン自動アップグレード]** で **[はい]** を選択します。

## [RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります
<a name="rds-14"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化 

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `BacktrackWindowInHours`  |  Aurora MySQL クラスターをバックトラックする時間数  |  Double  |  `0.1`～`72`  |  デフォルト値なし  | 

このコントロールは、Amazon Aurora クラスターでバックトラックが有効になっているかどうかをチェックします。クラスターでバックトラックが有効になっていない場合、コントロールは失敗します。`BacktrackWindowInHours` パラメータにカスタム値を指定したときは、指定された時間、クラスターがバックトラックされた場合にのみコントロールが成功します。

バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。また、システムの耐障害性を強化します。Aurora バックトラッキングによって、データベースを特定の時点に復元する時間が短縮されます。復元を実行する場合にデータベースの復元は必要ありません。

### 修正
<a name="rds-14-remediation"></a>

Aurora バックトラックを有効にするには、「*Amazon Aurora ユーザーガイド*」の「[バックトラックの設定](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring)」を参照してください。

既存のクラスターではバックトラッキングを有効にできないことに注意してください。代わりに、バックトラッキングが有効になっているクローンを作成できます。Aurora でのバックトラック制限の詳細については、「[バックトラックの概要](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)」の制限事項の一覧を参照してください。

## [RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります
<a name="rds-15"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/2.2.4、NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、RDS DB クラスターで高可用性が有効になっているかどうかをチェックします。RDS DB クラスターが複数のアベイラビリティーゾーン (AZ) にデプロイされていない場合、コントロールは失敗します。

RDS DB クラスターは、保存されたデータの可用性を確保するために、複数の AZ に対して設定する必要があります。複数の AZ にデプロイすると、AZ の可用性に問題が発生した場合や、RDS の定期メンテナンスイベント中に自動フェイルオーバーを実行できます。

### 修正
<a name="rds-15-remediation"></a>

DB クラスターを複数の AZ にデプロイするには、「*Amazon RDS ユーザーガイド*」の「[DB インスタンスをマルチ AZ DB インスタンスのデプロイに変更する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating)」を参照してください。

Aurora グローバルデータベースでは、修正の手順が異なります。Aurora グローバルデータベースに複数のアベイラビリティーゾーンを設定するには、DB クラスターを選択します。次に、**[アクション]** と **[リーダーの追加]** を選択し、複数の AZ を指定します。詳細については、「*Amazon Aurora ユーザーガイド*」の「[DB クラスターに Aurora レプリカを追加する](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html)」を参照してください。

## [RDS.16] Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります
<a name="rds-16"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**カテゴリ:** 識別 > インベントリ

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config rule:** `rds-cluster-copy-tags-to-snapshots-enabled` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、スナップショットの作成時に、DB クラスターのスナップショットにタグを自動的にコピーするように Amazon Aurora DB クラスターが設定されているかどうかをチェックします。スナップショットの作成時にクラスターのスナップショットにタグを自動的にコピーするように Aurora DB クラスターが設定されていない場合、コントロールは失敗します。

IT アセットの身分証明書とインベントリはガバナンスとセキュリティの重要な側面です。すべての Amazon Aurora DB クラスターを可視化することで、それらのセキュリティ体制を評価し、潜在的な弱点に対してアクションを起こせるようにする必要があります。Aurora DB スナップショットには、親 DB クラスターと同じタグが必要です。Amazon Aurora では、クラスターのすべてのタグをクラスターのスナップショットに自動的にコピーするように DB クラスターを設定できます。この設定を有効にすると、DB スナップショットが親 DB クラスターと同じタグを継承します。

### 修正
<a name="rds-16-remediation"></a>

タグを DB スナップショットに自動的にコピーするように Amazon Aurora DB クラスターを設定する方法については、「*Amazon Aurora ユーザーガイド*」の「[Amazon Aurora DB クラスターの変更](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html)」を参照してください。

## [RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります
<a name="rds-17"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**カテゴリ:** 識別 > インベントリ

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config rule:** `rds-instance-copy-tags-to-snapshots-enabled` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、スナップショットの作成時に、すべてのタグをスナップショットにコピーするように RDS DB インスタンスが構成されているかどうかをチェックします。

IT アセットの身分証明書とインベントリはガバナンスとセキュリティの重要な側面です。すべての RDS DB インスタンスを可視化することで、それらのセキュリティ体制を評価し、潜在的な弱点に対してアクションを起こせるようにする必要があります。スナップショットは、親 RDS データベースインスタンスと同じ方法でタグ付けする必要があります。この設定を有効にすると、スナップショットが親データベースインスタンスのタグを継承します。

### 修正
<a name="rds-17-remediation"></a>

RDS DB インスタンスのスナップショットにタグを自動的にコピーするには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS DB インスタンスを変更する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)」を参照してください。**[タグをスナップショットへコピー]** を選択します。

## [RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります
<a name="rds-18"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定 > VPC 内のリソース 

**重要度:** 高

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config rule:** `rds-deployed-in-vpc` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon RDS インスタンスが EC2-VPC にデプロイされているかどうかをチェックします。

VPC は、RDS リソースへのアクセスを保護するための多数のネットワークコントロールを提供します。これらのコントロールには、VPC エンドポイント、ネットワーク ACL、セキュリティグループが含まれます。これらのコントロールを利用するには、EC2-VPC 上に RDS インスタンスを作成することが推奨されます。

### 修正
<a name="rds-18-remediation"></a>

RDS インスタンスを VPC に移動する方法については、「*Amazon RDS ユーザーガイド*」の「[DB インスタンスの VPC の更新](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html)」を参照してください。

## [RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります
<a name="rds-19"></a>

**関連する要件:** NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

**カテゴリ:** 検出 > 検出サービス > アプリケーションモニタリング

**重要度:** 低

**リソースタイプ :** `AWS::RDS::EventSubscription`

**AWS Config rule:** `rds-cluster-event-notifications-configured` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、データベースクラスターの既存の Amazon RDS イベントサブスクリプションに、次のソースタイプ、イベントカテゴリのキーと値のペアに対して有効な通知があるかどうかをチェックします。

```
DBCluster: ["maintenance","failure"]
```

アカウントに既存のイベントサブスクリプションがない場合、コントロールはパスします。

RDS イベント通知は Amazon SNS を使用して、RDS リソースの可用性または設定の変更を通知します。これらの通知により、迅速な対応が実現します。RDS イベント通知の詳細については、「Amazon RDS ユーザーガイド」の「[Amazon RDS イベント通知の使用](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html)」を参照してください。

### 修正
<a name="rds-19-remediation"></a>

RDS クラスターイベント通知にサブスクライブするには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS イベント通知にサブスクライブする](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html)」を参照してください。以下の値を使用します。


| フィールド | 値 | 
| --- | --- | 
|  ソースタイプ  |  クラスター  | 
|  含めるクラスター  |  すべてのクラスター  | 
|  含めるイベントカテゴリ  |  [Specific event categories] (特定のイベントカテゴリ) または [All event categories] (すべてのイベントカテゴリ) を選択します  | 

## [RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります
<a name="rds-20"></a>

**関連する要件:** NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/11.5.2

**カテゴリ:** 検出 > 検出サービス > アプリケーションモニタリング

**重要度:** 低

**リソースタイプ :** `AWS::RDS::EventSubscription`

**AWS Config rule:** `rds-instance-event-notifications-configured` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、データベースインスタンスの既存の Amazon RDS イベントサブスクリプションに、次のソースタイプ、イベントカテゴリのキーと値のペアに対して有効な通知があるかどうかをチェックします。

```
DBInstance: ["maintenance","configuration change","failure"]
```

アカウントに既存のイベントサブスクリプションがない場合、コントロールはパスします。

RDS イベント通知は Amazon SNS を使用して、RDS リソースの可用性または設定の変更をユーザーに知らせます。これらの通知により、迅速な対応が実現します。RDS イベント通知の詳細については、「Amazon RDS ユーザーガイド」の「[Amazon RDS イベント通知の使用](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html)」を参照してください。

### 修正
<a name="rds-20-remediation"></a>

RDS インスタンスイベント通知にサブスクライブするには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS イベント通知にサブスクライブする](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html)」を参照してください。以下の値を使用します。


| フィールド | 値 | 
| --- | --- | 
|  ソースタイプ  |  インスタンス  | 
|  含めるインスタンス  |  すべてのインスタンス  | 
|  含めるイベントカテゴリ  |  [Specific event categories] (特定のイベントカテゴリ) または [All event categories] (すべてのイベントカテゴリ) を選択します  | 

## [RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります
<a name="rds-21"></a>

**関連する要件:** NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/11.5.2

**カテゴリ:** 検出 > 検出サービス > アプリケーションモニタリング

**重要度:** 低

**リソースタイプ :** `AWS::RDS::EventSubscription`

**AWS Config rule:** `rds-pg-event-notifications-configured` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、次のソースタイプ、イベントカテゴリのキーバリューペアに対して通知が有効になっている Amazon RDS イベントサブスクリプションが存在するかどうかをチェックします。アカウントに既存のイベントサブスクリプションがない場合、コントロールはパスします。

```
DBParameterGroup: ["configuration change"]
```

RDS イベント通知は Amazon SNS を使用して、RDS リソースの可用性または設定の変更をユーザーに知らせます。これらの通知により、迅速な対応が実現します。RDS イベント通知の詳細については、「Amazon RDS ユーザーガイド」の「[Amazon RDS イベント通知の使用](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html)」を参照してください。

### 修正
<a name="rds-21-remediation"></a>

RDS データベースパラメータグループイベント通知にサブスクライブするには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS イベント通知にサブスクライブする](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html)」を参照してください。以下の値を使用します。


| フィールド | 値 | 
| --- | --- | 
|  ソースタイプ  |  パラメータグループ  | 
|  含めるパラメータグループ  |  すべてのパラメータグループ  | 
|  含めるイベントカテゴリ  |  [Specific event categories] (特定のイベントカテゴリ) または [All event categories] (すべてのイベントカテゴリ) を選択します  | 

## [RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります
<a name="rds-22"></a>

**関連する要件:** NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/11.5.2

**カテゴリ:** 検出 > 検出サービス > アプリケーションモニタリング

**重要度:** 低

**リソースタイプ :** `AWS::RDS::EventSubscription`

**AWS Config rule:** `rds-sg-event-notifications-configured` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、次のソースタイプ、イベントカテゴリのキーバリューペアに対して通知が有効になっている Amazon RDS イベントサブスクリプションが存在するかどうかをチェックします。アカウントに既存のイベントサブスクリプションがない場合、コントロールはパスします。

```
DBSecurityGroup: ["configuration change","failure"]
```

RDS イベント通知は Amazon SNS を使用して、RDS リソースの可用性または設定の変更をユーザーに知らせます。これらの通知により、迅速なレスポンスが可能になります。RDS イベント通知の詳細については、「Amazon RDS ユーザーガイド」の「[Amazon RDS イベント通知の使用](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html)」を参照してください。

### 修正
<a name="rds-22-remediation"></a>

RDS インスタンスイベント通知にサブスクライブするには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS イベント通知にサブスクライブする](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html)」を参照してください。以下の値を使用します。


| フィールド | 値 | 
| --- | --- | 
|  ソースタイプ  |  セキュリティグループ  | 
|  含めるセキュリティグループ  |  すべてのセキュリティグループ  | 
|  含めるイベントカテゴリ  |  [Specific event categories] (特定のイベントカテゴリ) または [All event categories] (すべてのイベントカテゴリ) を選択します  | 

## [RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります
<a name="rds-23"></a>

**関連する要件:** NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config rule:** `rds-no-default-ports` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、RDS クラスターまたはインスタンスがデータベースエンジンのデフォルトポート以外のポートを使用しているかどうかをチェックします。RDS クラスターまたはインスタンスがデフォルトポートを使用する場合、このコントロールは失敗します。このコントロールは、クラスターの一部である RDS インスタンスには適用されません。

既知のポートを使用して RDS クラスターまたはインスタンスをデプロイすると、攻撃者はクラスターまたはインスタンスに関する情報を推測できる可能性があります。攻撃者は、この情報を他の情報と組み合わせ、RDS クラスターまたはインスタンスに接続したり、ユーザーのアプリケーションに関する追加情報を取得できます。

ポートを変更する場合は、古いポートへの接続に使用された既存の接続文字列も更新する必要があります。また、ユーザーは DB インスタンスのセキュリティグループをチェックして、新しいポートでの接続を許可するイングレスルールが確実に含まれていることを確認する必要があります。

### 修正
<a name="rds-23-remediation"></a>

既存の RDS DB インスタンスのデフォルトポートを変更するには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS DB インスタンスを変更する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)」を参照してください。既存の RDS DB クラスターのデフォルトポートを変更するには、「*Amazon Aurora ユーザーガイド*」の「[コンソール、CLI、API を使用した DB クラスターの変更](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster)」を参照してください。**データベースポート**について、ポート値をデフォルト以外の値に変更します。

## [RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります
<a name="rds-24"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.2

**カテゴリ:** 識別 > リソース設定

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** `[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Amazon RDS データベースクラスターが管理者ユーザーネームをデフォルト値から変更したかどうかをチェックします。このコントロールは、Neptune (Neptune DB) または docdb (DocumentDB) タイプのエンジンには適用されません。管理者ユーザーネームがデフォルト値に設定されている場合、このルールは失敗します。

Amazon RDS データベースを作成するときは、デフォルトの管理者ユーザーネームを一意の値に変更する必要があります。デフォルトのユーザーネームはパブリックナレッジであり、RDS データベースの作成時に変更する必要があります。デフォルトのユーザーネームを変更すると、意図しないアクセスのリスクが軽減されます。

### 修正
<a name="rds-24-remediation"></a>

Amazon RDS データベースクラスターに関連付けられている管理者ユーザーネームを変更するには、[新しい RDS データベースクラスターを作成](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html)し、データベースの作成時に、デフォルトの管理者ユーザーネームを変更します。

## [RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります
<a name="rds-25"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.2

**カテゴリ:** 識別 > リソース設定

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** `[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールでは、Amazon Relational Database Service (Amazon RDS) のデータベースインスタンスの管理者ユーザーネームがデフォルト値から変更されたかどうかをチェックします。管理者ユーザーネームがデフォルト値に設定されている場合、このコントロールは失敗します。このコントロールは、Neptune (Neptune DB) または docdb (DocumentDB) タイプのエンジンと、クラスターの一部である RDS インスタンスには適用されません。

Amazon RDS データベースのデフォルトの管理ユーザーネームは、パブリックナレッジです。Amazon RDS データベースを作成するときは、意図しないアクセスのリスクを減らすために、デフォルトの管理ユーザーネームを一意の値に変更する必要があります。

### 修正
<a name="rds-25-remediation"></a>

RDS データベースインスタンスに関連付けられている管理ユーザーネームを変更するには、始めに[新しい RDS データベースインスタンスを作成します](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html)。データベースの作成時に、デフォルトの管理ユーザーネームを変更します。

## [RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります
<a name="rds-26"></a>

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html) ``

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  パラメータが true に設定され、リソースが AWS Backup ボールトロックを使用する場合、コントロールは`PASSED`結果を生成します。  |  ブール値  |  `true` 、、または `false`  |  デフォルト値なし  | 

このコントロールは、Amazon RDS DB インスタンスがバックアッププランの対象かどうかを評価します。RDS DB インスタンスがバックアッププランの対象となっていない場合、このコントロールは失敗します。`backupVaultLockCheck` パラメータを に設定すると`true`、インスタンスが AWS Backup ロックされたボールトにバックアップされている場合にのみコントロールが成功します。

**注記**  
このコントロールは Neptune インスタンスと DocumentDB インスタンスを評価しません。また、クラスターのメンバーである RDS DB インスタンスも評価しません。

AWS Backup は、データのバックアップを一元化および自動化するフルマネージドバックアップサービスです AWS のサービス。を使用すると AWS Backup、バックアッププランと呼ばれるバックアップポリシーを作成できます。これらのプランを使用して、データのバックアップ頻度やバックアップを保持する期間など、バックアップ要件を定義できます。バックアッププランに RDS DB インスタンスを含めると、意図しない損失や削除からデータを保護できます。

### 修正
<a name="rds-26-remediation"></a>

RDS DB インスタンスを AWS Backup バックアッププランに追加するには、「 *AWS Backup デベロッパーガイド*[」の「バックアッププランへのリソースの割り当て](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)」を参照してください。

## [RDS.27] RDS DB クラスターは保管中に暗号化する必要があります
<a name="rds-27"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html) ``

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、RDS DB クラスターが保管中に暗号化されているかどうかをチェックします。RDS DB クラスターが保管中に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。暗号化は、このようなデータの機密性を保護し、権限のないユーザーがデータにアクセスするリスクを低減するのに役立ちます。RDS DB クラスターを暗号化することで、データとメタデータを不正アクセスから保護します。また、本番稼働用ファイルシステムにおける保管中のデータの暗号化に関するコンプライアンス要件も満たします。

### 修正
<a name="rds-27-remediation"></a>

RDS DB クラスターを作成するときに、保管中の暗号化を有効にできます。クラスターを作成した後で暗号化設定を変更することはできません。詳細については、「*Amazon Aurora ユーザーガイド*」の「[Amazon Aurora DB クラスターの暗号化](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling)」を参照してください。

## [RDS.28] RDS DB クラスターにはタグを付ける必要があります
<a name="rds-28"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config rule:**`tagged-rds-dbcluster` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon RDS DB クラスターにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。DB クラスターにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、DB クラスターにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="rds-28-remediation"></a>

RDS DB クラスターにタグを追加するには、*「Amazon RDS ユーザーガイド*」の「[Amazon RDS リソースのタグ付け](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)」を参照してください。

## [RDS.29] RDS DB クラスタースナップショットにはタグを付ける必要があります
<a name="rds-29"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBClusterSnapshot`

**AWS Config rule:**`tagged-rds-dbclustersnapshot` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon RDS DB クラスタースナップショットに、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。DB クラスタースナップショットにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、DB クラスタースナップショットにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="rds-29-remediation"></a>

RDS DB クラスタースナップショットにタグを追加するには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS リソースのタグ付け](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)」を参照してください。

## [RDS.30] RDS DB インスタンスにはタグを付ける必要があります
<a name="rds-30"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config rule:**`tagged-rds-dbinstance` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon RDS DB インスタンスにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。DB インスタンスにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、DB インスタンスにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="rds-30-remediation"></a>

RDS DB インスタンスにタグを追加するには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS リソースのタグ付け](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)」を参照してください。

## [RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります
<a name="rds-31"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBSecurityGroup`

**AWS Config rule:**`tagged-rds-dbsecuritygroup` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon RDS DB セキュリティグループに、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。DB セキュリティグループにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、DB セキュリティグループがキーでタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="rds-31-remediation"></a>

RDS DB セキュリティグループにタグを追加するには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS リソースのタグ付け](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)」を参照してください。

## [RDS.32] RDS DB スナップショットにはタグを付ける必要があります
<a name="rds-32"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBSnapshot`

**AWS Config rule:**`tagged-rds-dbsnapshot` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon RDS DB スナップショットにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。DB スナップショットにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、DB スナップショットにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="rds-32-remediation"></a>

RDS スナップショットにタグを追加するには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS リソースのタグ付け](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)」を参照してください。

## [RDS.33] RDS DB サブネットグループにはタグを付ける必要があります
<a name="rds-33"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBSubnetGroup`

**AWS Config rule:**`tagged-rds-dbsubnetgroups` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon RDS DB サブネットグループに、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。DB サブネットグループにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、DB サブネットグループがキーでタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="rds-33-remediation"></a>

RDS DB サブネットグループにタグを追加するには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS リソースのタグ付け](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)」を参照してください。

## [RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります
<a name="rds-34"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.2.1

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html) ``

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Aurora MySQL DB クラスターが監査ログを Amazon CloudWatch Logs に発行するように設定されているかどうかをチェックします。クラスターが監査ログを CloudWatch Logs に発行するように設定されていない場合、コントロールは失敗します。コントロールは Aurora Serverless v1 DB クラスターの検出結果を生成しません。

監査ログには、ログイン試行、データ変更、スキーマ変更、セキュリティとコンプライアンスの目的で監査の対象となる可能性のあるその他のイベントなど、データベースアクティビティのレコードが記録されます。Aurora MySQL DB クラスターを Amazon CloudWatch Logs のロググループに発行するように設定すると、ログデータのリアルタイム分析を実行できます。CloudWatch Logs は、耐久性の高いストレージにログを保持します。また、CloudWatch でのアラームの作成やメトリクスの表示が可能です。

**注記**  
CloudWatch Logs に監査ログを発行する別の方法は、高度な監査を有効にし、クラスターレベルの DB パラメータ `server_audit_logs_upload` を `1` に設定することです。`server_audit_logs_upload parameter` のデフォルト値は `0` です。ただし、このコントロールを渡すには、代わりに以下の修正手順を使用することをおすすめします。

### 修正
<a name="rds-34-remediation"></a>

Aurora MySQL DB のクラスターの監査ログを CloudWatch Logs に発行するには、「**Amazon Aurora ユーザーガイド」の「[Amazon CloudWatch Logs への Amazon Aurora MySQL ログの発行](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html)」を参照してください。

## [RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります
<a name="rds-35"></a>

**関連する要件:** NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html) ``

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon RDS マルチ AZ DB クラスターの自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。マルチ AZ DB クラスターで自動マイナーバージョンアップグレードが有効になっていない場合、コントロールは失敗します。

RDS では、マルチ AZ DB クラスターを最新の状態に保つことができるように、マイナーバージョンの自動アップグレードを実行します。マイナーバージョンには、ソフトウェアの新機能、バグ修正、セキュリティパッチ、およびパフォーマンスの向上を含む可能性があります。RDS データベースクラスターでマイナーバージョンの自動アップグレードを有効にすると、新しいバージョンが利用可能になった時点で、クラスターとクラスター内のインスタンスがマイナーバージョンへ自動更新を受け取ります。更新はメンテナンスの時間帯に自動で適用されます。

### 修正
<a name="rds-35-remediation"></a>

マルチ AZ DB クラスターでマイナーバージョンの自動アップグレードを有効にするには、「*Amazon RDS ユーザーガイド*」の「[マルチ AZ DB クラスターの変更](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html)」を参照してください。

## [RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります
<a name="rds-36"></a>

**関連する要件:** PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  CloudWatch Logs に発行するログタイプのカンマ区切りリスト  |  StringList  |  カスタマイズ不可  |  `postgresql`  | 

このコントロールは、Amazon RDS for PostgreSQL DB インスタンスがログを Amazon CloudWatch Logs に発行するように設定されているかどうかをチェックします。PostgreSQL DB インスタンスが、 `logTypes` パラメータに記載されているログタイプを CloudWatch Logs に発行するように設定されていない場合、コントロールは失敗します。

データベースログ記録は、RDS インスタンスに対して行われたリクエストの詳細な記録を提供します。PostgreSQL は、管理者に役立つ情報を含むイベントログを生成します。これらのログを CloudWatch Logs に発行すると、ログ管理が一元化され、ログデータのリアルタイム分析の実行に役立ちます。CloudWatch Logs は、耐久性の高いストレージにログを保持します。また、CloudWatch でのアラームの作成やメトリクスの表示が可能です。

### 修正
<a name="rds-36-remediation"></a>

PostgreSQL DB インスタンスログを CloudWatch Logs に発行するには、「*Amazon RDS ユーザーガイド*」の「[Amazon CloudWatch Logs への PostgreSQL ログの発行](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs)」を参照してください。

## [RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります
<a name="rds-37"></a>

**関連する要件:** PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Aurora PostgreSQL DB クラスターがログを Amazon CloudWatch Logs に発行するように設定されているかどうかをチェックします。Aurora PostgreSQL DB クラスターが PostgreSQL ログを CloudWatch Logs に発行するように設定されていない場合、コントロールは失敗します。

データベースログ記録は、RDS クラスターに対して行われたリクエストの詳細な記録を提供します。Aurora PostgreSQL は、管理者に役立つ情報を含むイベントログを生成します。これらのログを CloudWatch Logs に発行すると、ログ管理が一元化され、ログデータのリアルタイム分析の実行に役立ちます。CloudWatch Logs は、耐久性の高いストレージにログを保持します。また、CloudWatch でのアラームの作成やメトリクスの表示が可能です。

### 修正
<a name="rds-37-remediation"></a>

Aurora PostgreSQL DB クラスターの監査ログを CloudWatch Logs に発行するには、「*Amazon Aurora ユーザーガイド*」の「[Amazon CloudWatch Logs への Amazon Aurora PostgreSQL ログの発行](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html)」を参照してください。

## [RDS.38] RDS for PostgreSQL DB インスタンスは転送中に暗号化する必要があります
<a name="rds-38"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 Amazon RDS for PostgreSQL データベース (DB) インスタンスへの接続が転送中に暗号化されているかどうかを確認します。インスタンスに関連付けられたパラメータグループの `rds.force_ssl` パラメータが `0` (オフ) に設定されている場合、コントロールは失敗します。このコントロールは、DB クラスターの一部である RDS DB インスタンスは評価しません。

転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

### 修正
<a name="rds-38-remediation"></a>

RDS for PostgreSQL DB インスタンスへのすべての接続に SSL を使用するよう要求するには、「*Amazon RDS ユーザーガイド*」の「[PostgreSQL DB インスタンスで SSL を使用する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html)」を参照してください。

## [RDS.39] RDS for MySQL DB インスタンスは転送中に暗号化する必要があります
<a name="rds-39"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 Amazon RDS for MySQL データベース (DB) インスタンスへの接続が転送中に暗号化されているかどうかを確認します。インスタンスに関連付けられたパラメータグループの `rds.require_secure_transport` パラメータが `0` (オフ) に設定されている場合、コントロールは失敗します。このコントロールは、DB クラスターの一部である RDS DB インスタンスは評価しません。

転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

### 修正
<a name="rds-39-remediation"></a>

RDS for MySQL DB インスタンスへのすべての接続に SSL を使用するよう要求するには、「*Amazon RDS ユーザーガイド*」の「[Amazon RDS 上の MySQL DB インスタンスの SSL/TLS サポート](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html)」を参照してください。

## [RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります
<a name="rds-40"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  RDS for SQL Server DB インスタンスが CloudWatch Logs に発行するように設定する必要があるログのタイプのリスト。DB インスタンスがリストで指定されたタイプのログを発行するように設定されていない場合、このコントロールは失敗します。  |  EnumList (最大 2 項目)  |  `agent`, `error`  |  `agent`, `error`  | 

このコントロールは、Amazon RDS for Microsoft SQL Server DB インスタンスがログを Amazon CloudWatch Logs に発行するように設定されているかどうかをチェックします。RDS for SQL Server DB インスタンスがログを CloudWatch Logs に発行するように設定されていない場合、コントロールは失敗します。必要に応じて、DB インスタンスが発行するように設定する必要があるログのタイプを指定できます。

データベースログ記録は、Amazon RDS DB インスタンスに対して行われたリクエストの詳細な記録を提供します。ログを CloudWatch Logs に発行すると、ログ管理が一元化され、ログデータのリアルタイム分析の実行に役立ちます。CloudWatch Logs は、耐久性の高いストレージにログを保持します。さらに、これを使用して、エラーログに記録される頻繁な再起動など、発生する可能性のある特定のエラーのアラームを作成できます。同様に、SQL エージェントジョブに関連する SQL Server エージェントログに記録されるエラーまたは警告のアラームを作成できます。

### 修正
<a name="rds-40-remediation"></a>

RDS for SQL Server DB インスタンスでログを CloudWatch Logs に発行する方法については、「*Amazon Relational Database Service ユーザーガイド*」の「[Amazon RDS for Microsoft SQL Server データベースのログファイル](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html)」を参照してください。

## [RDS.41] RDS for SQL Server DB インスタンスは転送中に暗号化する必要があります
<a name="rds-41"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon RDS for Microsoft SQL Server DB インスタンスへの接続が転送中に暗号化されているかどうかをチェックします。インスタンスに関連付けられたパラメータグループの `rds.force_ssl` パラメータが `0 (off)` に設定されている場合、コントロールは失敗します。

転送中のデータとは、DB クラスター内のノード間や DB クラスターとクライアントアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する可能性があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

### 修正
<a name="rds-41-remediation"></a>

Microsoft SQL Server を実行している Amazon RDS DB インスタンスへの接続で SSL/TLS を有効にする方法については、「*Amazon Relational Database Service ユーザーガイド*」の「[Microsoft SQL Server DB インスタンスでの SSL の使用](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html)」を参照してください。

## [RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります
<a name="rds-42"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  MariaDB DB インスタンスが CloudWatch Logs に発行するように設定する必要があるログのタイプのリスト。DB インスタンスがリストで指定されたタイプのログを発行するように設定されていない場合、コントロールは `FAILED` 検出結果を生成します。  |  EnumList (最大 4 項目)  |  `audit`, `error`, `general`, `slowquery`  |  `audit, error`  | 

このコントロールは、Amazon RDS for MariaDB DB インスタンスが特定のタイプのログを Amazon CloudWatch Logs に発行するように設定されているかどうかをチェックします。MariaDB DB インスタンスがログを CloudWatch Logs に発行するように設定されていない場合、コントロールは失敗します。必要に応じて、MariaDB DB インスタンスが発行するように設定する必要があるログのタイプを指定できます。

データベースログ記録は、Amazon RDS for MariaDB DB インスタンスに対して行われたリクエストの詳細な記録を提供します。ログを Amazon CloudWatch Logs に発行すると、ログ管理が一元化され、ログデータのリアルタイム分析の実行に役立ちます。さらに、CloudWatch Logs はログを耐久性を持つストレージに保存し、セキュリティ、アクセス、可用性のレビューと監査に対応できるようにします。CloudWatch Logs では、アラームの作成やメトリクスの確認も可能です。

### 修正
<a name="rds-42-remediation"></a>

ログを Amazon CloudWatch Logs に発行するように Amazon RDS for MariaDB DB インスタンスを設定する方法については、「*Amazon Relational Database Service ユーザーガイド*」の「[MariaDB ログを Amazon CloudWatch Logs に発行する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html)」を参照してください。

## [RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です
<a name="rds-43"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBProxy`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon RDS DB Proxy がプロキシと基盤となる RDS DB インスタンス間のすべての接続に TLS を要求するかどうかをチェックします。プロキシが、プロキシと RDS DB インスタンス間のすべての接続に TLS を要求しない場合、コントロールは失敗します。

Amazon RDS Proxy は、クライアントアプリケーションと基盤となる RDS DB インスタンスの間に別のセキュリティ層を追加します。例えば、基盤となる DB インスタンスが古いバージョンの TLS をサポートしている場合でも、TLS 1.3 を使用して RDS Proxy に接続できます。RDS Proxy を使用すると、データベースアプリケーションに強力な認証要件を適用できます。

### 修正
<a name="rds-43-remediation"></a>

TLS を要求するように Amazon RDS Proxy の設定を変更する方法については、「*Amazon Relational Database Service ユーザーガイド*」の「[RDS Proxy の変更](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html)」を参照してください。

## [RDS.44] RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります
<a name="rds-44"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon RDS for MariaDB DB インスタンスへの接続が転送中に暗号化されているかどうかをチェックします。DB インスタンスに関連付けられた DB パラメータグループが同期していない場合、またはそのパラメータグループの `require_secure_transport` パラメータが `ON` に設定されていない場合、コントロールは失敗します。

**注記**  
このコントロールは、バージョン 10.5 より前の MariaDB バージョンを使用する Amazon RDS DB インスタンスは評価しません。`require_secure_transport` パラメータは、MariaDB バージョン 10.5 以降でのみサポートされます。

転送中のデータとは、DB クラスター内のノード間や DB クラスターとクライアントアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する可能性があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

### 修正
<a name="rds-44-remediation"></a>

Amazon RDS for MariaDB DB インスタンスへの接続で SSL/TLS を有効にする方法については、「*Amazon Relational Database Service ユーザーガイド*」の「[MariaDB DB インスタンスへのすべての接続に SSL/TLS を要求する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html)」を参照してください。

## [RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります
<a name="rds-45"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Aurora MySQL DB クラスターで監査ログ記録が有効になっているかどうかをチェックします。DB クラスターに関連付けられた DB パラメータグループが同期していない場合や、`server_audit_logging` パラメータが `1` に設定されていない場合、または `server_audit_events` パラメータが空の値に設定されている場合、コントロールは失敗します。

データベースログは、セキュリティとアクセス監査に役立ち、可用性の問題を診断するのに役立ちます。監査ログには、ログイン試行、データ変更、スキーマ変更、セキュリティとコンプライアンスの目的で監査の対象となる可能性のあるその他のイベントなど、データベースアクティビティのレコードが記録されます。

### 修正
<a name="rds-45-remediation"></a>

Amazon Aurora MySQL DB クラスターのログ記録を有効にする方法については、「*Amazon Aurora ユーザーガイド*」の「[Amazon CloudWatch Logs への Amazon Aurora MySQL ログの発行](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html)」を参照してください。

## [RDS.46] RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません
<a name="rds-46"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 高

**リソースタイプ :** `AWS::RDS::DBInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon RDS DB インスタンスがインターネットゲートウェイへのルートがあるパブリックサブネットにデプロイされているかどうかをチェックします。RDS DB インスタンスがインターネットゲートウェイへのルートがあるサブネットにデプロイされていて、送信先が `0.0.0.0/0` または `::/0` に設定されている場合、コントロールは失敗します。

Amazon RDS リソースをプライベートサブネットにプロビジョニングすることで、RDS リソースがパブリックインターネットからインバウンドトラフィックを受信しないようにし、RDS DB インスタンスへの意図しないアクセスを防ぐことができます。RDS リソースがインターネットに開放されているパブリックサブネットにプロビジョニングされている場合、データ流出などのリスクに対して脆弱になる可能性があります。

### 修正
<a name="rds-46-remediation"></a>

Amazon RDS DB インスタンスのプライベートサブネットのプロビジョニングの詳細については、「*Amazon Relational Database Service ユーザーガイド*」の「[VPC 内の DB インスタンスの使用](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html)」を参照してください。

## [RDS.47] タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります
<a name="rds-47"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、スナップショットの作成時に、DB クラスターのスナップショットにタグを自動的にコピーするように Amazon RDS for PostgreSQL DB クラスターが設定されているかどうかをチェックします。RDS for PostgreSQL DB クラスターで `CopyTagsToSnapshot` パラメータが `false` に設定されている場合、コントロールは失敗します。

DB スナップショットにタグをコピーすることで、バックアップリソース全体で適切なリソース追跡、ガバナンス、コスト配分を維持できます。これにより、アクティブなデータベースとそのスナップショットの両方で、一貫したリソース識別、アクセスコントロール、コンプライアンスモニタリングが可能になります。スナップショットに適切にタグ付けすることで、バックアップリソースがソースデータベースと同じメタデータを継承するようになり、セキュリティ運用が向上します。

### 修正
<a name="rds-47-remediation"></a>

タグを DB スナップショットに自動的にコピーするように Amazon RDS for PostgreSQL DB クラスターを設定する方法については、「*Amazon Relational Database Service ユーザーガイド*」の「[Amazon RDS リソースのタグ付け](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)」を参照してください。

## [RDS.48] タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります
<a name="rds-48"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、スナップショットの作成時に、DB クラスターのスナップショットにタグを自動的にコピーするように Amazon RDS for MySQL DB クラスターが設定されているかどうかをチェックします。RDS for MySQL DB クラスターで `CopyTagsToSnapshot` パラメータが `false` に設定されている場合、コントロールは失敗します。

DB スナップショットにタグをコピーすることで、バックアップリソース全体で適切なリソース追跡、ガバナンス、コスト配分を維持できます。これにより、アクティブなデータベースとそのスナップショットの両方で、一貫したリソース識別、アクセスコントロール、コンプライアンスモニタリングが可能になります。スナップショットに適切にタグ付けすることで、バックアップリソースがソースデータベースと同じメタデータを継承するようになり、セキュリティ運用が向上します。

### 修正
<a name="rds-48-remediation"></a>

タグを DB スナップショットに自動的にコピーするように Amazon RDS for MySQL DB クラスターを設定する方法については、「*Amazon Relational Database Service ユーザーガイド*」の「[Amazon RDS リソースのタグ付け](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)」を参照してください。

## [RDS.50] RDS DB クラスターには十分なバックアップ保持期間を設定する必要があります
<a name="rds-50"></a>

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化 

**重要度:** 中

**リソースタイプ :** `AWS::RDS::DBCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  コントロールがチェックする最小バックアップ保持期間  |  整数  |  `7`～`35`  |  `7`  | 

このコントロールは、RDS DB クラスターに最小バックアップ保持期間があるかどうかをチェックします。バックアップ保持期間が指定されたパラメータ値より短い場合、コントロールは失敗します。カスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 7 日を使用します。

このコントロールは、RDS DB クラスターに最小バックアップ保持期間があるかどうかをチェックします。バックアップ保持期間が指定されたパラメータ値より短い場合、コントロールは失敗します。顧客のパラメータ値を指定しない限り、Security Hub はデフォルト値の 7 日を使用します。このコントロールは、Aurora DB クラスター、DocumentDB クラスター、NeptuneDB クラスターなど、すべてのタイプの RDS DB クラスターに適用されます。

### 修正
<a name="rds-50-remediation"></a>

RDS DB クラスターのバックアップ保持期間を設定するには、クラスター設定を変更し、バックアップ保持期間を少なくとも 7 日間 (またはコントロールパラメータで指定された値) に設定します。詳細な手順については、*Amazon Relational Database Service ユーザーガイド*」の[「バックアップ保持期間](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html)」を参照してください。Aurora DB クラスターについては、[「Aurora 用 Amazon Aurora ユーザーガイド」の「Aurora DB クラスターのバックアップと復元の概要](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html)」を参照してください。 **他のタイプの DB クラスター (DocumentDB クラスターなど) については、クラスターのバックアップ保持期間を更新する方法については、対応するサービスユーザーガイドを参照してください。

# Amazon Redshift の Security Hub CSPM コントロール
<a name="redshift-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Redshift サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります
<a name="redshift-1"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 非常事態

**リソースタイプ :** `AWS::Redshift::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし 

このコントロールは、Amazon Redshift クラスターがパブリックにアクセス可能かどうかをチェックします。このコントロールは、クラスター設定項目の `PubliclyAccessible` フィールドを評価します。

Amazon Redshift クラスター設定の `PubliclyAccessible` 属性は、クラスターがパブリックにアクセス可能かどうかを示します。クラスターが `PubliclyAccessible` を `true` に設定して構成されている場合、パブリックに解決可能な DNS 名を持つインターネット向けインスタンスであり、パブリック IP アドレスに解決されます。

クラスターがパブリックにアクセスできない場合、プライベート IP アドレスに解決される DNS 名を持つ内部インスタンスです。クラスターをパブリックにアクセスさせる意図がない限り、クラスターは `PubliclyAccessible` を `true` に設定しないでください。

### 修正
<a name="redshift-1-remediation"></a>

Amazon Redshift クラスターを更新してパブリックアクセスを無効にするには、「*Amazon Redshift 管理ガイド*」の「[クラスターの変更](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster)」を参照してください。[**Publicly Accessible**] を [**No**] に設定します。

## [Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります
<a name="redshift-2"></a>

**関連する要件:** NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Amazon Redshift クラスターへの接続において、転送中に暗号化を使用する必要があるかどうかをチェックします。Amazon Redshift クラスターパラメータ `require_SSL` が `True` に設定されていない場合、チェックは失敗します。

TLS を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。TLS 経由の暗号化された接続のみを許可する必要があります。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。TLS のパフォーマンスプロファイルと TLS の影響を把握するには、この機能を使用してアプリケーションをテストする必要があります。

### 修正
<a name="redshift-2-remediation"></a>

Amazon Redshift パラメータグループを更新して暗号化を要求するには、「*Amazon Redshift 管理ガイド*」の「[パラメータグループの変更](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify)」を参照してください。`require_ssl`を **True** に設定します。

## [Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります
<a name="redshift-3"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化 

**重要度:** 中

**リソースタイプ :** `AWS::Redshift::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `​MinRetentionPeriod`  |  最小スナップショット保持期間 (日数)  |  整数  |  `7`～`35`  |  `7`  | 

このコントロールは、Amazon Redshift クラスターで自動スナップショットが有効になっているかどうか、および保持期間が指定された時間枠以上であるかどうかをチェックします。クラスターの自動スナップショットが有効になっていない場合や、保持期間が指定された時間枠未満の場合、コントロールは失敗します。スナップショット保持期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 7 日を使用します。

バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。これにより、システムの耐障害性が強化されます。Amazon Redshift は、デフォルトで定期的にスナップショットを作成します。このコントロールは、自動スナップショットが有効で、少なくとも 7 日間保持されているかどうかをチェックします。Amazon Redshift の自動スナップショットの詳細については、「*Amazon Redshift 管理ガイド*」の「[自動スナップショット](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots)」を参照してください。

### 修正
<a name="redshift-3-remediation"></a>

Amazon Redshift クラスターのスナップショット保持期間を更新するには、「*Amazon Redshift 管理ガイド*」の「[クラスターの変更](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster)」を参照してください。**[Backup]** (バックアップ) の場合、**[Snapshot retention]** (スナップショットの保持) を 7 以上の値に設定します。

## [Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります
<a name="redshift-4"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.2.1

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::Redshift::Cluster`

**AWS Config rule:** `redshift-cluster-audit-logging-enabled` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし 

このコントロールは、Amazon Redshift クラスターで監査ログ記録が有効になっているかどうかをチェックします。

Amazon Redshift 監査ログ記録は、ユーザーのクラスター内の接続とユーザーアクティビティに関する追加情報を提供します。このデータは、Amazon S3 内で保存および保護することができ、セキュリティ監査や調査に役立ちます。詳細については、「*Amazon Redshift 管理ガイド*」の「[データベース監査ログ作成](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html)」を参照してください。

### 修正
<a name="redshift-4-remediation"></a>

Amazon Redshift クラスターの監査ログを設定するには、「*Amazon Redshift 管理ガイド*」の「[コンソールを使用して監査を設定する](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html)」を参照してください。

## [Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります
<a name="redshift-6"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 中

**リソースタイプ :** `AWS::Redshift::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `allowVersionUpgrade = true` (カスタマイズ不可)

このコントロールは、Amazon Redshift クラスターで自動メジャーバージョンアップグレードが有効になっているかどうかをチェックします。

自動メジャーバージョンアップグレードを有効にすることで、メンテナンスウィンドウ中に Amazon Redshift クラスターの最新のメジャーバージョンの更新がインストールされます。これらのアップデートには、セキュリティパッチやバグ修正が含まれる場合があります。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。

### 修正
<a name="redshift-6-remediation"></a>

この問題を から修正するには AWS CLI、Amazon Redshift `modify-cluster` コマンドを使用して `--allow-version-upgrade` 属性を設定します。 `clustername`は Amazon Redshift クラスターの名前です。

```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```

## [Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります
<a name="redshift-7"></a>

**関連する要件:** NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**カテゴリ:** 保護 > セキュアなネットワーク設定 > API プライベートアクセス

**重要度:** 中

**リソースタイプ :** `AWS::Redshift::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、Amazon Redshift クラスターで `EnhancedVpcRouting` が有効かどうかをチェックします。

拡張 VPC ルーティングは、クラスターとデータリポジトリ間のすべての `COPY` および `UNLOAD` トラフィックが VPC を経由するよう強制します。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用して、ネットワークトラフィックをモニタリングすることもできます。

### 修正
<a name="redshift-7-remediation"></a>

詳細な修正手順については、「*Amazon Redshift 管理ガイド*」の「[拡張された VPC ルーティングの有効化](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html)」を参照してください。

## [Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください
<a name="redshift-8"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**カテゴリ:** 識別 > リソース設定

**重要度:** 中

**リソースタイプ :** `AWS::Redshift::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Redshift クラスターが、管理者ユーザーネームをデフォルト値から変更したかどうかをチェックします。Redshift クラスターの管理者ユーザーネームが `awsuser` に設定されている場合、このコントロールは失敗します。

Amazon RDS クラスターを作成するときは、デフォルトの管理者ユーザーネームを一意の値に変更する必要があります。デフォルトのユーザーネームはパブリックナレッジであり、設定時に変更する必要があります。デフォルトのユーザーネームを変更すると、意図しないアクセスのリスクが軽減されます。

### 修正
<a name="redshift-8-remediation"></a>

Amazon Redshift クラスターの管理者ユーザーネームは、作成後に変更することはできません。デフォルト以外のユーザー名で新しいクラスターを作成するには、「*Amazon Redshift 入門ガイド*」の「[ステップ 1: サンプル Amazon Redshift クラスターを作成する](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html)」を参照してください。

## [Redshift.10] Redshift クラスターは保存時に暗号化する必要があります
<a name="redshift-10"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::Redshift::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Redshift クラスターが保管時に暗号化されているかどうかをチェックします。Redshift クラスターが保存時に暗号化されていない場合、または暗号化キーがルールパラメータで指定されたキーと異なる場合、コントロールは失敗します。

Amazon Redshift では、クラスターに対してデータベースの暗号化を有効にして、保管中のデータを保護できます。クラスターに対して暗号化を有効にすると、クラスターとそのスナップショットのデータブロックとシステムメタデータが暗号化されます。保管中のデータの暗号化は、データにアクセス管理のレイヤーを追加できるため、推奨されるベストプラクティスです。保管中の Redshift クラスターを暗号化すると、認証されていないユーザーがディスクに保存しているデータにアクセスするリスクが低減されます。

### 修正
<a name="redshift-10-remediation"></a>

KMS 暗号化を使用するように Redshift クラスターを変更するには、「*Amazon Redshift 管理ガイド*」の「[クラスターの暗号化の変更](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html)」を参照してください。

## [Redshift.11] Redshift クラスターにはタグを付ける必要があります
<a name="redshift-11"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Redshift::Cluster`

**AWS Config rule:** `tagged-redshift-cluster` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon Redshift クラスターにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。クラスターにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、クラスターにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="redshift-11-remediation"></a>

Redshift クラスターにタグを追加するには、「*Amazon Redshift 管理ガイド*」の「[Amazon Redshift でのリソースのタグ付け](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)」を参照してください。

## [Redshift.12] Redshift イベント通知サブスクリプションにはタグを付ける必要があります
<a name="redshift-12"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Redshift::EventSubscription`

**AWS Config rule:** `tagged-redshift-eventsubscription` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon Redshift クラスタースナップショットに、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。クラスタースナップショットにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、クラスタースナップショットにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="redshift-12-remediation"></a>

Redshift イベント通知サブスクリプションにタグを追加するには、「*Amazon Redshift 管理ガイド*」の「[Amazon Redshift でのリソースのタグ付け](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)」を参照してください。

## [Redshift.13] Redshift クラスタースナップショットにはタグを付ける必要があります
<a name="redshift-13"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Redshift::ClusterSnapshot`

**AWS Config rule:** `tagged-redshift-clustersnapshot` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon Redshift クラスタースナップショットに、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。クラスタースナップショットにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、クラスタースナップショットにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="redshift-13-remediation"></a>

Redshift クラスタースナップショットにタグを追加するには、「*Amazon Redshift 管理ガイド*」の「[Amazon Redshift でのリソースのタグ付け](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)」を参照してください。

## [Redshift.14] Redshift クラスターサブネットグループにはタグを付ける必要があります
<a name="redshift-14"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config rule:** `tagged-redshift-clustersubnetgroup` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon Redshift クラスターサブネットグループに、パラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。クラスターサブネットグループにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、クラスターサブネットグループがキーでタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="redshift-14-remediation"></a>

Redshift クラスターサブネットグループにタグを追加するには、「*Amazon Redshift 管理ガイド*」の「[Amazon Redshift でのリソースのタグ付け](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)」を参照してください。

## [Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります
<a name="redshift-15"></a>

**関連する要件:** PCI DSS v4.0.1/1.3.1

**カテゴリ:** 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

**重要度:** 高

**リソースタイプ :** `AWS::Redshift::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Redshift クラスターに関連付けられたセキュリティグループに、インターネット (0.0.0.0/0 または ::/0) からのクラスターポートへのアクセスを許可する入力ルールがあるかどうかをチェックします。セキュリティグループの入力ルールがインターネットからのクラスターポートへのアクセスを許可すると、コントロールは失敗します。

Redshift クラスターポート (/0 サフィックスを持つ IP アドレス) への無制限のインバウンドアクセスを許可すると、不正アクセスやセキュリティインシデントが発生する可能性があります。セキュリティグループを作成し、インバウンドルールを設定するときは、最小特権アクセスのプリンシパルを適用することをお勧めします。

### 修正
<a name="redshift-15-remediation"></a>

Redshift クラスターポートの入力を制限されたオリジンに制限するには、「*Amazon VPC ユーザーガイド*」の「[セキュリティグループルールの操作](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules)」を参照してください。ポート範囲が Redshift クラスターポートと一致し、IP ポート範囲が 0.0.0.0/0 であるルールを更新します。

## [Redshift.16] Redshift クラスターサブネットグループには、複数のアベイラビリティーゾーンからのサブネットが必要です
<a name="redshift-16"></a>

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Redshift クラスターサブネットグループに複数のアベイラビリティーゾーン (AZ) からのサブネットがあるかどうかをチェックします。クラスターサブネットグループに少なくとも 2 つの異なる AZ からのサブネットがない場合、コントロールは失敗します。

複数の AZ にまたがるサブネットを設定することで、障害イベントが発生した場合でも、Redshift データウェアハウスの運用を継続できます。

### 修正
<a name="redshift-16-remediation"></a>

複数の AZ にまたがるように Redshift クラスターサブネットグループを変更するには、「*Amazon Redshift 管理ガイド*」の「[クラスターサブネットグループの変更](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html)」を参照してください。

## [Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります
<a name="redshift-17"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Redshift::ClusterParameterGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、Amazon Redshift クラスターパラメータグループに、`requiredKeyTags` パラメータで指定されたタグキーがあるかどうかをチェックします。パラメータグループにタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、パラメータグループにタグキーがない場合は失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="redshift-17-remediation"></a>

Redshift クラスターパラメータグループにタグを追加する方法については、「*Amazon Redshift 管理ガイド*」の「[Amazon Redshift でのリソースのタグ付け](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)」を参照してください。

## [Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります
<a name="redshift-18"></a>

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::Redshift::Cluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Redshift クラスターで複数のアベイラビリティーゾーン (マルチ AZ) 配置が有効になっているかどうかを確認します。Amazon Redshift クラスターでマルチ AZ 配置が有効になっていない場合、コントロールは失敗します。

Amazon Redshift は、プロビジョニングされたクラスター用に複数のアベイラビリティーゾーン (マルチ AZ) 配置をサポートしています。クラスターでマルチ AZ 配置が有効になっている場合、アベイラビリティーゾーン (AZ) で予期しないイベントが発生した障害シナリオでも Amazon Redshift データウェアハウスを引き続き運用できます。マルチ AZ 配置は、複数の AZ にコンピューティングリソースをデプロイし、これらのコンピューティングリソースは 1 つのエンドポイントからアクセスできます。AZ 全体で障害が発生しても、別の AZ の残りのコンピューティングリソースは引き続きワークロードの処理に使用できます。既存のシングル AZ データウェアハウスをマルチ AZ データウェアハウスに変換することもできます。その後、追加のコンピューティングリソースが 2 番目の AZ にプロビジョニングされます。

### 修正
<a name="redshift-18-remediation"></a>

Amazon Redshift クラスターのマルチ AZ 配置の設定については、「*Amazon Redshift 管理ガイド*」の「[シングル AZ データウェアハウスをマルチ AZ データウェアハウスに変換する](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html)」を参照してください。

# Amazon Redshift Serverless の Security Hub CSPM コントロール
<a name="redshiftserverless-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Redshift Serverless サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります
<a name="redshiftserverless-1"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定 > VPC 内のリソース

**重要度:** 高

**リソースタイプ :** `AWS::RedshiftServerless::Workgroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Redshift Serverless ワークグループで拡張された VPC ルーティングが有効になっているかどうかをチェックします。ワークグループで拡張された VPC ルーティングが無効になっている場合、コントロールは失敗します。

Amazon Redshift Serverless ワークグループで拡張 VPC ルーティングが無効になっている場合、Amazon Redshift は AWS ネットワーク内の他のサービスへのトラフィックを含め、インターネット経由でトラフィックをルーティングします。ワークグループで拡張された VPC ルーティングを有効にすると、Amazon Redshift はクラスターとデータリポジトリ間のすべての `COPY` および `UNLOAD` のトラフィックが Amazon VPC サービスに基づく仮想プライベートクラウド (VPC) を通過するように強制します。拡張された VPC ルーティングを有効にすることで、標準の VPC 機能を使用して、Amazon Redshift クラスターと他のリソースの間のデータフローを制御できます。これには、VPC セキュリティグループとエンドポイントポリシー、ネットワークアクセスコントロールリスト (ACL)、ドメインネームシステム (DNS) サーバーなどの機能が含まれます。VPC フローログを使用して `COPY` と `UNLOAD` のトラフィックをモニタリングすることもできます。

### 修正
<a name="redshiftserverless-1-remediation"></a>

拡張された VPC ルーティングの詳細とワークグループで有効にする方法については、「*Amazon Redshift 管理ガイド*」の「[Controlling network traffic with Redshift enhanced VPC routing](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html)」を参照してください。

## [RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です
<a name="redshiftserverless-2"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RedshiftServerless::Workgroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Redshift Serverless ワークグループへの接続で、転送中のデータを暗号化する必要があるかどうかをチェックします。ワークグループの `require_ssl` 設定パラメータが `false` に設定されている場合、コントロールは失敗します。

Amazon Redshift Serverless ワークグループは、RPU、VPC サブネットグループ、セキュリティグループなどのコンピューティングリソースをグループ化する、コンピューティングリソースのコレクションです。ワークグループのプロパティには、ネットワークとセキュリティ設定が含まれます。これらの設定は、ワークグループへの接続で転送中のデータを暗号化するために SSL を使用する必要があるかどうかを指定します。

### 修正
<a name="redshiftserverless-2-remediation"></a>

Amazon Redshift Serverless ワークグループの設定を更新して SSL 接続を要求する方法については、「*Amazon Redshift 管理ガイド*」の「[Amazon Redshift Serverless への接続](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html)」を参照してください。

## [RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります
<a name="redshiftserverless-3"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 高

**リソースタイプ :** `AWS::RedshiftServerless::Workgroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Redshift Serverless ワークグループでパブリックアクセスが無効になっているかどうかをチェックします。Redshift Serverless ワークグループの `publiclyAccessible` プロパティを評価します。ワークグループのパブリックアクセスが有効 (`true`) になっている場合、コントロールは失敗します。

Amazon Redshift Serverless ワークグループのパブリックアクセス (`publiclyAccessible`) 設定は、ワークグループにパブリックネットワークからアクセスできるかどうかを指定します。ワークグループのパブリックアクセスが有効 (`true`) になっている場合、Amazon Redshift は Elastic IP アドレスを作成して、ワークグループを VPC の外部からパブリックにアクセスできるようにします。ワークグループにパブリックアクセスを許可しない場合は、パブリックアクセスを無効にします。

### 修正
<a name="redshiftserverless-3-remediation"></a>

Amazon Redshift Serverless ワークグループのパブリックアクセス設定を変更する方法については、「*Amazon Redshift 管理ガイド*」の「[ワークグループのプロパティを表示する](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html)」を参照してください。

## [RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys
<a name="redshiftserverless-4"></a>

**関連する要件:** NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RedshiftServerless::Namespace`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  評価 AWS KMS keys に含める の Amazon リソースネーム (ARNs) のリスト。Redshift Serverless 名前空間がリスト内の KMS キーで暗号化されていない場合、コントロールは `FAILED` 検出結果を生成します。  |  StringList (最大 3 項目)  |  既存の KMS キーの 1～3 個の ARN。例: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。  |  デフォルト値なし  | 

このコントロールは、Amazon Redshift Serverless 名前空間が保管時にカスタマーマネージド AWS KMS keyで暗号化されているかどうかをチェックします。Redshift Serverless 名前空間がカスタマーマネージド KMS キーで暗号化されていない場合、コントロールは失敗します。必要に応じて、コントロールの評価に含める KMS キーのリストを指定することができます。

Amazon Redshift Serverless では、名前空間はデータベースオブジェクトの論理コンテナを定義します。このコントロールは、名前空間の暗号化設定が、名前空間内のデータの暗号化のために AWS KMS key、マネージド KMS キーではなくカスタマー AWS マネージド を指定するかどうかを定期的にチェックします。カスタマーマネージド KMS キーを使用すると、ユーザーがキーを完全にコントロールできます。これには、キーポリシーの定義と維持管理、許可の管理、暗号化マテリアルのローテーション、タグの割り当て、エイリアスの作成、キーの有効化と無効化が含まれます。

### 修正
<a name="redshiftserverless-4-remediation"></a>

Amazon Redshift Serverless 名前空間の暗号化設定の更新とカスタマー管理の指定については AWS KMS key、「Amazon Redshift 管理ガイド」の[「名前空間 AWS KMS key の の変更](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html)」を参照してください。 **

## [RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません
<a name="redshiftserverless-5"></a>

**カテゴリ:** 識別 > リソース設定

**重要度:** 中

**リソースタイプ :** `AWS::RedshiftServerless::Namespace`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Redshift Serverless 名前空間の管理者ユーザー名がデフォルトの管理者ユーザー名 `admin` であるかどうかをチェックします。Redshift Serverless 名前空間の管理者ユーザー名が `admin` の場合、コントロールは失敗します。

Amazon Redshift Serverless 名前空間を作成するときに、名前空間のカスタム管理者ユーザー名を指定する必要があります。デフォルトの管理者ユーザー名は一般に知られています。カスタム管理者ユーザー名を指定することで、たとえば、名前空間に対するブルートフォース攻撃のリスクや有効性を軽減できます。

### 修正
<a name="redshiftserverless-5-remediation"></a>

Amazon Redshift Serverless コンソールまたは API を使用して、Amazon Redshift Serverless 名前空間の管理者ユーザー名を変更できます。コンソールを使用して変更するには、名前空間設定を選択し、**[アクション]** メニューで **[管理者認証情報の編集]** を選択します。プログラムで変更するには、[UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[-namespace](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html) コマンドを実行します。管理者ユーザー名を変更する場合は、同時に管理者パスワードも変更する必要があります。

## [RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります
<a name="redshiftserverless-6"></a>

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::RedshiftServerless::Namespace`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Redshift Serverless 名前空間が接続ログとユーザーログを Amazon CloudWatch Logs にエクスポートするように設定されているかどうかをチェックします。Redshift Serverless 名前空間がログを CloudWatch Logs にエクスポートするように設定されていない場合、コントロールは失敗します。

Amazon Redshift Serverless の設定で、接続ログ (`connectionlog`) とユーザーログ (`userlog`) のデータを Amazon CloudWatch Logs のロググループにエクスポートするように設定すると、ログレコードを収集して耐久性のあるストレージに保存できるため、セキュリティ、アクセス、可用性のレビューと監査に対応できます。CloudWatch Logs では、ログデータのリアルタイム分析を実行したり、CloudWatch を使用してアラームを作成したり、メトリクスを確認したりすることもできます。

### 修正
<a name="redshiftserverless-6-remediation"></a>

Amazon Redshift Serverless 名前空間のログデータを Amazon CloudWatch Logs にエクスポートするには、名前空間の監査ログ設定で、対応するログをエクスポート対象として選択する必要があります。これらの設定を更新する方法については、「*Amazon Redshift 管理ガイド*」の「[セキュリティと暗号化を編集する](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html)」を参照してください。

# Route 53 の Security Hub CSPM コントロール
<a name="route53-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Route 53 サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります
<a name="route53-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Route53::HealthCheck`

**AWS Config rule:**`tagged-route53-healthcheck` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon Route 53 ヘルスチェックにパラメータ `requiredTagKeys` で定義された特定のキーを含むタグがあるかどうかをチェックします。ヘルスチェックにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ヘルスチェックにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="route53-1-remediation"></a>

Route 53 ヘルスチェックにタグを追加するには、「*Amazon Route 53 デベロッパーガイド*」の「[ヘルスチェックの命名とタグ付け](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html)」を参照してください。

## [Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります
<a name="route53-2"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::Route53::HostedZone`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

Amazon Route 53 パブリックホストゾーンで DNS クエリログ記録が有効になっているかどうかを確認します。このコントロールは Amazon Route 53 パブリックホストゾーンで DNS クエリログ記録が有効になっているかどうかを確認します。

Route 53 ホストゾーンの DNS クエリを記録することで、DNS のセキュリティとコンプライアンスの要件に対応し、可視性を高めます。ログには、クエリされたドメインまたはサブドメイン、クエリの日時、DNS レコードタイプ (A や AAAA など)、DNS 応答コード (`NoError` または `ServFail`) などの情報が含まれます。DNS クエリのロギングが有効になると、Route 53 はログファイルを Amazon CloudWatch Logs に発行します。

### 修正
<a name="route53-2-remediation"></a>

Route 53 パブリックホストゾーンの DNS クエリをログ記録するには、「**Amazon Route 53 デベロッパーガイド」の「[DNS クエリのログ記録の設定](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring)」を参照してください。

# Amazon S3 の Security Hub CSPM コントロール
<a name="s3-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Simple Storage Service (Amazon S3) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。
<a name="s3-1"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/2.1.4、 CIS AWS Foundations Benchmark v3.0.0/2.1.4、 CIS AWS Foundations Benchmark v1.4.0/2.1.5、 NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7)、 NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)、 PCI DSS v3.2.1/1.2.1、 PCI DSS v3.2.1/1.3.1、 PCI DSS v3.2.1/1.3.2、 PCI DSS v3.2.1/1.3.4、 PCI DSS v3.2.1/1.3.6、 PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html) 

**スケジュールタイプ :** 定期的

**パラメータ :** 
+ `ignorePublicAcls`: `true` (カスタマイズ不可)
+ `blockPublicPolicy`: `true` (カスタマイズ不可)
+ `blockPublicAcls`: `true` (カスタマイズ不可)
+ `restrictPublicBuckets`: `true` (カスタマイズ不可)

このコントロールは、前の Amazon S3 パブリックアクセス設定が S3 汎用バケットのアカウントレベルで設定されているかどうかをチェックします: 1 つ以上のブロックパブリックアクセス設定が `false` に設定されている場合、このコントロールは失敗します。

いずれかの設定が `false` に設定されているか、またはいずれかが設定されていない場合、コントロールは失敗します。

Amazon S3 パブリックアクセスブロックは、オブジェクトがパブリックアクセスを持たないように、 全体 AWS アカウント または個々の S3 バケットレベルでコントロールを提供するように設計されています。パブリックアクセスは、アクセスコントロールリスト (ACL)、バケットポリシー、またはその両方からバケットおよびオブジェクトに付与されます。

S3 バケットをパブリックにアクセスできるように意図する場合を除き、アカウントレベルの Amazon S3 ブロックパブリックアクセス機能を設定する必要があります。

詳細については、「Amazon Simple Storage Service ユーザーガイド」の「[Amazon S3 ブロックパブリックアクセスの使用](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html)」を参照してください。

### 修正
<a name="s3-1-remediation"></a>

の Amazon S3 パブリックアクセスブロックを有効にするには AWS アカウント、*「Amazon Simple Storage Service* [ユーザーガイド」の「アカウントのパブリックアクセスブロックの設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html)」を参照してください。

## [S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります
<a name="s3-2"></a>

**関連する要件:** PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 非常事態

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)

**スケジュールタイプ:** 定期的および変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon S3 汎用バケットがパブリック読み取りアクセスを許可するかどうかをチェックします。これにより、ブロックパブリックアクセス設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を評価します。バケットが公開読み取りアクセスを許可している場合、このコントロールは失敗します。

**注記**  
S3 バケットにバケットポリシーがある場合、このコントロールはワイルドカード文字または変数を使用するポリシー条件を評価しません。`PASSED` 検出結果を生成するには、バケットポリシーの条件は固定値のみを使用する必要があります。固定値は、ワイルドカード文字やポリシー変数を含まない値です。ポリシー変数に関する詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。

ユースケースによっては、インターネット上のすべてのユーザーが S3 バケットからの読み取りが必要な場合があります。しかし、そのような状況は稀です。データの整合性とセキュリティを確保するために、S3 バケットをパブリックに読み取り可能にしないでください。

### 修正
<a name="s3-2-remediation"></a>

Amazon S3 バケットで公開読み取りアクセスをブロックするには、「*Amazon Simple Storage Service ユーザーガイド*」の「[S3 バケットへのパブリックアクセスブロック設定の構成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)」を参照してください。

## [S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。
<a name="s3-3"></a>

**関連する要件:** PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 非常事態

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) 

**スケジュールタイプ:** 定期的および変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon S3 汎用バケットがパブリック書き込みアクセスを許可するかどうかをチェックします。これにより、ブロックパブリックアクセス設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を評価します。バケットが公開書き込みアクセスを許可している場合、このコントロールは失敗します。

**注記**  
S3 バケットにバケットポリシーがある場合、このコントロールはワイルドカード文字または変数を使用するポリシー条件を評価しません。`PASSED` 検出結果を生成するには、バケットポリシーの条件は固定値のみを使用する必要があります。固定値は、ワイルドカード文字やポリシー変数を含まない値です。ポリシー変数に関する詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。

ユースケースによっては、インターネット上の全員が S3 バケットに書き込むことができる必要があります。しかし、そのような状況は稀です。データの整合性とセキュリティを確保するため、S3 バケットはパブリックに書き込み可能にしないでください。

### 修正
<a name="s3-3-remediation"></a>

Amazon S3 バケットで公開書き込みアクセスをブロックするには、「*Amazon Simple Storage Service ユーザーガイド*」の「[S3 バケットへのパブリックアクセスブロック設定の構成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)」を参照してください。

## [S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。
<a name="s3-5"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/2.1.1、 CIS AWS Foundations Benchmark v3.0.0/2.1.1、 CIS AWS Foundations Benchmark v1.4.0/2.1.2、 NIST.800-53.r5 AC-17(2)、 NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(1)、 NIST.800-53.r5 SC-8(2)、 NIST.800-53.r5 SI-7(6)、 NIST.800-171.r2 3.13.8、 NIST.800-171.r2 3.13.15、 PCI DSS v3.2.1/4.1、 PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon S3 汎用バケットに SSL を使用するためのリクエストを要求するポリシーがあるかどうかをチェックします。バケットポリシーが SSL を使用するリクエストを必要としない場合、コントロールは失敗します。

S3 バケットには、条件キー `aws:SecureTransport` によって示される S3 リソースポリシーで HTTPS 経由のデータ送信のみを受け入れるために、すべてのリクエスト (`Action: S3:*`) を要求するポリシーを備える必要があります。

### 修正
<a name="s3-5-remediation"></a>

Amazon S3 バケットポリシーを更新して非セキュアなトランスポートを拒否するには、「*Amazon Simple Storage Service ユーザーガイド*」の「[Amazon S3 コンソールを使用したバケットポリシーの追加](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)」を参照してください。

以下のポリシーに、同様のポリシーステートメントを追加します。`amzn-s3-demo-bucket` を変更するバケットの名前で置き換えます。

------
#### [ JSON ]

****  

```
{
    "Id": "ExamplePolicy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}
```

------

詳細については、*AWS 「 公式ナレッジセンター*」の「ルール [AWS Config sS3-bucket-ssl-requests-only に準拠するために使用する S3 バケットポリシー](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/)」を参照してください。

## [S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります AWS アカウント
<a name="s3-6"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-171.r2 3.13.4

**カテゴリ:** 保護 > セキュアなアクセス管理 > 機密性の高いAPIオペレーションアクションを制限する 

**重要度:** 高

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Configルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (カスタマイズ不可)

このコントロールは、Amazon S3 汎用バケットポリシーが別の AWS アカウント からのプリンシパルが、S3 バケット内のリソースに対して拒否されたアクションの実行を防止するかどうかをチェックします。バケットポリシーで、別の AWS アカウントのプリンシパルに対して前のいずれかのアクションが許可されている場合、このコントロールは失敗します。

最小特権アクセスの実装は、セキュリティリスクおよびエラーの影響や悪意ある行動を減らす上での基礎となります。もしS3 バケットポリシーで外部アカウントからのアクセスを許可している場合、内部脅威または攻撃者によるデータの漏えいにつながる可能性があります。

`blacklistedactionpatterns` パラメータを使用すると、S3 バケットのルールを正常に評価できます。パラメータは、外部アカウントに対して `blacklistedactionpatterns` リストに含まれていないアクションパターンのアクセス許可を付与します。

### 修正
<a name="s3-6-remediation"></a>

Amazon S3 バケットポリシーを更新してアクセス許可を削除するには、「*Amazon Simple Storage Service ユーザーガイド*」の「[Amazon S3 コンソールを使用したバケットポリシーの追加](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)」を参照してください。

**[バケットポリシーを編集]** ページのポリシー編集テキストボックスで、以下のいずれかのアクションを実行します。
+ 拒否されたアクションへのアクセス許可を別の  AWS アカウント に付与するステートメントを削除する。
+ 許可済みの拒否されたアクションをステートメントから削除する。

## [S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります
<a name="s3-7"></a>

**関連する要件:** PCI DSS v3.2.1/2.2、NIST.800-53.r5 AU-9(2)、NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-36(2)、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 低

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは Amazon S3 バケット 汎用バケットでクロスリージョンレプリケーションが有効かどうかをチェックします。バケットでクロスリージョンレプリケーションが有効になっていない場合、このコントロールは失敗します。

レプリケーションとは、同じまたは異なるバケット間でオブジェクトを自動的に非同期コピーすることです AWS リージョン。レプリケーションは、新しく作成されたオブジェクトと、レプリケート元バケットからレプリケート先バケットへのオブジェクトの更新をコピーします。 AWS  ベストプラクティスでは、同じ AWS アカウント が所有するレプリケート元バケットとレプリケート先バケットのレプリケーションを推奨しています。可用性に加えて、他のシステム強化構成も考慮する必要があります。

このコントロールは、リージョン間のレプリケーションが有効になっていない場合、レプリケーション先バケット `FAILED` の検出結果を生成します。送信先バケットでクロスリージョンレプリケーションを有効にする必要がない正当な理由がある場合は、このバケットの検出結果を抑制できます。

### 修正
<a name="s3-7-remediation"></a>

Amazon S3 バケットのレプリケーションを有効にするには、「**Amazon Simple Storage Service ユーザーガイド」の「[同じアカウントが所有するレプリケート元バケットとレプリケート先バケットのレプリケーションの設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html)」を参照してください。**[ソースバケット]** で、**[バケット内のすべてのオブジェクトに適用]** を選択します。

## [S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります
<a name="s3-8"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/2.1.4、CIS AWS Foundations Benchmark v3.0.02.1.4、CIS AWS Foundations Benchmark v1.4.0/2.1.5、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7-53.r5 NIST.800-53.r5 SC-71)、NIST.800-53.r5 SC-7 IST

**カテゴリ:** 保護 > セキュアなアクセス管理 > アクセスコントロール

**重要度:** 高

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `excludedPublicBuckets` (カスタマイズ不可) - 既知の許可されているパブリック S3 バケット名のカンマ区切りリスト

このコントロールは、Amazon S3 汎用バケットがバケットレベルでパブリックアクセスをブロックするかどうかをチェックします。次の設定のいずれかが `false` に設定されている場合、コントロールは失敗します。
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`

S3 バケットレベルのブロックパブリックアクセスは、オブジェクトがパブリックアクセスできないようにコントロールを提供します。パブリックアクセスは、アクセスコントロールリスト (ACL)、バケットポリシー、またはその両方からバケットおよびオブジェクトに付与されます。

S3 バケットをパブリックにアクセスできるように意図する場合を除き、バケットレベルの Amazon S3 ブロックパブリックアクセス機能を設定する必要があります。

### 修正
<a name="s3-8-remediation"></a>

バケットレベルでパブリックアクセスを削除する方法については、「Amazon S3 ユーザーガイド」の「[Amazon S3 ストレージへのパブリックアクセスのブロック](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html)」を参照してください。

## [S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります
<a name="s3-9"></a>

**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、NIST.800-171.r2 3.3.8、PCI DSS v4.0.1/10.2.1

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon S3 汎用バケットでサーバーアクセスログ記録が有効になっているかどうかをチェックします。サーバーアクセスのログ記録が有効になっていない場合、コントロールは失敗します。ログ記録を有効にすると、Amazon S3 は、ソースバケットのアクセスログを選択されたターゲットバケットに配信します。ターゲットバケットはソースバケット AWS リージョン と同じ にある必要があり、デフォルトの保持期間を設定してはいけません。ターゲットのログ記録バケットは、サーバーアクセスのログ記録を有効にする必要がないため、このバケットの結果は非表示にします。

サーバーアクセスのログ記録には、バケットに対するリクエストの詳細を提供します。サーバーアクセスログは、セキュリティとアクセス監査に役立ちます。詳細については、「[Amazon S3 のセキュリティベストプラクティス: Amazon S3 サーバーアクセスログを有効にします](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html)」を参照してください。

### 修正
<a name="s3-9-remediation"></a>

Amazon S3 のサーバーアクセスのログ記録を有効にするには、「*Amazon S3 ユーザーガイド*」の「[Amazon S3 サーバーアクセスログの有効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)」を参照してください。

## [S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です
<a name="s3-10"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon S3 汎用バージョニングバケットにライフサイクル設定があるかどうかをチェックします。バケットにライフサイクル設定がない場合、コントロールは失敗します。

オブジェクトの存続期間中に Amazon S3 で実行するアクションの定義に役立てるため、S3 バケットにライフサイクル設定を作成することを推奨します。

### 修正
<a name="s3-10-remediation"></a>

Amazon S3 バケットでのライフサイクルの設定の詳細については、「[バケットのライフサイクル設定の指定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)」と「[ストレージのライフサイクルの管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)」を参照してください。

## [S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります
<a name="s3-11"></a>

**関連する要件:** NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(4)、NIST.800-171.r2 3.3.8

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `eventTypes`  |  推奨される S3 イベントタイプのリスト  |  EnumList (最大 28 項目)  |  `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent`  |  デフォルト値なし  | 

このコントロールは、S3 イベント通知が Amazon S3 汎用バケットで有効になっているかどうかをチェックします。バケットで S3 イベント通知が有効になっていない場合、コントロールは失敗します。`eventTypes` パラメータにカスタム値を指定したときは、指定されたタイプのイベントに対してイベント通知が有効になっている場合にのみコントロールが成功します。

S3 イベント通知を有効にすると、S3 バケットに影響する特定のイベントが発生したときに、アラートを受信します。例えば、オブジェクトの作成、オブジェクトの削除、オブジェクトの復元を通知を受けることができます。これらの通知により、不正なデータアクセスにつながる可能性のある偶発的または意図的な変更を関連チームに警告することができます。

### 修正
<a name="s3-11-remediation"></a>

S3 バケットおよびオブジェクトの変更を検出する方法の詳細については、「*Amazon S3 ユーザーガイド*」の「[Amazon S3 イベント通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html)」を参照してください。

## [S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。
<a name="s3-12"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

**カテゴリ:** 保護 > セキュアなアクセス管理 > アクセスコントロール

**重要度:** 中

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon S3 汎用バケットがアクセスコントロールリスト (ACL) を持つユーザーアクセス許可を提供するかどうかをチェックします。バケットでのユーザーアクセスを管理するために ACL が設定されている場合、コントロールは失敗します。

ACL は、IAM よりも前のレガシーアクセスコントロールメカニズムです。ACLs の代わりに、S3 バケットポリシーまたは AWS Identity and Access Management (IAM) ポリシーを使用して S3 バケットへのアクセスを管理することをお勧めします。

### 修正
<a name="s3-12-remediation"></a>

このコントロールに合格するには、S3 バケットの ACL を無効にする必要があります。手順については、「*Amazon Simple Storage Service ユーザーガイド*」の「[オブジェクトの所有権の制御とバケットの ACL の無効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)」を参照してください。

S3 バケットポリシーを作成するには、「[Amazon S3 コンソールを使用したバケットポリシーの追加](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)」を参照してください。S3 バケットに IAM ユーザーポリシーを作成するには、「[ユーザーポリシーを使用したバケットへのアクセスの制御](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions)」を参照してください。

## [S3.13] S3 汎用バケットにはライフサイクル設定が必要です
<a name="s3-13"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** 保護 > データ保護 

**重要度:** 低

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `targetTransitionDays`  |  オブジェクトが、その作成後、指定されたストレージクラスに移行するまでの日数  |  整数  |  `1`～`36500`  |  デフォルト値なし  | 
|  `targetExpirationDays`  |  オブジェクトが作成されてから削除されるまでの日数  |  整数  |  `1`～`36500`  |  デフォルト値なし  | 
|  `targetTransitionStorageClass`  |  送信先 S3 ストレージクラスのタイプ  |  列挙型  |  `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE`  |  デフォルト値なし  | 

このコントロールは、Amazon S3 汎用バケットにライフサイクル設定があるかどうかをチェックします。バケットにライフサイクル設定がない場合、コントロールは失敗します。前述の 1 つ以上のパラメータにカスタム値を指定したときは、指定されたストレージクラス、削除時間、または移行時間がポリシーに含まれている場合にのみコントロールが成功します。

S3 バケットでライフサイクル設定を作成すると、オブジェクトの存続期間中に Amazon S3 が実行するアクションが定義されます。例えば、オブジェクトを別のストレージクラスに移行させる、アーカイブする、あるいは指定した期間後に削除する、といったことが可能です。

### 修正
<a name="s3-13-remediation"></a>

Amazon S3 バケットでライフサイクルポリシーを設定する方法の詳細については、「*Amazon S3 ユーザーガイド*」の「[バケットのライフサイクル設定の指定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)」および「[ストレージのライフサイクルの管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)」を参照してください。

## [S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります
<a name="s3-14"></a>

**カテゴリ:** 保護 > データ保護 > データ削除保護

**関連する要件:** NIST.800-53.r5 AU-9(2)、NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)、NIST.800-171.r2 3.3.8

**重要度:** 低

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon S3 汎用バケットでバージョニングが有効になっているかどうかを確認します。バケットのバージョニングが停止されている場合、コントロールは失敗します。

バージョニングにより、同じ S3 バケット内でオブジェクトの複数のバリアントを保持します。バージョニングを使用して、S3 バケットに保存されたオブジェクトの旧バージョンを保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションとアプリケーション障害から復旧できます。

**ヒント**  
バージョニングによるバケット内オブジェクト数の増加に合わせて、ルールに基づき、バージョニングされたオブジェクトを自動的にアーカイブまたは削除するようにライフサイクル設定をセットアップできます。詳細については、「[バージョニングされたオブジェクトの Amazon S3 ライフサイクル管理](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/)」を参照してください。

### 修正
<a name="s3-14-remediation"></a>

S3 バケットでバージョニングを使用するには、「*Amazon S3 ユーザーガイド*」の「[バケットでのバージョニングの有効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html)」を参照してください。

## [S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります
<a name="s3-15"></a>

**カテゴリ:** 保護 > データ保護 > データ削除保護

**関連する要件:** NIST.800-53.r5 CP-6(2)、PCI DSS v4.0.1/10.5.1

**重要度:** 中

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `mode`  |  S3 Object Lock の保持モード  |  列挙型  |  `GOVERNANCE`, `COMPLIANCE`  |  デフォルト値なし  | 

このコントロールは、Amazon S3 汎用バケットで Object Lock が有効になっているかどうかを確認します。バケットで Object Lock が有効になっていない場合、コントロールは失敗します。`mode` パラメータにカスタム値を指定したときは、S3 Object Lock が指定された保持モードを使用する場合にのみコントロールが成功します。

S3 Object Lock では、Write Once Read Many (WORM) モデルを使用してオブジェクトを保存できます。Object Lock により、S3 バケットのオブジェクトが削除または上書きされることを、一定期間または無期限に防止できます。S3 Object Lock を使用して、WORM ストレージを必要とする規制要件を満たしたり、オブジェクトの変更や削除に対する保護レイヤーを追加したりできます。

### 修正
<a name="s3-15-remediation"></a>

新規および既存の S3 バケットの Object Lock を設定するには、「*Amazon S3 ユーザーガイド*」の「[S3 オブジェクトロックの設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html)」を参照してください。

## [S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys
<a name="s3-17"></a>

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**関連する要件:** NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 SI-7(6)、NIST.800-53.r5 AU-9、NIST.800-171.r2 3.8.9、NIST.800-171.r2 3.13.11、NIST.800-171.r2 3.13.16、PCI DSS v4.0.1/3.5.1

**重要度:** 中

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon S3 汎用バケットが AWS KMS key (SSE-KMS または DSSE-KMS) で暗号化されているかどうかをチェックします。バケットがデフォルトの暗号化 (SSE-S3) で暗号化されている場合、コントロールは失敗します。

サーバー側の暗号化 (SSE)とは、データを受信するアプリケーションまたはサービスによって、送信先でデータを暗号化することです。特に指定しない限り、デフォルトでは、S3 バケットはサーバー側の暗号化に Amazon S3 マネージドキー (SSE-S3) を使用します。ただし、コントロールを強化するために、代わりに AWS KMS keys (SSE-KMS または DSSE-KMS) でサーバー側の暗号化を使用するようにバケットを設定することもできます。Amazon S3 は、 AWS データセンターのディスクに書き込むときにオブジェクトレベルでデータを暗号化し、アクセス時に復号します。

### 修正
<a name="s3-17-remediation"></a>

SSE-KMS を使用して S3 バケットを暗号化するには、*Amazon S3*[S3 ユーザーガイド」の AWS KMS 「 (SSE-KMS) を使用したサーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html)の指定」を参照してください。DSSE-KMS を使用して S3 バケットを暗号化するには、*Amazon S3ユーザーガイド*[」の AWS KMS keys 「(DSSE-KMS) による二層式サーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html)の指定」を参照してください。

## [S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります
<a name="s3-19"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

**重要度:** 非常事態

**リソースタイプ :** `AWS::S3::AccessPoint`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon S3 アクセスポイントでブロックパブリックアクセス設定が有効になっているかどうかをチェックします。アクセスポイントのブロックパブリックアクセス設定が有効になっていない場合、コントロールは失敗します。

Amazon S3 パブリックアクセスブロック機能は、アカウント、バケット、アクセスポイントの 3 つのレベルで S3 リソースへのアクセスを管理するのに役立ちます。各レベルの設定は個別に構成できるため、データに対して異なるレベルのパブリックアクセス制限を設定できます。アクセスポイントの設定で、より高いレベル (アカウントレベルまたはアクセスポイントに割り当てられたバケット) のより制限的な設定を個別にオーバーライドすることはできません。むしろ、アクセスポイントレベルの設定は付加的です。つまり、他のレベルの設定を補完し、連携して機能します。S3 アクセスポイントをパブリックにアクセス可能にする予定がない限り、ブロックパブリックアクセス設定を有効にする必要があります。

### 修正
<a name="s3-19-remediation"></a>

Amazon S3 は、現在、アクセスポイントの作成後におけるアクセスポイントのブロックパブリックアクセス設定の変更をサポートしていません。デフォルトでは、新しいアクセスポイントを作成すると、すべてのブロックパブリックアクセス設定が有効になります。これらの設定を特に無効にする必要がある場合を除いて、すべての設定を有効にしておくことをお勧めします。詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[汎用バケットのアクセスポイントへのパブリックアクセスの管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html)」を参照してください。

## [S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります
<a name="s3-20"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/2.1.2、CIS AWS Foundations Benchmark v3.0.0/2.1.2、CIS AWS Foundations Benchmark v1.4.0/2.1.3、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**カテゴリ:** 保護 > データ保護 > データ削除保護

**重要度:** 低

**リソースタイプ :** `AWS::S3::Bucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon S3 の汎用バケットに対して多要素認証 (MFA) 削除が有効になっているかどうかをチェックします。バケットに対して MFA 削除が有効になっていない場合、コントロールは失敗します。コントロールは、ライフサイクル設定を持つバケットの検出結果を生成しません。

S3 汎用バケットのバージョニングを有効にする場合は、オプションでバケットの MFA 削除を設定することで、別のセキュリティレイヤーを追加できます。この設定を行うと、バケット所有者はバケット内のオブジェクトのバージョンを削除したり、バケットのバージョニング状態を変更したりするために、すべてのリクエストに 2 つの認証形式を含める必要があります。MFA Delete は、バケット所有者のセキュリティ認証情報に不正なアクセスがあった場合などにセキュリティを強化します。また、MFA 削除は、削除アクションを開始したユーザーに MFA コードを使って MFA デバイスの物理的所有を証明するように要求したり、削除アクションに摩擦とセキュリティのレイヤーをさらに追加したりすることで、バケットの偶発的な削除を防ぎます。

**注記**  
このコントロールは、S3 汎用バケットで MFA 削除が有効になっている場合にのみ `PASSED` 検出結果を生成します。バケットに対して MFA 削除を有効にするには、バケットに対してバージョニングも有効にする必要があります。バケットのバージョニングとは、同じバケット内で S3 オブジェクトの複数のバリエーションを保持する方法です。さらに、ルートユーザーとしてログインしているバケット所有者のみが、MFA 削除を有効にして、バケットで削除アクションを実行できます。ライフサイクル設定を持つバケットで MFA 削除を使用することはできません。

### 修正
<a name="s3-20-remediation"></a>

S3 バケットのバージョニングを有効にして MFA 削除を設定するには、「*Amazon Simple Storage Service ユーザーガイド*」の「[MFA 削除の設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html)」を参照してください。

## [S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります
<a name="s3-22"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.8、CIS AWS Foundations Benchmark v3.0.0/3.8、PCI DSS v4.0.1/10.2.1

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロール AWS アカウント は、 に Amazon S3 バケットのすべての書き込みデータイベントを記録する AWS CloudTrail マルチリージョン証跡が少なくとも 1 つあるかどうかをチェックします。 Amazon S3 S3 バケットの書き込みデータイベントをログに記録するマルチリージョン証跡がアカウントに存在しない場合、コントロールは失敗します。

`GetObject`、`DeleteObject`、`PutObject` などの S3 オブジェクトレベルのオペレーションは、データイベントと呼ばれます。デフォルトでは、CloudTrail はデータイベントを記録しませんが、S3 バケットのデータイベントを記録するように証跡を設定できます。書き込みデータイベントのオブジェクトレベルのログ記録を有効にすると、S3 バケット内の個々のオブジェクト (ファイル) アクセスをログ記録できます。オブジェクトレベルのログ記録を有効にすると、Amazon CloudWatch Events を使用して、データコンプライアンス要件を満たし、包括的なセキュリティ分析を実行し、 のユーザー動作の特定のパターンをモニタリングし AWS アカウント、S3 バケット内のオブジェクトレベルの API アクティビティに対してアクションを実行できます。このコントロールは、すべての S3 バケットの書き込み専用またはすべてのタイプのデータイベントを記録するマルチリージョン証跡を設定すると、`PASSED` 検出結果を生成します。

### 修正
<a name="s3-22-remediation"></a>

S3 バケットのオブジェクトレベルのログ記録を有効にするには、「*Amazon Simple Storage Service ユーザーガイド*」の「[S3 バケットとオブジェクトの CloudTrail イベントログ記録の有効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)」を参照してください。

## [S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります
<a name="s3-23"></a>

**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.9、CIS AWS Foundations Benchmark v3.0.0/3.9、PCI DSS v4.0.1/10.2.1

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロール AWS アカウント は、 に Amazon S3 バケットのすべての読み取りデータイベントを記録する AWS CloudTrail マルチリージョン証跡が少なくとも 1 つあるかどうかをチェックします。 Amazon S3 S3 バケットの読み取りデータイベントをログに記録するマルチリージョン証跡がアカウントにない場合、コントロールは失敗します。

`GetObject`、`DeleteObject`、`PutObject` などの S3 オブジェクトレベルのオペレーションは、データイベントと呼ばれます。デフォルトでは、CloudTrail はデータイベントを記録しませんが、S3 バケットのデータイベントを記録するように証跡を設定できます。読み取りデータイベントのオブジェクトレベルのログ記録を有効にすると、S3 バケット内の個々のオブジェクト (ファイル) アクセスをログ記録できます。オブジェクトレベルのログ記録を有効にすると、Amazon CloudWatch Events を使用して、データコンプライアンス要件を満たし、包括的なセキュリティ分析を実行し、 のユーザー動作の特定のパターンをモニタリングし AWS アカウント、S3 バケット内のオブジェクトレベルの API アクティビティに対してアクションを実行できます。このコントロールは、すべての S3 バケットの読み取り専用またはすべてのタイプのデータイベントを記録するマルチリージョン証跡を設定すると、`PASSED` 検出結果を生成します。

### 修正
<a name="s3-23-remediation"></a>

S3 バケットのオブジェクトレベルのログ記録を有効にするには、「*Amazon Simple Storage Service ユーザーガイド*」の「[S3 バケットとオブジェクトの CloudTrail イベントログ記録の有効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)」を参照してください。

## [S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります
<a name="s3-24"></a>

**関連する要件:** PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 高

**リソースタイプ :** `AWS::S3::MultiRegionAccessPoint`

**AWS Config rule:** `s3-mrap-public-access-blocked` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon S3 マルチリージョンアクセスポイントでブロックパブリックアクセス設定が有効になっているかどうかをチェックします。マルチリージョンアクセスポイントでブロックパブリックアクセス設定が有効になっていない場合、コントロールは失敗します。

パブリックにアクセス可能なリソースは、不正アクセス、データ侵害、または脆弱性の悪用につながる可能性があります。認証および認可手段によるアクセスの制限は、機密情報を保護し、リソースの整合性を維持するのに役立ちます。

### 修正
<a name="s3-24-remediation"></a>

デフォルトでは、S3 マルチリージョンアクセスポイントに対してすべてのブロックパブリックアクセス設定が有効になります。詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[Amazon S3 マルチリージョンアクセスポイントによるパブリックアクセスのブロック](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html)」を参照してください。マルチリージョンアクセスポイントを作成した後にブロックパブリックアクセス設定を変更することはできません。

## [S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です
<a name="s3-25"></a>

**カテゴリ:** 保護 > データ保護

**重要度:** 低

**リソースタイプ :** `AWS::S3Express::DirectoryBucket`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `targetExpirationDays`  |  オブジェクトの作成後、オブジェクトの有効期限が切れる日数。  |  整数  |  `1`～`2147483647`  |  デフォルト値なし  | 

このコントロールは、S3 ディレクトリバケットにライフサイクルルールが設定されているかどうかをチェックします。ディレクトリバケットにライフサイクルルールが設定されていない場合、またはバケットのライフサイクルルールでオプションで指定したパラメータ値と一致しない有効期限設定が指定されている場合、コントロールは失敗します。

Amazon S3 のライフサイクル設定とは、Amazon S3 がバケット内のオブジェクトのグループに適用するアクションを定義するルールセットです。S3 ディレクトリバケットの場合、経過時間 (日数) に基づいてオブジェクトの有効期限を指定するライフサイクルルールを作成できます。不完全なマルチパートアップロードを削除するライフサイクルルールを作成することもできます。汎用バケットなどの他のタイプの S3 バケットとは異なり、ディレクトリバケットは、ストレージクラス間でオブジェクトを移行するなど、ライフサイクルルールの他のタイプのアクションをサポートしていません。

### 修正
<a name="s3-25-remediation"></a>

S3 ディレクトリバケットのライフサイクル設定を定義するには、バケットのライフサイクルルールを作成します。詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[ディレクトリバケットのライフサイクル設定の作成と管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html)」を参照してください。

# SageMaker AI の Security Hub CSPM コントロール
<a name="sagemaker-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon SageMaker AI サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります
<a name="sagemaker-1"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v4.0.1/1.4.4

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 高

**リソースタイプ :** `AWS::SageMaker::NotebookInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、SageMaker AI ノートブックインスタンスでインターネットへの直接アクセスが無効になっているかどうかをチェックします。ノートブックインスタンスで `DirectInternetAccess` フィールドが有効になっている場合、コントロールは失敗します。

VPC なしで SageMaker AI インスタンスを設定した場合、デフォルトではインスタンスでインターネットへの直接アクセスが有効になっています。VPC ありでインスタンスを設定し、デフォルト設定を **[無効化 - VPC 経由でインターネットにアクセスする]** に変更する必要があります。ノートブックからモデルをトレーニングまたはホストするには、インターネットアクセスが必要です。インターネットアクセスを有効にするには、VPC にインターフェイスエンドポイント (AWS PrivateLink) または NAT ゲートウェイ、およびアウトバウンド接続を許可するセキュリティグループが必要です。ノートブックインスタンスを VPC 内のリソースに接続する方法の詳細については、「*Amazon SageMaker AI デベロッパーガイド*」の「[ノートブックインスタンスを VPC 内のリソースに接続する](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html)」を参照してください。また、SageMaker AI 設定へのアクセスが認可されたユーザーのみに制限されていることも確認する必要があります。ユーザーに SageMaker AI の設定変更とリソースの変更を許可する IAM 許可を制限します。

### 修正
<a name="sagemaker-1-remediation"></a>

ノートブックインスタンスを作成した後は、インターネットアクセスの設定を変更することはできません。代わりに、インターネットアクセスがブロックされているインスタンスを停止して削除し、再作成できます。インターネットへの直接アクセスを許可するノートブックインスタンスを削除するには、「*Amazon SageMaker AI デベロッパーガイド*」で「[Use notebook instances to build models: Clean up](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html)」を参照してください。インターネットアクセスを拒否するノートブックインスタンスを再作成するには、「[ノートブックインスタンスを作成する](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html)」を参照してください。**[ネットワーク] の [直接インターネットアクセス]** で、**[無効化 - VPC 経由でインターネットにアクセスする]** を選択します。

## [SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります
<a name="sagemaker-2"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**カテゴリ:** 保護 > セキュアなネットワーク設定 > VPC 内のリソース

**重要度:** 高

**リソースタイプ :** `AWS::SageMaker::NotebookInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SageMaker AI ノートブックインスタンスがカスタム仮想プライベートクラウド (VPC) 内で起動されているかどうかをチェックします。SageMaker AI ノートブックインスタンスがカスタム VPC 内で起動されない場合、または SageMaker AI サービス VPC で起動された場合、このコントロールは失敗します。

サブネットは、ある範囲の IP アドレスが示す VPC 内の領域です。インフラストラクチャの安全なネットワーク保護を確保するために、リソースは可能な限りカスタム VPC 内に保管することをお勧めします。Amazon VPC は、 専用の仮想ネットワークです AWS アカウント。Amazon VPC を使用すると、SageMaker AI Studio とノートブックインスタンスのネットワークアクセスとインターネット接続を制御できます。

### 修正
<a name="sagemaker-2-remediation"></a>

ノートブックインスタンスを作成した後は、VPC の設定を変更することはできません。代わりに、インスタンスを停止して削除し、再作成できます。手順については、「*Amazon SageMaker AI デベロッパーガイド*」で「[Use notebook instances to build models: Clean up](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html)」を参照してください。

## [SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません
<a name="sagemaker-3"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(10)、NIST.800-53.r5 AC-6(2)

**カテゴリ:** 保護 > セキュアなアクセス管理 > ルートユーザーのアクセス制限

**重要度:** 高

**リソースタイプ :** `AWS::SageMaker::NotebookInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SageMaker AI ノートブックインスタンスでルートアクセスが有効になっていないかをチェックします。Amazon SageMaker AI ノートブックインスタンスでルートアクセスが有効になっている場合、コントロールは失敗します。

最小特権のプリンシパルに従い、意図せずに権限を過剰にプロビジョニングしないために、ルートアクセスをインスタンスリソースに制限することが、推奨されるセキュリティ上のベストプラクティスです。

### 修正
<a name="sagemaker-3-remediation"></a>

SageMaker AI ノートブックインスタンスへのルートアクセスを制限するには、「*Amazon SageMaker AI デベロッパーガイド*」の「[SageMaker AI ノートブックインスタンスへのルートアクセスを制御する](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html)」を参照してください。

## [SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります
<a name="sagemaker-4"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-36、NIST.800-53.r5 SA-13

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::SageMaker::EndpointConfig`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon SageMaker AI エンドポイントの本番稼働用バリアントの初期インスタンス数が 1 より大きいかどうかを確認します。エンドポイントの本番稼働用バリアントの初期インスタンスが 1 つしかない場合、コントロールは失敗します。

インスタンス数が 1 を超える本番稼働用バリアントは、SageMaker AI によって管理されるマルチ AZ インスタンスの冗長性を許可します。複数のアベイラビリティーゾーンにリソースをデプロイすることは、アーキテクチャ内で高可用性を提供するための AWS ベストプラクティスです。高可用性は、セキュリティインシデントからの復旧に役立ちます。

**注記**  
このコントロールは、インスタンスベースのエンドポイント設定にのみ適用されます。

### 修正
<a name="sagemaker-4-remediation"></a>

その他のエンドポイント設定のパラメータの詳細については、「*Amazon SageMaker AI デベロッパーガイド*」の「[Create an endpoint configuration](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config)」を参照してください。

## [SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります
<a name="sagemaker-5"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 中

**リソースタイプ :** `AWS::SageMaker::Model`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SageMaker AI でホストされるモデルでネットワーク分離が有効になっているかどうかをチェックします。ホストされたモデルの `EnableNetworkIsolation` パラメータが `False` に設定されている場合、コントロールは失敗します。

SageMaker AI トレーニングとデプロイされた推論コンテナは、デフォルトでインターネットが有効になっています。SageMaker AI でトレーニングコンテナや推論コンテナへの外部ネットワークアクセスを許可しないようにする場合は、ネットワーク分離を有効にします。ネットワーク分離を有効にすると、他の AWS のサービスとの間の呼び出しを含め、モデルコンテナとの間でインバウンドまたはあうんとバウンドのネットワーク呼び出しを行うことができなくなります。さらに、コンテナランタイム環境で使用できる AWS 認証情報はありません。ネットワーク分離を有効にすると、インターネットから SageMaker AI リソースへの意図しないアクセスを防ぐことができます。

**注記**  
2025 年 8 月 13 日、Security Hub CSPM はこのコントロールのタイトルと説明を変更しました。新しいタイトルと説明は、コントロールが Amazon SageMaker AI でホストされているモデルの `EnableNetworkIsolation` パラメータの設定をチェックしていることをより正確に反映しています。以前は、このコントロールのタイトルは *SageMaker models should block inbound traffic* でした。

### 修正
<a name="sagemaker-5-remediation"></a>

SageMaker AI モデルのネットワーク分離の詳細については、「*Amazon SageMaker AI デベロッパーガイド*」の「[Run training and inference containers in internet-free mode](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html)」を参照してください。モデルの作成時にネットワーク分離を有効にするには、`EnableNetworkIsolation` パラメータの値を `True` に設定します。

## [SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります
<a name="sagemaker-6"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::SageMaker::AppImageConfig`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、Amazon SageMaker AI アプリケーションイメージ設定 (`AppImageConfig`) に `requiredKeyTags` パラメータで指定されたタグキーがあるかどうかをチェックします。アプリケーションイメージ設定にタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、アプリケーションイメージ設定にタグキーがない場合は失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="sagemaker-6-remediation"></a>

Amazon SageMaker AI アプリイメージ設定 (`AppImageConfig`) にタグを追加するには、SageMaker AI API の [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html) オペレーションを使用するか、 を使用している場合は [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html) コマンド AWS CLIを実行します。

## [SageMaker.7] SageMaker イメージにはタグを付ける必要があります
<a name="sagemaker-7"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::SageMaker::Image`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、Amazon SageMaker AI イメージに `requiredKeyTags` パラメータで指定されたタグキーがあるかどうかをチェックします。イメージにタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、イメージにタグキーがない場合は失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付けとタグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="sagemaker-7-remediation"></a>

Amazon SageMaker AI イメージにタグを追加するには、SageMaker AI API の [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html) オペレーションを使用するか、 を使用している場合は AWS CLI add[-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html) コマンドを実行します。

## [SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります
<a name="sagemaker-8"></a>

**カテゴリ:** 検出 > 脆弱性、パッチ、バージョン管理

**重要度:** 中

**リソースタイプ :** `AWS::SageMaker::NotebookInstance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)

**スケジュールタイプ :** 定期的

**パラメータ :**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (カスタマイズ不可)

このコントロールは、Amazon SageMaker AI ノートブックインスタンスに指定されたプラットフォーム識別子に基づいて、ノートブックインスタンスがサポートされているプラットフォームで実行されるように設定されているかどうかチェックします。サポートされなくなったプラットフォームでノートブックインスタンスを実行するように設定されている場合、コントロールは失敗します。

Amazon SageMaker AI ノートブックインスタンスのプラットフォームがサポートされなくなった場合、セキュリティパッチ、バグ修正、またはその他のタイプの更新を受信できない可能性があります。ノートブックインスタンスは引き続き機能する可能性がありますが、SageMaker AI セキュリティ更新プログラムや重大なバグ修正は受信しません。サポートされていないプラットフォームの使用に伴うリスクはユーザーが負うことになります。詳細については、「*Amazon SageMaker AI デベロッパーガイド*」の「[JupyterLab のバージョニング](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html)」を参照してください。

### 修正
<a name="sagemaker-8-remediation"></a>

Amazon SageMaker AI が現在サポートしているプラットフォームとその移行方法については、「*Amazon SageMaker AI デベロッパーガイド*」の「[Amazon Linux 2 notebook instances](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html)」を参照してください。

## [SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります
<a name="sagemaker-9"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::SageMaker::DataQualityJobDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SageMaker AI データ品質ジョブ定義でコンテナ間のトラフィックに対して暗号化が有効になっているかどうかを確認します。データ品質とドリフトをモニタリングするジョブの定義でコンテナ間のトラフィックに対して暗号化が有効になっていない場合、コントロールは失敗します。

コンテナ間のトラフィック暗号化を有効にすると、分散処理中の機密性の高い ML データがデータ品質分析のために保護されます。

### 修正
<a name="sagemaker-9-remediation"></a>

Amazon SageMaker AI のコンテナ間トラフィック暗号化の詳細については、「Amazon *Amazon SageMaker AI デベロッパーガイド*[」の「分散トレーニングジョブで ML コンピューティングインスタンス間の通信を保護する](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html)」を参照してください。データ品質ジョブ定義を作成するときに、 `EnableInterContainerTrafficEncryption`パラメータの値を に設定することで、コンテナ間のトラフィック暗号化を有効にできます`True`。

## [SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります
<a name="sagemaker-10"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::SageMaker::ModelExplainabilityJobDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SageMaker モデルの説明可能性ジョブ定義でコンテナ間のトラフィック暗号化が有効になっているかどうかを確認します。モデルの説明可能性ジョブ定義でコンテナ間のトラフィック暗号化が有効になっていない場合、コントロールは失敗します。

コンテナ間のトラフィック暗号化を有効にすると、説明可能性分析のために、分散処理中のモデルデータ、トレーニングデータセット、中間処理結果、パラメータ、モデル重みなどの機密データ ML データが保護されます。

### 修正
<a name="sagemaker-10-remediation"></a>

既存の SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を更新することはできません。コンテナ間のトラフィック暗号化を有効にして新しい SageMaker モデルの説明可能性ジョブ定義を作成するには、[API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) または [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) または [ CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html) を使用して [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)を に設定します`True`。

## [SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります
<a name="sagemaker-11"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::SageMaker::DataQualityJobDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SageMaker AI データ品質モニタリングジョブ定義でネットワーク分離が有効になっているかどうかを確認します。データ品質とドリフトをモニタリングするジョブの定義でネットワーク分離が無効になっている場合、コントロールは失敗します。

ネットワーク分離は攻撃を軽減します。 は外部アクセスを表面化し、防止することで、不正な外部アクセス、偶発的なデータ漏洩、潜在的なデータ流出から保護します。

### 修正
<a name="sagemaker-11-remediation"></a>

SageMaker AI のネットワーク分離の詳細については、*Amazon SageMaker AI デベロッパーガイド*」の[「インターネットフリーモードでトレーニングコンテナと推論コンテナを実行する](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html)」を参照してください。データ品質ジョブ定義を作成するときに、 `EnableNetworkIsolation`パラメータの値を に設定することで、ネットワーク分離を有効にできます`True`。

## [SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります
<a name="sagemaker-12"></a>

**カテゴリ:** 保護 > 安全なネットワーク設定 > リソースポリシー設定

**重要度:** 中

**リソースタイプ :** `AWS::SageMaker::ModelBiasJobDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、SageMaker モデルバイアスジョブ定義でネットワーク分離が有効になっているかどうかを確認します。モデルバイアスジョブ定義でネットワーク分離が有効になっていない場合、コントロールは失敗します。

ネットワーク分離により、SageMaker モデルバイアスジョブがインターネット経由で外部リソースと通信できなくなります。ネットワーク分離を有効にすることで、ジョブのコンテナがアウトバウンド接続を実行できないようにし、攻撃対象領域を減らし、機密データを流出から保護します。これは、規制されたデータまたは機密データを処理するジョブで特に重要です。

### 修正
<a name="sagemaker-12-remediation"></a>

ネットワーク分離を有効にするには、 `EnableNetworkIsolation`パラメータを に設定して新しいモデルバイアスジョブ定義を作成する必要があります`True`。ジョブ定義の作成後にネットワーク分離を変更することはできません。新しいモデルバイアスジョブ定義を作成するには、*Amazon SageMaker AI* [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)」を参照してください。

## [SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります
<a name="sagemaker-13"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::SageMaker::ModelQualityJobDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SageMaker モデル品質ジョブ定義で、コンテナ間のトラフィックに対して転送中の暗号化が有効になっているかどうかを確認します。モデル品質ジョブ定義でコンテナ間のトラフィック暗号化が有効になっていない場合、コントロールは失敗します。

コンテナ間のトラフィック暗号化は、分散モデル品質モニタリングジョブ中にコンテナ間で送信されるデータを保護します。デフォルトでは、コンテナ間のトラフィックは暗号化されません。暗号化を有効にすると、処理中のデータの機密性が維持され、転送中のデータの保護に関する規制要件への準拠がサポートされます。

### 修正
<a name="sagemaker-13-remediation"></a>

Amazon SageMaker モデル品質ジョブ定義のコンテナ間トラフィック暗号化を有効にするには、適切な転送時の暗号化設定でジョブ定義を再作成する必要があります。モデル品質ジョブ定義を作成するには、*Amazon SageMaker AI* [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)」を参照してください。

## [SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります
<a name="sagemaker-14"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::SageMaker::MonitoringSchedule`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SageMaker モニタリングスケジュールでネットワーク分離が有効になっているかどうかを確認します。モニタリングスケジュールで EnableNetworkIsolation が false に設定されているか、設定されていない場合、コントロールは失敗します

ネットワーク分離により、モニタリングジョブがアウトバウンドネットワークコールを行うのを防ぎ、コンテナからのインターネットアクセスを排除することで攻撃対象領域を減らします。

### 修正
<a name="sagemaker-14-remediation"></a>

モニタリングスケジュールを作成または更新するときに NetworkConfig パラメータでネットワーク分離を設定する方法については、*Amazon SageMaker * [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)」または[UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)」を参照してください。

## [SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります
<a name="sagemaker-15"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::SageMaker::ModelBiasJobDefinition`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、複数のコンピューティングインスタンスを使用するときに Amazon SageMaker モデルバイアスジョブ定義でコンテナ間のトラフィック暗号化が有効になっているかどうかを確認します。`EnableInterContainerTrafficEncryption` が false に設定されているか、インスタンス数が 2 以上のジョブ定義用に設定されていない場合、コントロールは失敗します。

EInterトラフィック暗号化は、分散モデルバイアスモニタリングジョブ中にコンピューティングインスタンス間で送信されるデータを保護します。暗号化は、インスタンス間で送信される重みなどのモデル関連情報への不正アクセスを防止します。

### 修正
<a name="sagemaker-15-remediation"></a>

SageMaker モデルバイアスジョブ定義のコンテナ間トラフィック暗号化を有効にするには、ジョブ定義が複数のコンピューティングインスタンスを使用する`True`ときに `EnableInterContainerTrafficEncryption`パラメータを に設定します。ML コンピューティングインスタンス間の通信を保護する方法については、*Amazon SageMaker AI デベロッパーガイド*[」の「分散トレーニングジョブで ML コンピューティングインスタンス間の通信を保護する](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html)」を参照してください。

# Secrets Manager の Security Hub CSPM コントロール
<a name="secretsmanager-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Secrets Manager サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります
<a name="secretsmanager-1"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9

**カテゴリ:** 保護 > セキュアな開発

**重要度:** 中

**リソースタイプ :** `AWS::SecretsManager::Secret`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `maximumAllowedRotationFrequency`  |  シークレットローテーション頻度の許容最大日数  |  整数  |  `1`～`365`  |  デフォルト値なし  | 

このコントロール AWS Secrets Manager は、 に保存されているシークレットが自動ローテーションで設定されているかどうかを確認します。シークレットが自動ローテーションで構成されていない場合、コントロールは失敗します。`maximumAllowedRotationFrequency` パラメータにカスタム値を指定したときは、指定された時間帯内にシークレットが自動的にローテーションされた場合にのみコントロールが成功します。

Secrets Manager は、組織のセキュリティ体制を向上するのに役立ちます。シークレットとは、データベース認証情報、パスワード、サードパーティーの API キーなどが含まれます。Secrets Manager を使用することで、シークレットを一元的に保存、シークレットの自動暗号化、シークレットへのアクセスコントロール、シークレットを安全かつ自動的にローテーションすることができます。

Secrets Manager はシークレットをローテーションできます。ローテーションを使用して、長期のシークレットを短期のシークレッに置き換えることができます。シークレットをローテーションすることで、権限のないユーザーが侵害されたシークレットを使用できる期間を制限することができます。このため、シークレットは頻繁にローテーションする必要があります。ローテーションの詳細については、「 *AWS Secrets Manager ユーザーガイド*」の「シー[AWS Secrets Manager クレットのローテーション](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)」を参照してください。

### 修正
<a name="secretsmanager-1-remediation"></a>

Secrets Manager シークレットの自動ローテーションを有効にするには、「 *AWS Secrets Manager ユーザーガイド*」の[「コンソールを使用してシーク AWS Secrets Manager レットの自動ローテーションを設定する](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html)」を参照してください。ローテーションする AWS Lambda 関数を選択して設定する必要があります。

## [SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります
<a name="secretsmanager-2"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9

**カテゴリ:** 保護 > セキュアな開発

**重要度:** 中

**リソースタイプ :** `AWS::SecretsManager::Secret`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、ローテーションスケジュールに基づいて AWS Secrets Manager シークレットが正常にローテーションされたかどうかをチェックします。`RotationOccurringAsScheduled` が `false` の場合、コントロールは失敗します。コントロールは、ローテーションがオンになっているシークレットのみを評価します。

Secrets Manager は、組織のセキュリティ体制を向上するのに役立ちます。シークレットとは、データベース認証情報、パスワード、サードパーティーの API キーなどが含まれます。Secrets Manager を使用することで、シークレットを一元的に保存、シークレットの自動暗号化、シークレットへのアクセスコントロール、シークレットを安全かつ自動的にローテーションすることができます。

Secrets Manager はシークレットをローテーションできます。ローテーションを使用して、長期のシークレットを短期のシークレッに置き換えることができます。シークレットをローテーションすることで、権限のないユーザーが侵害されたシークレットを使用できる期間を制限することができます。このため、シークレットは頻繁にローテーションする必要があります。

シークレットが自動的にローテーションされるように設定することに加えて、これらのシークレットがローテーションスケジュールに基づいて正常にローテーションするように設定する必要があります。

ローテーションの詳細については、「AWS Secrets Manager ユーザーガイド」の「[AWS Secrets Manager シークレットのローテーション](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)」を参照してください。

### 修正
<a name="secretsmanager-2-remediation"></a>

自動ローテーションが失敗した場合、Secrets Manager の設定でエラーが発生している可能性があります。Secrets Manager でシークレットをローテーションさせるには、シークレットを所有するデータベースまたはサービスとの対話方法を定義する Lambda 関数を使用する必要があります。

シークレットのローテーションに関連する一般的なエラーの診断と修正については、*AWS Secrets Manager 「 ユーザーガイド*」の「シーク[レットの AWS Secrets Manager ローテーションのトラブルシューティング](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html)」を参照してください。

## [SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します
<a name="secretsmanager-3"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::SecretsManager::Secret`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `unusedForDays`  |  シークレットを未使用のままにできる最大日数  |  整数  |  `1`～`365`  |  `90`  | 

このコントロールは、シー AWS Secrets Manager クレットが指定された期間内にアクセスされたかどうかを確認します。指定された時間枠を過ぎてもシークレットが使用されない場合、コントロールは失敗します。アクセス期間のカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 90 日を使用します。

未使用のシークレットを削除することは、シークレットをローテーションするのと同様に重要です。未使用のシークレットは、これらのシークレットにアクセスする必要のない以前のユーザーによって悪用される可能性があります。また、より多くのユーザーがシークレットへのアクセスすると、誰かが誤って処理して権限のないエンティティに漏洩する可能性があるため、不正使用のリスクが高まります。未使用のシークレットを削除することで、必要としないユーザーからのシークレットへのアクセスを取り消すことができます。また、Secrets Manager の使用コスト削減にも役立ちます。したがって、未使用のシークレットを定期的に削除することが不可欠です。

### 修正
<a name="secretsmanager-3-remediation"></a>

非アクティブな Secrets Manager シークレットを削除するには、*AWS Secrets Manager 「 ユーザーガイド*」の「 [AWS Secrets Manager シークレットの削除](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html)」を参照してください。

## [SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります
<a name="secretsmanager-4"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::SecretsManager::Secret`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `maxDaysSinceRotation`  |  シークレットを未変更のままにできる最大日数  |  整数  |  `1`～`180`  |  `90`  | 

このコントロールは、シー AWS Secrets Manager クレットが指定された期間内に少なくとも 1 回ローテーションされているかどうかをチェックします。シークレットを少なくともこの頻度でローテーションしないと、コントロールは失敗します。ローテーション期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 90 日を使用します。

シークレットをローテーションすることで、 AWS アカウントでユーザーのシークレットが不正に使用されるリスクを減らすのに役立ちます。例えば、データベース認証情報、パスワード、サードパーティーの API キーおよび任意のテキストなどがあります。シークレットを長期間変更しない場合、シークレットが侵害される可能性が高くなります。

より多くのユーザーがシークレットへのアクセスすると、誰かが操作を誤り、権限のないエンティティに漏洩する可能性があります。シークレットは、ログとキャッシュデータを介して漏洩する可能性があります。これらはデバッグ目的で共有でき、デバッグ完了後に変更または取り消されることはありません。これらすべての理由から、シークレットは頻繁にローテーションする必要があります。

 AWS Secrets Managerでシークレットの自動ローテーションを設定できます。自動ローテーションにより、長期のシークレットを短期のシークレットに置き換えることが可能となり、侵害されるリスクを大幅に減少させるのに役立ちます｡ Secrets Manager のシークレットの自動ローテーションを設定することをお勧めします。詳細については、「AWS Secrets Manager ユーザーガイド」の「[AWS Secrets Manager シークレットのローテーション](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)」を参照してください。

### 修正
<a name="secretsmanager-4-remediation"></a>

Secrets Manager シークレットの自動ローテーションを有効にするには、「 *AWS Secrets Manager ユーザーガイド*」の[「コンソールを使用してシーク AWS Secrets Manager レットの自動ローテーションを設定する](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html)」を参照してください。ローテーションする AWS Lambda 関数を選択して設定する必要があります。

## [SecretsManager.5] Secrets Manager のシークレットにはタグを付ける必要があります
<a name="secretsmanager-5"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::SecretsManager::Secret`

**AWS Config rule:** `tagged-secretsmanager-secret` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS Secrets Manager シークレットにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。シークレットにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、シークレットにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="secretsmanager-5-remediation"></a>

Secrets Manager シークレットにタグを追加するには、*AWS Secrets Manager *「 ユーザーガイド」の「タグシーク[AWS Secrets Manager レット](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html)」を参照してください。

# の Security Hub CSPM コントロール AWS Service Catalog
<a name="servicecatalog-controls"></a>

この AWS Security Hub CSPM コントロールは、 AWS Service Catalog サービスとリソースを評価します。コントロールは、すべての AWS リージョンで使用できるとは限りません。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります
<a name="servicecatalog-1"></a>

**関連する要件:** NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-6、NIST.800-53.r5 CM-8、NIST.800-53.r5 SC-7

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::ServiceCatalog::Portfolio`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 と AWS Organizations の統合が有効になっているときに、 が組織内のポートフォリオ AWS Service Catalog を共有するかどうかをチェックします。ポートフォリオが組織内で共有されていない場合、コントロールは失敗します。

Organizations 内でのみポートフォリオを共有すると、ポートフォリオが間違った AWS アカウントと共有されないようになります。Service Catalog ポートフォリオを組織内のアカウントと共有するために、Security Hub CSPM では、 `ORGANIZATION_MEMBER_ACCOUNT` の代わりに を使用することをお勧めします`ACCOUNT`。これにより、組織全体のアカウントに付与されたアクセスを制御できるため、管理が簡素化されます。Service Catalog ポートフォリオを外部アカウントと共有する必要がある場合は、このコントロールの[検出結果を自動的に抑制](automation-rules.md)するか、[無効](disable-controls-overview.md)にすることができます。

### 修正
<a name="servicecatalog-1-remediation"></a>

とのポートフォリオ共有を有効にするには AWS Organizations、 *AWS Service Catalog 管理者ガイド*の[「 との共有 AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations)」を参照してください。

# Amazon SES の Security Hub CSPM コントロール
<a name="ses-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Simple Email Service (Amazon SES) サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [SES.1] SES 連絡先リストにはタグを付ける必要があります
<a name="ses-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::SES::ContactList`

**AWS Config rule:** `tagged-ses-contactlist` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon SES 連絡先リストにパラメータ `requiredTagKeys` で定義された特定のキーを含むタグがあるかどうかをチェックします。連絡先リストにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、連絡先リストにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="ses-1-remediation"></a>

Amazon SES 連絡先リストにタグを追加するには、「*Amazon SES API v2 リファレンス*」の「[TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)」を参照してください。

## [SES.2] SES 設定セットにはタグを付ける必要があります
<a name="ses-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::SES::ConfigurationSet`

**AWS Config rule:** `tagged-ses-configurationset` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon SES 設定セットにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。設定セットにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、設定セットにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="ses-2-remediation"></a>

Amazon SES 設定セットにタグを追加するには、「*Amazon SES API v2 リファレンス*」の「[TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)」を参照してください。

## [SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります
<a name="ses-3"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化 

**重要度:** 中

**リソースタイプ :** `AWS::SES::ConfigurationSet`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SES 設定セットに TLS 接続が必要かどうかをチェックします。設定セットの TLS ポリシーが に設定されていない場合、コントロールは失敗`'REQUIRE'`します。

デフォルトでは、Amazon SES は日和見 TLS を使用します。つまり、受信メールサーバーで TLS 接続を確立できない場合、E メールを暗号化せずに送信できます。E メール送信に TLS を適用すると、安全な暗号化された接続を確立できる場合にのみメッセージが配信されます。これにより、Amazon SES と受信者のメールサーバー間の送信中に E メールコンテンツの機密性と整合性を保護することができます。安全な TLS 接続を確立できない場合、メッセージは配信されないため、機密情報が公開される可能性があります。

**注記**  
TLS 1.3 は Amazon SES のデフォルトの配信方法ですが、設定セットを通じて TLS 要件を強制することなく、TLS 接続が失敗した場合にメッセージがプレーンテキストで配信される可能性があります。このコントロールを渡すには、SES 設定セットの配信オプション`'REQUIRE'`で TLS ポリシーを に設定する必要があります。TLS が必要な場合、メッセージは受信メールサーバーで TLS 接続を確立できる場合にのみ配信されます。

### 修正
<a name="ses-3-remediation"></a>

設定セットの TLS 接続を要求するように Amazon SES を設定するには、[Amazon SESデベロッパーガイド」の「Amazon SES とセキュリティプロトコル](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver)」を参照してください。 *Amazon SES *

# Amazon SNS の Security Hub CSPM コントロール
<a name="sns-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Simple Notification Service (Amazon SNS) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [SNS.1] SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS
<a name="sns-1"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)、NIST.800-171.r2 3.13.11、NIST.800-171.r2 3.13.16

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::SNS::Topic`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SNS トピックが AWS Key Management Service (AWS KMS) に管理されているキーを使用して保管中に暗号化されているかどうかをチェックします。SNS トピックがサーバー側の暗号化 (SSE) に KMS キーを使用しない場合、コントロールは失敗します。デフォルトでは、SNS はディスク暗号化を使用してメッセージとファイルを保存します。このコントロールに合格するには、代わりに暗号化に KMS キーを使用する必要があります。これにより、セキュリティレイヤーが追加され、アクセスコントロールの柔軟性が向上します。

保管中のデータを暗号化することで、ディスクに保存されているデータが認証されていないユーザーがアクセスするリスクが軽減されます AWS。データを読み取る前にデータを復号化するには、API の許可が必要です。セキュリティを強化するために、SNS トピックを KMS キーで暗号化することをお勧めします。

### 修正
<a name="sns-1-remediation"></a>

SNS トピックで SSE を有効にするには、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS トピックのサーバー側の暗号化 (SSE) を有効にする](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html)」を参照してください。SSE を使用する前に、トピックの暗号化とメッセージの暗号化と復号を許可する AWS KMS key ポリシーも設定する必要があります。詳細については、*Amazon Simple Notification Service デベロッパーガイド*の[AWS KMS 「アクセス許可の設定](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse)」を参照してください。

## [SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります
<a name="sns-2"></a>

**重要**  
Security Hub CSPM は、2024 年 4 月にこのコントロールを廃止しました。詳細については、「[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)」を参照してください。

**関連する要件:** NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::SNS::Topic`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、エンドポイントの Amazon SNS トピックに送信される通知メッセージの配信ステータスで、ログ記録が有効になっているかどうかをチェックします。メッセージの配信ステータス通知が有効になっていない場合、このコントロールは失敗します。

ログ記録は、サービスの信頼性、可用性、パフォーマンスを維持するための重要な要素です。メッセージの配信ステータスをログ記録することで、以下のようなオペレーション上のインサイトを得ることができます。
+ メッセージが Amazon SNS エンドポイントに配信されたかどうかを知ることができます。
+ Amazon SNS エンドポイントから Amazon SNS に送信された応答を識別します。
+ メッセージの滞留時間 (メッセージの発行から Amazon SNS エンドポイントに渡されるまでの時間) を決定する。

### 修正
<a name="sns-2-remediation"></a>

トピックの配信ステータスロギングを設定する方法については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS メッセージ配信ステータス](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html)」を参照してください。

## [SNS.3] SNS トピックにはタグを付ける必要があります
<a name="sns-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::SNS::Topic`

**AWS Config rule:** `tagged-sns-topic` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon SNS トピックにパラメータ `requiredTagKeys` で定義された特定のキーを含むタグがあるかどうかをチェックします。トピックにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、トピックにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="sns-3-remediation"></a>

SNS トピックにタグを追加するには、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS トピックタグの設定](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html)」を参照してください。

## [SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください
<a name="sns-4"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 非常事態

**リソースタイプ :** `AWS::SNS::Topic`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SNS トピックアクセスポリシーがパブリックアクセスを許可するかどうかを確認します。SNS トピックアクセスポリシーでパブリックアクセスが許可されている場合、このコントロールは失敗します。

特定のトピックに関連付ける Amazon SNS アクセスポリシーにより、そのトピックを操作できるユーザー (トピックにメッセージを発行できるユーザーまたはサブスクライブできるユーザーなど) を制限できます。SNS ポリシーは AWS アカウント、他のユーザー、または独自の 内のユーザーにアクセス権を付与できます AWS アカウント。トピックポリシーの `Principal` フィールドにワイルドカード (\$1) を指定し、トピックポリシーを制限する条件がないと、攻撃者によるデータの流出、サービス拒否、またはサービスへの望ましくないメッセージの挿入につながる可能性があります。

**注記**  
このコントロールはワイルドカード文字または変数を使用するポリシー条件を評価しません。`PASSED` 検出結果を生成するには、トピックの Amazon SNS アクセスポリシーの条件は固定値のみを使用する必要があります。固定値は、ワイルドカード文字やポリシー変数を含まない値です。ポリシー変数に関する詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。

### 修正
<a name="sns-4-remediation"></a>

SNS トピックのアクセスポリシーを更新するには、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNSでのアクセス管理の概要](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html)」を参照してください。

# Amazon SQS の Security Hub CSPM コントロール
<a name="sqs-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Simple Queue Service (Amazon SQS) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [SQS.1] Amazon SQS キューは保管中に暗号化する必要があります
<a name="sqs-1"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::SQS::Queue`

**AWS Config rule:** `sqs-queue-encrypted` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SQS キューが保管中に暗号化されるかどうかをチェックします。キューが SQS マネージドキー (SSE-SQS) または AWS Key Management Service () キー (SSE-KMS AWS KMS) で暗号化されていない場合、コントロールは失敗します。

保管中のデータを暗号化すると、認証されていないユーザーがディスクに保存されているデータにアクセスするリスクが低減されます。サーバー側の暗号化 (SSE) は、SQS マネージド暗号化キー (SSE-SQS) または AWS KMS キー (SSE-KMS) を使用して、SQS キュー内のメッセージの内容を保護します。

### 修正
<a name="sqs-1-remediation"></a>

SQS キューの SSE を設定するには、「*Amazon Simple Queue Service デベロッパーガイド*」の「[キューのサーバー側の暗号化 (SSE) の設定 (コンソール)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html)」を参照してください。

## [SQS.2] SQS キューにはタグを付ける必要があります
<a name="sqs-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::SQS::Queue`

**AWS Config rule:** `tagged-sqs-queue` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon SQS キューにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。キューにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、キューにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="sqs-2-remediation"></a>

Amazon SQS コンソールを使用して既存のキューにタグを追加するには、「*Amazon Simple Queue Service デベロッパーガイド*」の[Amazon SQSキュー (コンソール) のコスト配分タグの設定](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html)」を参照してください。

## [SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください
<a name="sqs-3"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

**重要度:** 非常事態

**リソースタイプ :** `AWS::SQS::Queue`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SQS アクセスポリシーが SQS キューへのパブリックアクセスを許可するかどうかをチェックします。SQS アクセスポリシーでキューへのパブリックアクセスが許可されている場合、このコントロールは失敗します。

Amazon SQS アクセスポリシーでは、SQS キューへのパブリックアクセスを許可できます。これにより、匿名ユーザーまたは認証された IAM ID AWS がキューにアクセスできるようになります。SQS アクセスポリシーは、通常、ポリシーの `Principal` 要素でワイルドカード文字 (`*`) を指定し、適切な条件を使用してキューへのアクセスを制限するのではなく、またはその両方を指定することで、このアクセスを提供します。SQS アクセスポリシーでパブリックアクセスが許可されている場合、サードパーティーはキューからのメッセージの受信、キューへのメッセージの送信、キューのアクセスポリシーの変更などのタスクを実行できます。これにより、データ流出、サービス拒否、脅威アクターによるキューへのメッセージの挿入などのイベントが発生する可能性があります。

**注記**  
このコントロールはワイルドカード文字または変数を使用するポリシー条件を評価しません。`PASSED` 検出結果を生成するには、キューの Amazon SQS アクセスポリシーの条件は固定値のみを使用する必要があります。固定値は、ワイルドカード文字やポリシー変数を含まない値です。ポリシー変数に関する詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。

### 修正
<a name="sqs-3-remediation"></a>

SQS キューの SQS アクセスポリシーの設定については、「*Amazon Simple Queue Service デベロッパーガイド*」の「[Using custom policies with the Amazon SQS Access Policy Language](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html)」を参照してください。

# Step Functions の Security Hub CSPM コントロール
<a name="stepfunctions-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Step Functions サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります
<a name="stepfunctions-1"></a>

**関連する要件:** PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::StepFunctions::StateMachine`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `logLevel`  |  最小ログ記録レベル  |  列挙型  |  `ALL, ERROR, FATAL`  |  デフォルト値なし  | 

このコントロールは、 AWS Step Functions ステートマシンでログ記録が有効になっているかどうかをチェックします。ステートマシンでログ記録が有効になっていない場合、コントロールは失敗します。`logLevel` パラメータにカスタム値を指定したときは、ステートマシンで指定されたログ記録レベルがオンになっている場合にのみコントロールが成功します。

モニタリングは、Step Functions の信頼性、可用性、パフォーマンスを維持するのに役立ちます。マルチポイント障害をより簡単にデバッグできるように、 AWS のサービス 使用する からモニタリングデータを収集する必要があります。Step Functions のステートマシンにログ記録の設定を定義しておくと、Amazon CloudWatch Logs で実行履歴と結果を追跡できます。オプションで、エラーまたは致命的なイベントのみを追跡できます。

### 修正
<a name="stepfunctions-1-remediation"></a>

Step Functions ステートマシンのログ記録を有効にするには、「*AWS Step Functions デベロッパーガイド*」の「[ログ記録の設定](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure)」を参照してください。

## [StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります
<a name="stepfunctions-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::StepFunctions::Activity`

**AWS Config rule:**`tagged-stepfunctions-activity` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS Step Functions アクティビティにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。アクティビティにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、アクティビティにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="stepfunctions-2-remediation"></a>

Step Functions アクティビティにタグを追加するには、「*AWS Step Functions デベロッパーガイド*」の「[Step Functions のタグ付け](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html)」を参照してください。

# Systems Manager の Security Hub CSPM コントロール
<a name="ssm-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Systems Manager (SSM) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager
<a name="ssm-1"></a>

**関連する要件:** PCI DSS v3.2.1/2.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(2)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SA-15(2)、NIST.800-53.r5 SA-15(8)、NIST.800-53.r5 SA-3、NIST.800-53.r5 SI-2(3)

**カテゴリ:** 識別 > インベントリ

**重要度:** 中

**評価されたリソース:** `AWS::EC2::Instance`

**必要な AWS Config 記録リソース:** `AWS::EC2::Instance`、 `AWS::SSM::ManagedInstanceInventory`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、アカウントで停止および実行中の EC2 インスタンスが によって管理されているかどうかを確認します AWS Systems Manager。Systems Manager AWS のサービス は、 AWS インフラストラクチャの表示と制御に使用できる です。

セキュリティとコンプライアンスを維持するために、Systems Manager は停止中および実行中のマネージドインスタンスをスキャンします。マネージドインスタンスとは、Systems Manager で使用するために設定されたマシンです。Systems Manager が検出したポリシー違反について報告または是正処置を講じます。Systems Manager は、マネージドインスタンスを設定して維持するのにも役立ちます。詳細については、[AWS Systems Manager ユーザーガイド](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)を参照してください。

**注記**  
このコントロールは、 によって管理される AWS Elastic Disaster Recovery レプリケーションサーバーインスタンスである EC2 インスタンスの検出`FAILED`結果を生成します AWS。レプリケーションサーバーインスタンスは、ソースサーバーからの継続的なデータレプリケーション AWS Elastic Disaster Recovery をサポートするために によって自動的に起動される EC2 インスタンスです。 AWS は、これらのインスタンスから Systems Manager (SSM) エージェントを意図的に削除して分離を維持し、意図しないアクセスパスの可能性を防止します。

### 修正
<a name="ssm-1-remediation"></a>

を使用した EC2 インスタンスの管理の詳細については AWS Systems Manager、*AWS Systems Manager 「 ユーザーガイド*」の[Amazon EC2 ホスト管理](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html)」を参照してください。 AWS Systems Manager コンソールの**「設定オプション**」セクションで、デフォルト設定のままにするか、必要に応じて設定を変更できます。

## [SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります
<a name="ssm-2"></a>

**関連する要件:** NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、NIST.800-171.r2 3.7.1、PCI DSS v3.2.1/6.2、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3

**カテゴリ:** 検出 > 検出サービス 

**重要度:** 高

**リソースタイプ :** `AWS::SSM::PatchCompliance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、インスタンスへのパッチインストール後、Systems Manager パッチコンプライアンスのコンプライアンスステータスが、`COMPLIANT` と `NON_COMPLIANT` のどちらであるかをチェックします。コンプライアンスステータスが `NON_COMPLIANT` の場合、コントロールは失敗します。このコントロールは、Systems Manager Patch Manager によって管理されているインスタンスのみをチェックします。

組織の要求に応じて EC2 インスタンスにパッチを適用すると、 AWS アカウントのアタックサーフェスが低減されます。

### 修正
<a name="ssm-2-remediation"></a>

Systems Manager では、[パッチポリシー](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html)を使用して、マネージドインスタンスのパッチ適用を設定することを推奨しています。次の手順で説明するように、[Systems Manager のドキュメント](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html)を使用してインスタンスにパッチを適用することもできます。

**非準拠のパッチを修正するには**

1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。

1. **[ノード管理]** で、**[コマンドを実行する]** を選択し、**[コマンドを実行する]** を選択します。

1. **AWS-RunPatchBaseline** のオプションを選択します。

1. **[Operation]** (オペレーション) を **[Install]** (インストール) に変更します。

1. **[インスタンスを手動で選択する]** を選択し、非準拠のインスタンスを選択します。

1. **[Run]** (実行) を選択します。

1. コマンドの完了後に、パッチを適用したインスタンスの新しいコンプライアンスステータスをモニタリングするには、ナビゲーションペインで **[コンプライアンス]** を選択します。

## [SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります
<a name="ssm-3"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2(3)、PCI DSS v3.2.1/2.4、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3

**カテゴリ:** 検出 > 検出サービス

**重要度:** 低

**リソースタイプ :** `AWS::SSM::AssociationCompliance`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS Systems Manager 関連付けコンプライアンスのステータスが であるか`COMPLIANT`、インスタンスで関連付けが実行され`NON_COMPLIANT`た後であるかをチェックします。関連付けのコンプライアンスステータスが `NON_COMPLIANT` の場合、コントロールは失敗します。

State Manager の関連付けは、マネージドインスタンスに割り当てられる設定です。この設定では、インスタンスで維持する状態を定義します。例えば、関連付けでは、アンチウイルスソフトウェアをインスタンス上にインストールして実行する必要があること、または特定のポートを閉じる必要があることを指定できます。

State Manager の関連付けを 1 つまたは複数作成することで、コンプライアンスステータス情報をすぐに表示できるようになります。コンプライアンスステータスは、 コンソールで、または AWS CLI コマンドや対応する Systems Manager API アクションに応じて表示できます。関連付けでは、設定コンプライアンスはコンプライアンスステータスを表示します (`Compliant` または `Non-compliant`)。また、関連付けに割り当てられた `Critical` または `Medium` などの重要度レベルを表示します。

State Manager 関連付けのコンプライアンスの詳細については、「AWS Systems Manager ユーザーガイド」の「[State Manager 関連付けのコンプライアンスについて](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association)」を参照してください。

### 修正
<a name="ssm-3-remediation"></a>

失敗した関連付けは、ターゲットや Systems Manager ドキュメント名など、さまざまなものに関連している可能性があります。この問題を修正するには、まず関連付けの履歴を表示し、関連付けを特定して調査する必要があります。関連付けの履歴を表示するには、「*AWS Systems Manager ユーザーガイド*」の「[関連付けの履歴の表示](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html)」を参照してください。

調査後、関連付けを編集して特定された問題を修正できます。関連付けを編集して、新しい名前やスケジュール、重要度レベル、ターゲットを指定できます。関連付けを編集すると、 は新しいバージョン AWS Systems Manager を作成します。関連付けの編集については、「*AWS Systems Manager ユーザーガイド*」の「[関連付けの編集と新しいバージョンの作成](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html)」を参照してください。

## [SSM.4] SSM ドキュメントはパブリックにしないでください
<a name="ssm-4"></a>

**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 非常事態

**リソースタイプ :** `AWS::SSM::Document`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、アカウントが所有する AWS Systems Manager ドキュメントがパブリックかどうかをチェックします。所有者として `Self` の Systems Manager ドキュメントがパブリックの場合、このコントロールは失敗します。

パブリックの Systems Manager ドキュメントは、ドキュメントへの意図しないアクセスを許可する場合があります。パブリック Systems Manager ドキュメントは、アカウント、リソース、および内部プロセスに関する貴重な情報を公開する可能性があります。

ユースケースでパブリック共有が必要な場合を除き、`Self` 所有者として Systems Manager ドキュメントのパブリック共有設定をブロックすることを推奨します。

### 修正
<a name="ssm-4-remediation"></a>

Systems Manager ドキュメントの共有の設定については、「*AWS Systems Manager ユーザーガイド*」の「[SSM ドキュメントの共有](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share)」を参照してください。

## [SSM.5] SSM ドキュメントにはタグを付ける必要があります
<a name="ssm-5"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::SSM::Document`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、 AWS Systems Manager ドキュメントに `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。ドメインにタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、ドキュメントにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。このコントロールは、Amazon が所有する Systems Manager ドキュメントを評価しません。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="ssm-5-remediation"></a>

 AWS Systems Manager ドキュメントにタグを追加するには、 AWS Systems Manager API の [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html) オペレーションを使用するか、 を使用している場合は AWS CLI add[add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html) コマンドを実行します。 AWS Systems Manager コンソールを使用することもできます。

## [SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります
<a name="ssm-6"></a>

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールはAmazon CloudWatch ログ記録が AWS Systems Manager (SSM) Automation で有効になっているかどうかをチェックします。SSM Automation で CloudWatch ログ記録が有効になっていない場合、コントロールは失敗します。

SSM Automation は、事前定義されたランブックまたはカスタムランブックを使用して、リソースを大規模 AWS にデプロイ、設定、管理するための自動ソリューションを構築するのに役立つ AWS Systems Manager ツールです。組織の運用上またはセキュリティ上の要件を満たすために、実行されるスクリプトの記録が必要となることがあります。ランブック内にある `aws:executeScript` アクションからの出力は、指定した Amazon CloudWatch Logs ロググループに送信するために SSM Automation を設定することができます。CloudWatch Logs を使用すると、さまざまな AWS のサービスからのログファイルについて、モニタリング、保存、アクセスが行えます。

### 修正
<a name="ssm-6-remediation"></a>

SSM Automation で CloudWatch ログ記録を有効にする方法については、「*AWS Systems Manager ユーザーガイド*」の「[CloudWatch Logs を使用した自動アクション出力のログ記録](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html)」を参照してください。

## [SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります
<a name="ssm-7"></a>

**カテゴリ:** 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

**重要度:** 非常事態

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 AWS Systems Manager ドキュメントでブロックパブリック共有設定が有効になっているかどうかをチェックします。Systems Manager ドキュメントでブロックパブリック共有設定が無効になっていると、コントロールは失敗します。

 AWS Systems Manager (SSM) ドキュメントのブロックパブリック共有設定は、アカウントレベルの設定です。この設定を有効にすると、SSM ドキュメントへの不要なアクセスを防止できます。この設定を有効にしても、現在パブリックと共有している SSM ドキュメントには影響しません。ユースケースでパブリック共有を有効にする必要がある場合を除き、設定共有ブロック設定をオンにすることをお勧めします。設定は、それぞれ異なる場合があります AWS リージョン。

### 修正
<a name="ssm-7-remediation"></a>

 AWS Systems Manager (SSM) ドキュメントのブロックパブリック共有設定を有効にする方法については、「*AWS Systems Manager ユーザーガイド*」の「[SSM ドキュメントのパブリック共有をブロックする](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access)」を参照してください。

# の Security Hub CSPM コントロール AWS Transfer Family
<a name="transfer-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Transfer Family サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Transfer.1] AWS Transfer Family ワークフローにはタグを付ける必要があります
<a name="transfer-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Transfer::Workflow`

**AWS Config rule:** `tagged-transfer-workflow` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS Transfer Family ワークフローにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。ワークフローにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ワークフローにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="transfer-1-remediation"></a>

**Transfer Family ワークフローにタグを追加するには (コンソール)**

1.  AWS Transfer Family コンソールを開きます。

1. ナビゲーションペインで、[**Workflows**] (ワークフロー) をクリックします。次に、タグ付けするワークフローを選択します。

1. [**タグ管理**] を選択してからタグを追加します。

## [Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください
<a name="transfer-2"></a>

**関連する要件:** NIST.800-53.r5 CM-7、NIST.800-53.r5 IA-5、NIST.800-53.r5 SC-8、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::Transfer::Server`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 AWS Transfer Family サーバーがエンドポイント接続に FTP 以外のプロトコルを使用しているかどうかをチェックします。サーバーがクライアントに FTP プロトコルを使用してサーバーのエンドポイントに接続すると、コントロールは失敗します。

FTP (File Transfer Protocol) は、暗号化されていないチャネルを介してエンドポイント接続を確立し、これらのチャネル経由で送信されたデータは傍受されやすくなります。SFTP (SSH File Transfer Protocol)、FTPS (File Transfer Protocol Secure)、または AS2 (適用可能性ステートメント 2) を使用すると、転送中のデータを暗号化することでセキュリティを強化できます。また、潜在的な攻撃者が中間者攻撃や類似の攻撃を使用してネットワークトラフィックを盗聴または操作するのを防ぐのに役立ちます。

### 修正
<a name="transfer-2-remediation"></a>

Transfer Family サーバーのプロトコルを変更するには、「*AWS Transfer Family ユーザーガイド*」の「[ファイル転送プロトコルの編集](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols)」を参照してください。

## [Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります
<a name="transfer-3"></a>

**関連する要件:** NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::Transfer::Connector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS Transfer Family コネクタで Amazon CloudWatch ログ記録が有効になっているかどうかをチェックします。コネクタで CloudWatch ログ記録が有効になっていない場合、このコントロールは失敗します。

Amazon CloudWatch は、 AWS リソースを含む AWS Transfer Family リソースを可視化するモニタリングおよびオブザーバビリティサービスです。Transfer Family では、CloudWatch は、ワークフローの進行状況と結果に関する統合監査とログ記録を提供します。これには、Transfer Family がワークフロー用に定義するいくつかのメトリクスが含まれます。Transfer Family を設定して、CloudWatch でコネクタイベントを自動的にログ記録できます。これを行うには、コネクタのログ記録ロールを指定します。ログ記録ロールには、IAM ロールと、ロールのアクセス許可を定義するリソースベースの IAM ポリシーを作成します。

### 修正
<a name="transfer-3-remediation"></a>

Transfer Family コネクタの CloudWatch ログ記録を有効にする方法については、「*AWS Transfer Family ユーザーガイド*」の「[Amazon CloudWatch logging for AWS Transfer Family servers](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html)」を参照してください。

## [Transfer.4] Transfer Family 契約にはタグを付ける必要があります
<a name="transfer-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Transfer::Agreement`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、 AWS Transfer Family 契約に `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。契約にタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、契約にタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="transfer-4-remediation"></a>

 AWS Transfer Family 契約にタグを追加する方法については、[「 リソースのタグ付けとタグエディタユーザーガイド」の「リソースのタグ付け方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)* AWS *」を参照してください。

## [Transfer.5] Transfer Family 証明書にはタグを付ける必要があります
<a name="transfer-5"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Transfer::Certificate`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、 AWS Transfer Family 証明書に `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。証明書にタグキーがまったくない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーを持っていない場合、このコントロールは失敗となります。`requiredKeyTags` パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、証明書にタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="transfer-5-remediation"></a>

 AWS Transfer Family 証明書にタグを追加する方法については、[「 リソースのタグ付け」および「タグエディタユーザーガイド」の「リソースのタグ付け方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)* AWS *」を参照してください。

## [Transfer.6] Transfer Family コネクタにはタグを付ける必要があります
<a name="transfer-6"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Transfer::Connector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、 AWS Transfer Family コネクタに `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。コネクタにタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、コネクタにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="transfer-6-remediation"></a>

 AWS Transfer Family コネクタにタグを追加する方法については、[「 リソースのタグ付けとタグエディタユーザーガイド」の「リソースのタグ付け方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)* AWS *」を参照してください。

## [Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります
<a name="transfer-7"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Transfer::Profile`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、 AWS Transfer Family プロファイルに `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。プロファイルにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、プロファイルにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。コントロールは、ローカルプロファイルとパートナープロファイルを評価します。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="transfer-7-remediation"></a>

 AWS Transfer Family プロファイルにタグを追加する方法については、[「リソースのタグ付け」および「タグエディタユーザーガイド」の「リソースのタグ付け方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)* AWS *」を参照してください。

# の Security Hub CSPM コントロール AWS WAF
<a name="waf-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS WAF サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります
<a name="waf-1"></a>

**関連する要件:** NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::WAF::WebACL`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 AWS WAF グローバルウェブ ACL でログ記録が有効になっているかどうかを確認します。ウェブ ACL のログ記録が有効でない場合、このコントロールは失敗します。

ログ記録は、 の信頼性、可用性、パフォーマンスを AWS WAF グローバルに維持する上で重要な部分です。これは、多くの組織でビジネスおよびコンプライアンス要件であり、アプリケーションの動作をトラブルシューティングできます。また、 AWS WAFに添付済みのウェブ ACL によって分析されるトラフィックに関する詳細情報も提供します。

### 修正
<a name="waf-1-remediation"></a>

 AWS WAF ウェブ ACL のログ記録を有効にするには、「 *AWS WAF デベロッパーガイド*」の[「ウェブ ACL トラフィック情報のログ記録](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html)」を参照してください。

## [WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です
<a name="waf-2"></a>

**関連する要件:** NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::WAFRegional::Rule`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS WAF リージョンルールに少なくとも 1 つの条件があるかどうかをチェックします。ルールに条件が 1 つもない場合、このコントロールは失敗します。

WAF リージョンルールには、複数の条件を含めることが可能です。このルールの条件によってトラフィックの検査が許可され、定義されたアクション (許可、ブロック、カウント) が実行されます。条件が 1 つもないと、トラフィックは検査なしで通過します。条件がないにもかかわらず、許可、ブロック、カウントを示す名前またはタグが付いている WAF リージョンルールは、上記いずれかのアクションが行われているという誤解を生む可能性があります。

### 修正
<a name="waf-2-remediation"></a>

空のルールに条件を追加する方法については、には、「*AWS WAF デベロッパーガイド*」の「[Adding and removing conditions in a rule](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html)」を参照してください。

## [WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です
<a name="waf-3"></a>

**関連する要件:** NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::WAFRegional::RuleGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS WAF リージョンルールグループに少なくとも 1 つのルールがあるかどうかをチェックします。ルールグループにルールが 1 つもない場合、このコントロールは失敗します。

WAF リージョンルールグループには、複数のルールを含めることができます。このルールの条件によってトラフィックの検査が許可され、定義されたアクション (許可、ブロック、カウント) が実行されます。ルールが 1 つもないと、トラフィックは検査なしで通過します。ルールはないにもかかわらず、許可、ブロック、カウントを示す名前またはタグが付いている WAF リージョンルールグループは、上記いずれかのアクションが行われているという誤解を生む可能性があります。

### 修正
<a name="waf-3-remediation"></a>

空のルールグループにルールとルール条件を追加するには、「 *AWS WAF デベロッパーガイド*」の[AWS WAF 「 Classic ルールグループへのルールの追加と削除](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html)」および[「ルールの条件の追加と削除](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html)」を参照してください。

## [WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です
<a name="waf-4"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::WAFRegional::WebACL`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS WAF Classic Regional ウェブ ACL に WAF ルールまたは WAF ルールグループが含まれているかどうかをチェックします。ウェブ ACL に WAF ルールまたはルールグループが含まれていない場合、このコントロールは失敗します。

WAF リージョンウェブ ACL には、ウェブリクエストを検査および制御する、ルールおよびルールグループのコレクションを含めることができます。ウェブ ACL が空の場合、ウェブトラフィックは、デフォルトのアクションに応じて WAF による検出または処理なしに通過できます。

### 修正
<a name="waf-4-remediation"></a>

空の AWS WAF Classic Regional Web ACL にルールまたはルールグループを追加するには、「 *AWS WAF デベロッパーガイド*[」の「ウェブ ACL の編集](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html)」を参照してください。

## [WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です
<a name="waf-6"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::WAF::Rule`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS WAF グローバルルールに条件が含まれているかどうかをチェックします。ルールに条件が 1 つもない場合、このコントロールは失敗します。

WAF グローバルルールには、複数の条件を含めることが可能です。ルールの条件によってトラフィックの検査が可能になり、定義されたアクション (許可、ブロック、カウント) を実行できます。条件が 1 つもないと、トラフィックは検査なしで通過します。条件はないにもかかわらず、許可、ブロック、カウントを示す名前またはタグが付いている WAF グローバルルールは、上記いずれかのアクションが行われているという誤解を生む可能性があります。

### 修正
<a name="waf-6-remediation"></a>

ルールの作成方法および条件の追加方法については、「*AWS WAF デベロッパーガイド*」の「[Creating a rule and adding conditions](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html)」を参照してください。

## [WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です
<a name="waf-7"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::WAF::RuleGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS WAF グローバルルールグループに少なくとも 1 つのルールがあるかどうかをチェックします。ルールグループにルールが 1 つもない場合、このコントロールは失敗します。

WAF グローバルルールグループには、複数のルールを含めることができます。このルールの条件によってトラフィックの検査が許可され、定義されたアクション (許可、ブロック、カウント) が実行されます。ルールが 1 つもないと、トラフィックは検査なしで通過します。ルールはないにもかかわらず、許可、ブロック、カウントを示す名前またはタグが付いている WAF グローバルルールグループは、上記いずれかのアクションが行われているという誤解を生む可能性があります。

### 修正
<a name="waf-7-remediation"></a>

ルールグループにルールを追加する手順については、 *AWS WAF デベロッパーガイド*[の AWS WAF Classic ルールグループ](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html)の作成を参照してください。

## [WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です
<a name="waf-8"></a>

**関連する要件:** NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::WAF::WebACL`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS WAF グローバルウェブ ACL に少なくとも 1 つの WAF ルールまたは WAF ルールグループが含まれているかどうかをチェックします。ウェブ ACL に WAF ルールまたはルールグループが含まれていない場合、このコントロールは失敗します。

WAF グローバルウェブ ACL には、ウェブリクエストを検査および制御するルールおよびルールグループのコレクションを含めることができます。ウェブ ACL が空の場合、ウェブトラフィックは、デフォルトのアクションに応じて WAF による検出または処理なしに通過できます。

### 修正
<a name="waf-8-remediation"></a>

空の AWS WAF グローバルウェブ ACL にルールまたはルールグループを追加するには、「 *AWS WAF デベロッパーガイド*[」の「ウェブ ACL の編集](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html)」を参照してください。**[Filter]** (フィルター) で **[Global (CloudFront)]** (グローバル (CloudFront)) を選択します。

## [WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です
<a name="waf-10"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 中

**リソースタイプ :** `AWS::WAFv2::WebACL`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS WAF V2 ウェブアクセスコントロールリスト (ウェブ ACL) に少なくとも 1 つのルールまたはルールグループが含まれているかどうかを確認します。ウェブ ACL にルールまたはルールグループが含まれていない場合、このコントロールは失敗します。

ウェブ ACL を使用すると、保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。ウェブ ACL には、ウェブリクエストを検査および制御するルールおよびルールグループのコレクションを含める必要があります。ウェブ ACL が空の場合、デフォルトのアクション AWS WAF に応じて、ウェブトラフィックは検出されず、 によって処理されずに通過できます。

### 修正
<a name="waf-10-remediation"></a>

ルールまたはルールグループを空の WAFV2 ウェブ ACL に追加するには、「*AWS WAF デベロッパーガイド*」の「[Editing a Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html)」を参照してください。

## [WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります
<a name="waf-11"></a>

**関連する要件:** NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 低

**リソースタイプ :** `AWS::WAFv2::WebACL`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html) ``

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 AWS WAF V2 ウェブアクセスコントロールリスト (ウェブ ACL) のログ記録が有効になっているかどうかを確認します。ウェブ ACL のログ記録が無効の場合、このコントロールは失敗します。

**注記**  
このコントロールは、Amazon Security Lake を介してアカウントに対して AWS WAF ウェブ ACL ログ記録が有効になっているかどうかをチェックしません。

ログ記録は、 の信頼性、可用性、パフォーマンスを維持します AWS WAF。また、多くの組織において、ログ記録はビジネスおよびコンプライアンス要件となっています。ウェブ ACL で分析されたトラフィックをログに記録することで、アプリケーションの挙動のトラブルシューティングができます。

### 修正
<a name="waf-11-remediation"></a>

 AWS WAF ウェブ ACL のログ記録を有効にするには、「 *AWS WAF デベロッパーガイド*」の[「ウェブ ACL のログ記録の管理](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html)」を参照してください。

## [WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります
<a name="waf-12"></a>

**関連する要件:** NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::WAFv2::RuleGroup`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html) ``

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS WAF ルールまたはルールグループで Amazon CloudWatch メトリクスが有効になっているかどうかを確認します。ルールまたはルールグループで CloudWatch メトリクスが有効になっていない場合、コントロールは失敗します。

 AWS WAF ルールとルールグループで CloudWatch メトリクスを設定すると、トラフィックフローを可視化できます。どの ACL ルールがトリガーされ、どのリクエストが受け入れられブロックされたかを確認できます。この可視性は、関連リソースでの悪意のあるアクティビティを特定するのに役立ちます。

### 修正
<a name="waf-12-remediation"></a>

 AWS WAF ルールグループで CloudWatch メトリクスを有効にするには、[UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html) API を呼び出します。 AWS WAF ルールで CloudWatch メトリクスを有効にするには、[UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) API を呼び出します。`CloudWatchMetricsEnabled` フィールドは `true` に設定されます。 AWS WAF コンソールを使用してルールまたはルールグループを作成すると、CloudWatch メトリクスが自動的に有効になります。

# WorkSpaces の Security Hub CSPM コントロール
<a name="workspaces-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon WorkSpaces サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります
<a name="workspaces-1"></a>

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::WorkSpaces::Workspace`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon WorkSpaces WorkSpace のユーザーボリュームが保管中に暗号化されているかどうかを確認します。WorkSpace ユーザーボリュームが保管中に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。

### 修正
<a name="workspaces-1-remediation"></a>

WorkSpaces ユーザーボリュームを暗号化するには、「*Amazon WorkSpaces 管理ガイド*」の「[WorkSpace の暗号化](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace)」を参照してください。

## [WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります
<a name="workspaces-2"></a>

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::WorkSpaces::Workspace`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon WorkSpaces WorkSpace のルートボリュームが保管中に暗号化されているかどうかを確認します。WorkSpace ルートボリュームが保管中に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。

### 修正
<a name="workspaces-2-remediation"></a>

WorkSpaces ルートボリュームを暗号化するには、「*Amazon WorkSpaces 管理ガイド*」の「[WorkSpace の暗号化](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace)」を参照してください。

# Security Hub CSPM でコントロールを設定するために必要なアクセス許可
<a name="iam-permissions-controls-standards"></a>

セキュリティコントロールに関する情報を表示し、標準でセキュリティコントロールを有効または無効にするには、 AWS Security Hub CSPM へのアクセスに使用する AWS Identity and Access Management (IAM) ロールに、Security Hub CSPM API の次のオペレーションを呼び出すためのアクセス許可が必要です。

必要な権限を取得するには、[Security Hub CSPM のマネージドポリシー](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html)を使用します。または、カスタム IAM ポリシーを更新してこれらのアクションの権限を含めることもできます。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)** – 現在のアカウントと のセキュリティコントロールのバッチに関する情報を返します AWS リージョン。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)** — 指定された標準に適用されるセキュリティコントロールについての情報を返します。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)** — アカウントで有効になっている各標準で、セキュリティコントロールが現在有効か無効かを識別します。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)** — セキュリティコントロールのバッチについて、指定された標準の各コントロールが有効か無効かを識別します。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)** — コントロールを含む標準のセキュリティコントロールを有効化するか、標準のコントロールを無効化するために使用します。これは、既存の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) オペレーションのバッチ代替です。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)** — コントロールを含む標準のセキュリティコントロールのバッチを有効化するか、無効化するために使用します。これは、既存の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) オペレーションのバッチ代替です。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)** — コントロールを含む標準の単一のセキュリティコントロールを有効化するか、無効化するために使用します。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html)** – 指定されたセキュリティコントロールに関する詳細を返します。

前述の API に加えて、IAM ロールに `BatchGetControlEvaluations` を呼び出す権限を追加する必要があります。この権限は、コントロールの有効化およびコンプライアンスステータス、コントロールの検出結果の数、コントロールの全体的なセキュリティスコアを Security Hub CSPM コンソールに表示するために必要です。コンソールのみが を呼び出すため`BatchGetControlEvaluations`、このアクセス許可は公開されている Security Hub CSPM APIs または AWS CLI コマンドに直接対応していません。

# Security Hub CSPM でのコントロールの有効化
<a name="securityhub-standards-enable-disable-controls"></a>

 AWS Security Hub CSPM では、コントロールは、組織が情報の機密性、完全性、可用性を保護するのに役立つセキュリティ標準内の保護手段です。各 Security Hub CSPM コントロールは、特定の AWS リソースに関連しています。コントロールを有効にすると、Security Hub CSPM はそのコントロールのセキュリティチェックを開始し、その検出結果を生成します。Security Hub CSPM は、セキュリティスコアを計算する際に有効なすべてのコントロールも考慮します。

適用されるすべてのセキュリティ標準でコントロールを有効にすることができます。または、異なる標準で有効化ステータスを異なる方法で設定できます。有効なすべての標準でコントロールの有効化ステータスを一致させる前者のオプションを使用することをお勧めします。コントロールを適用するすべての標準にわたってコントロールを有効にする手順については、「[すべての標準にわたってコントロールを有効にする](enable-controls-overview.md)」を参照してください。特定の標準でコントロールを有効にする手順については、「[特定の標準のコントロールを有効にする](controls-configure.md)」を参照してください。

クロスリージョン集約を有効にし、集約リージョンにサインインすると、Security Hub CSPM コンソールには、少なくとも 1 つのリンクされたリージョンで利用可能なコントロールが表示されます。リンクされたリージョンでコントロールを使用できるが、集約リージョンでは使用できない場合は、集約リージョンからそのコントロールを有効または無効にすることはできません。

Security Hub CSPM コンソール、Security Hub CSPM API、または を使用して、各リージョンでコントロールを有効または無効にできます AWS CLI。

コントロールを有効または無効にする手順は、[中央設定](central-configuration-intro.md)を使用するかどうかによって異なります。このトピックでは、その違いについて説明します。Security Hub CSPM と を統合するユーザーは、中央設定を使用できます AWS Organizations。マルチアカウント、マルチリージョン環境でコントロールを有効または無効にするプロセスを簡略化するために、中央設定を使用することをお勧めします。中央設定を使用する場合は、設定ポリシーを使用して、複数のアカウントとリージョンのコントロールを有効にすることができます。中央設定を使用しない場合は、各リージョンとアカウントで個別にコントロールを有効にする必要があります。

# すべての標準にわたってコントロールを有効にする
<a name="enable-controls-overview"></a>

コントロールが適用されるすべての標準で AWS Security Hub CSPM コントロールを有効にすることをお勧めします。統合コントロールの検出結果を有効にすると、コントロールが複数の標準に属する場合でも、コントロールチェックごとに 1 つの検出結果を受け取ります。

## マルチアカウント、マルチリージョン環境でのクロススタンダード有効化
<a name="enable-controls-all-standards-central-configuration"></a>

複数の AWS アカウント と でセキュリティコントロールを有効にするには AWS リージョン、委任 Security Hub CSPM 管理者アカウントにサインインし、[中央設定](central-configuration-intro.md)を使用する必要があります。

中央設定では、委任管理者は、有効な標準全体で指定されたコントロールを有効にする Security Hub CSPM 設定ポリシーを作成できます。そして、設定ポリシーを特定のアカウントや組織単位 (OU)、またはルートに関連付けることができます。設定ポリシーは、ホームリージョン (集約リージョンとも呼ばれる) およびリンクされているすべてのリージョンで有効になります。

設定ポリシーではカスタマイズが可能です。例えば、ある OU ではすべてのコントロールを有効にし、別の OU では Amazon Elastic Compute Cloud (EC2) コントロールのみを有効にすることができます。詳細度のレベルは、組織のセキュリティカバレッジについて目指す目標によって異なります。標準全体で指定されたコントロールを有効にする設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

**注記**  
委任管理者は、[サービスマネージドスタンダードを除くすべての標準でコントロールを管理する設定ポリシーを作成できます AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)。この標準のコントロールは、 AWS Control Tower サービスで設定する必要があります。

委任管理者ではなく一部のアカウントに独自のコントロールを設定させたい場合は、委任管理者がそれらのアカウントをセルフマネージドとして指定できます。セルフマネージドアカウントは、リージョンごとにコントロールを個別に設定する必要があります。

## 単一アカウントとリージョンでのクロススタンダード有効化
<a name="enable-controls-all-standards"></a>

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントおよびリージョンでコントロールを一元的に有効にすることはできません。ただし、次の手順を使用して、1 つのアカウントおよびリージョンでコントロールを有効にすることができます。

------
#### [ Security Hub CSPM console ]

**1 つのアカウントおよびリージョンの標準全体でコントロールを有効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[コントロール]** を選択します。

1. **[無効]** タブを選択します。

1. コントロールの横にあるオプションを選択します。

1. **[コントロールの有効化]** を選択します (このオプションは、既に有効になっているコントロールには表示されません)。

1. コントロールを有効にするリージョンごとに、これらの手順を繰り返します。

------
#### [ Security Hub CSPM API ]

**1 つのアカウントおよびリージョンの標準全体でコントロールを有効にするには**

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API を呼び出します。セキュリティコントロール ID を指定します。

   **リクエストの例:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API を呼び出します。コントロールが有効になっていない標準の Amazon リソースネーム (ARN) を指定します。標準 ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) を実行します。

1. `AssociationStatus` パラメータを `ENABLED` と等しい値に設定します。既に有効化されているコントロールに対してこれらの手順を実行すると、API は HTTP ステータスコード 200 の応答を返します。

   **リクエストの例:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. コントロールを有効にするリージョンごとに、これらの手順を繰り返します。

------
#### [ AWS CLI ]

**1 つのアカウントおよびリージョンの標準全体でコントロールを有効にするには**

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) コマンドを実行します。セキュリティコントロール ID を指定します。

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) コマンドを実行します。コントロールが有効になっていない標準の Amazon リソースネーム (ARN) を指定します。標準 ARN を取得するには、`describe-standards` コマンドを実行します。

1. `AssociationStatus` パラメータを `ENABLED` と等しい値に設定します。既に有効化されているコントロールに対してこれらの手順を実行すると、コマンドは HTTP ステータスコード 200 の応答を返します。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. コントロールを有効にするリージョンごとに、これらの手順を繰り返します。

------

# 特定の標準のコントロールを有効にする
<a name="controls-configure"></a>

 AWS Security Hub CSPM で標準を有効にすると、その標準に適用されるすべてのコントロールが自動的に有効になります (ただし、この例外はサービスマネージド標準です）。その後、標準内の特定のコントロールを無効化または再有効化できます。ただし、有効なすべての標準でコントロールの有効化ステータスを一致させることをお勧めします。すべての標準にわたってコントロールを有効にする手順については、「[すべての標準にわたってコントロールを有効にする](enable-controls-overview.md)」を参照してください。

標準の詳細ページには、その標準に適用されるコントロールの一覧と、その標準で現在有効化されているコントロールと無効化されているコントロールに関する情報が含まれます。

また、標準の詳細ページで、特定の標準のコントロールを有効にすることもできます。各 AWS アカウント および で、特定の標準でコントロールを個別に有効にする必要があります AWS リージョン。特定の標準でコントロールを有効にした場合、現在のアカウントとリージョンにのみ影響します。

標準のコントロールを有効にするには、まず、そのコントロールが適用される標準を少なくとも 1 つ有効にする必要があります。標準を有効にする手順については、「[セキュリティ標準の有効化](enable-standards.md)」を参照してください。1 つ以上の標準でコントロールを有効にすると、Security Hub CSPM はそのコントロールの検出結果の生成を開始します。Security Hub CSPM では、全体のセキュリティスコアと標準セキュリティスコアの計算に[コントロールステータス](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values)が含まれます。コントロールを複数の標準で有効にしている場合でも、コントロール検出結果を統合して有効にすると、標準全体のセキュリティチェックごとに 1 つの検出結果を受け取ることができます。詳細については、[統合コントロールの検出結果](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)を参照してください。

標準でコントロールを有効にするには、そのコントロールが現在のリージョンで使用可能である必要があります。詳細については、「[リージョン別のコントロールの可用性](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support)」を参照してください。

以下の手順に従って、*特定の*標準で Security Hub CSPM コントロールを有効にします。以下の手順の代わりに、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) API アクションを使用して特定の標準のコントロールを有効にすることもできます。*すべての*標準でコントロールを有効にする手順については、「[単一アカウントとリージョンでのクロススタンダード有効化](enable-controls-overview.md#enable-controls-all-standards)」を参照してください。

------
#### [ Security Hub CSPM console ]

**特定の標準のコントロールを有効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[セキュリティ基準]** を選択します。

1. 該当する標準の **[結果を表示する]** を選択します。

1. コントロールを選択します。

1. **[コントロールの有効化]** を選択します (このオプションは、既に有効になっているコントロールには表示されません)。**[有効化]** を選択して確定します。

------
#### [ Security Hub CSPM API ]

**特定の標準のコントロールを有効にするには**

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` を実行して標準 ARN を提供すると、特定の標準で利用できるコントロールのリストが表示されます。標準 ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) を実行します。この API は、標準固有のコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

   **リクエストの例:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` を実行し、特定のコントロール ID を提供すると、各標準のコントロールの現在の有効化ステータスが返されます。

   **リクエストの例:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)` を実行します。コントロールを有効にする標準の ARN を指定します。

1. `AssociationStatus` パラメータを `ENABLED` と等しい値に設定します。

   **リクエストの例:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }
   ```

------
#### [ AWS CLI ]

**特定の標準のコントロールを有効にするには**

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` コマンドを実行して標準 ARN を提供すると、特定の標準で利用できるコントロールのリストが表示されます。標準 ARN を取得するには、`describe-standards` を実行します。このコマンドは、標準固有のコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` コマンドを実行し、特定のコントロール ID を提供すると、各標準のコントロールの現在の有効化ステータスが返されます。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` コマンドを実行します。コントロールを有効にする標準の ARN を指定します。

1. `AssociationStatus` パラメータを `ENABLED` と等しい値に設定します。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
   ```

------

# 有効な標準で新しいコントロールを自動的に有効化する
<a name="controls-auto-enable"></a>

AWS Security Hub CSPM は定期的に新しいコントロールをリリースし、1 つ以上の標準に追加します。有効化した標準で新しいコントロールを自動的に有効化するかどうかは、ユーザーが選択できます。

新しいセキュリティコントロールを自動的に有効にするには、Security Hub CSPM の中央設定を使用することをお勧めします。標準全体で無効にするコントロールのリストが含まれた設定ポリシーを作成できます。新しくリリースされたものも含め、他のすべてのコントロールはデフォルトで有効になっています。また、標準全体で有効にするコントロールのリストが含まれたポリシーを作成することもできます。新しくリリースされたものも含め、他のすべてのコントロールはデフォルトで無効になっています。詳細については、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

Security Hub CSPM では、有効化していない標準に新しいコントロールが追加された場合、そのコントロールを有効化しません。

以下の手順は、中央設定を使用しない場合にのみ適用されます。

お好みのアクセス方法を選択し、次の手順に従って、有効な標準の新しいコントロールを自動的に有効化します。

**注記**  
次の手順で新しいコントロールを自動的に有効にすると、コンソールでリリース直後にプログラムでコントロールを操作できます。ただし、自動的に有効化されたコントロールは一時的にデフォルトステータスが **[無効]** になります。Security Hub CSPM がコントロールリリースを処理し、アカウント内でコントロールを **[有効]** として指定するまでに、最大数日かかる場合があります。処理期間中は、コントロールを手動で有効または無効にすることができます。自動コントロールの有効化が有効になっているかどうかにかかわらず、Security Hub CSPM はその指定を維持します。

------
#### [ Security Hub CSPM console ]

**新しいコントロールを自動的に有効化するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Settings]** (設定)、**[General]** (一般) タブの順に選択します。

1. **[コントロール]** で **[編集]** を選択します。

1. **[有効になっている標準で新しいコントロールを自動的に有効にする]** をオンにします。

1. **[保存]** を選択します。

------
#### [ Security Hub CSPM API ]

**新しいコントロールを自動的に有効化するには**

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html) を実行します。

1. 有効な標準で新しいコントロールを自動的に有効にするには、`AutoEnableControls` を `true` に設定します。新しいコントロールを自動的に有効化しない場合は、`AutoEnableControls` を false に設定します。

------
#### [ AWS CLI ]

**新しいコントロールを自動的に有効化するには**

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html) コマンドを実行します。

1. 有効な標準で新しいコントロールを自動的に有効にするには、`--auto-enable-controls` を指定します。新しいコントロールを自動的に有効化しない場合は、`--no-auto-enable-controls` を指定します。

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
   ```

   **コマンドの例**

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls
   ```

------

新しいコントロールを自動的に有効化しない場合は、手動で有効化する必要があります。手順については、「[Security Hub CSPM でのコントロールの有効化](securityhub-standards-enable-disable-controls.md)」を参照してください。

# Security Hub CSPM でのコントロールの無効化
<a name="disable-controls-overview"></a>

検出結果のノイズを減らすには、環境に関係のないコントロールを無効にすると便利です。 AWS Security Hub CSPM では、すべてのセキュリティ標準または特定の標準に対してのみコントロールを無効にすることができます。

すべての標準にわたってコントロールを無効化した場合、次のようになります。
+ コントロールのセキュリティチェックは実行されなくなります。
+ そのコントロールに対して追加の検出結果は生成されません。
+ コントロールの既存の検出結果は更新されなくなりました。
+ コントロールの既存の検出結果は、通常ベストエフォートベースで 3～5 日以内に自動的にアーカイブされます。
+ Security Hub CSPM は、コントロール用に作成した関連 AWS Config ルールを削除します。

特定の標準のみのコントロールを無効にすると、Security Hub CSPM はそれらの標準のみのコントロールのセキュリティチェックの実行を停止します。またこれにより、それらの各標準の[セキュリティスコアの計算](standards-security-score.md)からコントロールが削除されます。コントロールが他の標準で有効になっている場合、Security Hub CSPM は必要に応じて、関連する AWS Config ルールを保持し、他の標準に対するコントロールのセキュリティチェックを引き続き実行します。また、Security Hub CSPM には、他の各標準のセキュリティスコアを計算する際のコントロールも含まれており、これはセキュリティスコアの概要に影響します。

標準を無効にすると、標準に適用されるコントロールがすべてその標準に対して自動的に無効になります。ただし、コントロールは他の標準で引き続き有効になる場合があります。標準を無効化すると、Security Hub CSPM はその標準に対して無効化されたコントロールを追跡しません。したがって、後で同じ標準を再度有効化すると、それに適用されるすべてのコントロールが自動的に有効になります。標準の無効化の詳細については、「[セキュリティ標準の無効化](disable-standards.md)」を参照してください。

コントロールの無効化は永続的なアクションになりません。あるコントロールを無効にし、そのコントロールを含む標準を有効にするとします。その後、コントロールはその標準に対して有効になります。Security Hub CSPM で標準を有効にすると、その標準に適用されるすべてのコントロールが自動的に有効になります。標準を有効化する方法については、「[標準を有効にする](enable-standards.md)」を参照してください。

**Topics**
+ [すべての標準にわたってコントロールを無効にする](disable-controls-across-standards.md)
+ [特定の標準のコントロールを無効にする](disable-controls-standard.md)
+ [無効化を推奨するコントロール](controls-to-disable.md)

# すべての標準にわたってコントロールを無効にする
<a name="disable-controls-across-standards"></a>

組織全体の整合性を維持するために、標準全体で AWS Security Hub CSPM コントロールを無効にすることをお勧めします。特定の標準でのみコントロールを無効にすると、他の標準で有効になっている場合、コントロールの結果が引き続き表示されます。

## 複数のアカウントとリージョンでのクロススタンダード無効化
<a name="disable-controls-all-standards-central-configuration"></a>

複数の AWS アカウント および でセキュリティコントロールを無効にするには AWS リージョン、[中央設定](central-configuration-intro.md)を使用する必要があります。

中央設定を使用する場合、委任管理者は、有効な標準全体で指定されたコントロールを無効にする Security Hub CSPM 設定ポリシーを作成できます。そして、設定ポリシーを特定のアカウント、OU、またはルートに関連付けることができます。設定ポリシーは、ホームリージョン (集約リージョンとも呼ばれる) およびリンクされているすべてのリージョンで有効になります。

設定ポリシーではカスタマイズが可能です。例えば、1 つの OU ですべての AWS CloudTrail コントロールを無効にしたり、別の OU ですべての IAM コントロールを無効にしたりできます。詳細度のレベルは、組織のセキュリティカバレッジについて目指す目標によって異なります。標準全体で指定されたコントロールを無効にする設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

**注記**  
委任管理者は、[サービスマネージドスタンダードを除くすべての標準でコントロールを管理する設定ポリシーを作成できます AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)。この標準のコントロールは、 AWS Control Tower サービスで設定する必要があります。

委任管理者ではなく一部のアカウントに独自のコントロールを設定させたい場合は、委任管理者がそれらのアカウントをセルフマネージドとして指定できます。セルフマネージドアカウントは、リージョンごとにコントロールを個別に設定する必要があります。

## 単一のアカウントとリージョンでのクロススタンダード無効化
<a name="disable-controls-all-standards"></a>

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントおよびリージョンでコントロールを一元的に無効にすることはできません。ただし、1 つのアカウントおよびリージョンでコントロールを無効にすることができます。

------
#### [ Security Hub CSPM console ]

**1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[コントロール]** を選択します。

1. コントロールの横にあるオプションを選択します。

1. **[コントロールを無効にする]** を選択します。このオプションは、既に無効になっているコントロールには表示されません。

1. コントロールを無効にする理由を選択し、**[無効化]** を選択して確定します。

1. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。

------
#### [ Security Hub CSPM API ]

**1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには**

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API を呼び出します。セキュリティコントロール ID を指定します。

   **リクエストの例:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API を呼び出します。コントロールが有効になっている標準の ARN を指定します。標準 ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) を実行します。

1. `AssociationStatus` パラメータを `DISABLED` と等しい値に設定します。既に無効化されているコントロールに対してこれらの手順を実行すると、API は HTTP ステータスコード 200 の応答を返します。

   **リクエストの例:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。

------
#### [ AWS CLI ]

**1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには**

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) コマンドを実行します。セキュリティコントロール ID を指定します。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) コマンドを実行します。コントロールが有効になっている標準の ARN を指定します。標準 ARN を取得するには、`describe-standards` コマンドを実行します。

1. `AssociationStatus` パラメータを `DISABLED` と等しい値に設定します。既に無効化されているコントロールに対してこれらの手順を実行すると、コマンドは HTTP ステータスコード 200 の応答を返します。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。

------

# 特定の標準のコントロールを無効にする
<a name="disable-controls-standard"></a>

すべての標準全体ではなく、特定のセキュリティ標準のみにおいて、コントロールを無効にすることができます。コントロールが他の有効な標準に適用される場合、 AWS Security Hub CSPM は引き続きコントロールのセキュリティチェックを実行し、引き続きコントロールの検出結果を受け取ります。

コントロールが適用されるすべての有効な標準にわたって、コントロールの有効化ステータスを一致させることをお勧めします。適用されるすべての標準にわたってコントロールを無効にする情報については、「[すべての標準にわたってコントロールを無効にする](disable-controls-across-standards.md)」を参照してください。

また、標準の詳細ページで、特定の標準のコントロールを無効にすることもできます。各 AWS アカウント および で、特定の標準のコントロールを個別に無効にする必要があります AWS リージョン。特定の標準のコントロールを無効にした場合、現在のアカウントとリージョンにのみ影響があります。

任意の方法を選択し、これらの手順に従って、1 つ以上の特定の標準でコントロールを無効にします。

------
#### [ Security Hub CSPM console ]

**特定の標準のコントロールを無効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[セキュリティ基準]** を選択します。該当する標準の **[結果を表示する]** を選択します。

1. コントロールを選択します。

1. **[コントロールを無効にする]** を選択します。このオプションは、既に無効になっているコントロールには表示されません。

1. コントロールを無効にする理由を入力し、**[無効化]** を選択して確定します。

------
#### [ Security Hub CSPM API ]

**特定の標準のコントロールを無効にするには**

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` を実行して標準 ARN を提供すると、特定の標準で利用できるコントロールのリストが表示されます。標準 ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) を実行します。この API は、標準固有のコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

   **リクエストの例:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` を実行し、特定のコントロール ID を提供すると、各標準のコントロールの現在の有効化ステータスが返されます。

   **リクエストの例:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)` を実行します。コントロールを無効にする標準の ARN を指定します。

1. `AssociationStatus` パラメータを `DISABLED` と等しい値に設定します。既に無効化されているコントロールに対してこれらの手順を実行すると、API は HTTP ステータスコード 200 の応答を返します。

   **リクエストの例:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**特定の標準のコントロールを無効にするには**

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` コマンドを実行して標準 ARN を提供すると、特定の標準で利用できるコントロールのリストが表示されます。標準 ARN を取得するには、`describe-standards` を実行します。このコマンドは、標準固有のコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` コマンドを実行し、特定のコントロール ID を提供すると、各標準のコントロールの現在の有効化ステータスが返されます。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` コマンドを実行します。コントロールを無効にする標準の ARN を指定します。

1. `AssociationStatus` パラメータを `DISABLED` と等しい値に設定します。既に有効化されているコントロールに対してこれらの手順を実行すると、コマンドは HTTP ステータスコード 200 の応答を返します。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Security Hub CSPM で無効化を推奨するコントロール
<a name="controls-to-disable"></a>

検出結果のノイズと使用コストを削減するために、一部の AWS Security Hub CSPM コントロールを無効にすることをお勧めします。

## グローバルリソースを使用するコントロール
<a name="controls-to-disable-global-resources"></a>

一部の はグローバルリソース AWS のサービス をサポートしているため、任意の からリソースにアクセスできます AWS リージョン。のコストを節約するために AWS Config、1 つのリージョンを除くすべてのリージョンでグローバルリソースの記録を無効にすることができます。ただし、これを行った後、Security Hub CSPM は引き続きコントロールが有効になっているすべてのリージョンでセキュリティチェックを実行し、リージョンごとにアカウントごとのチェック数に基づいて料金を請求します。したがって、Security Hub CSPM での検出結果のノイズを減らし、コストを節約するには、グローバルリソースを記録するリージョン以外のすべてのリージョンで、グローバルリソースが含まれるコントロールを無効にする必要もあります。

コントロールにグローバルリソースが含まれるが、1 つのリージョンでのみ利用可能な場合、そのリージョンでコントロールを無効にすると、基盤となるリソースの検出結果を取得できなくなります。この場合、コントロールを有効にしておくことをお勧めします。クロスリージョン集約を使用する場合、コントロールが利用可能なリージョンは、集約リージョンまたはリンクされたリージョンのいずれかである必要があります。次のコントロールにはグローバルリソースが含まれますが、単一のリージョンでのみ使用できます。
+ **すべての CloudFront コントロール** – 米国東部 (バージニア北部) リージョンでのみ利用できます
+ **GlobalAccelerator.1** – 米国西部 (オレゴン) リージョンでのみ利用できます
+ **Route53.2** – 米国東部 (バージニア北部) リージョンでのみ利用できます
+ **WAF.1、WAF.6、WAF.7、WAF.8** – 米国東部 (バージニア北部) リージョンでのみ利用できます

**注記**  
中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。  
グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。  
中央設定の詳細については、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

*定期的な*スケジュールタイプを持つコントロールの場合、課金を防ぐには Security Hub CSPM でコントロールを無効にする必要があります。 AWS Config パラメータを に設定`false`しても`includeGlobalResourceTypes`、定期的な Security Hub CSPM コントロールには影響しません。

以下の Security Hub CSPM コントロールは、グローバルリソースを使用します。
+ [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)
+ [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)
+ [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
+ [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
+ [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
+ [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
+ [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
+ [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7)
+ [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
+ [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
+ [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10)
+ [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11)
+ [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12)
+ [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13)
+ [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14)
+ [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
+ [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
+ [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17)
+ [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
+ [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19)
+ [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21)
+ [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)
+ [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24)
+ [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25)
+ [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26)
+ [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27)
+ [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1)
+ [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2)
+ [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2)
+ [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8)

## CloudTrail ログ記録コントロール
<a name="controls-to-disable-cloudtrail-logging"></a>

[CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) コントロールは、証 AWS CloudTrail 跡ログを暗号化するための AWS Key Management Service (AWS KMS) の使用を評価します。これらの証跡を一元的なログ記録アカウントに記録する場合は、アカウントと一元的なログ記録が行われる AWS リージョン 場所でのみこのコントロールを有効にする必要があります。

[中央設定](central-configuration-intro.md)を使用した場合、コントロールの有効化ステータスは、ホームリージョンおよびリンクされたリージョンで統一されます。一部のリージョンでコントロールを無効にして、他のリージョンで有効にすることはできません。この場合は、CloudTrail.2 コントロールからの検出結果を抑制して、検出結果のノイズを低減できます。

## CloudWatch アラームコントロール
<a name="controls-to-disable-cloudwatch-alarms"></a>

異常検出で、Amazon CloudWatch アラームの代わりに Amazon GuardDuty を使用したい場合は、CloudWatch アラームに特化した以下のコントロールを無効にすることができます。
+ [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)

# Security Hub CSPM におけるセキュリティチェックとセキュリティスコアについて
<a name="securityhub-controls-finding-generation"></a>

有効にするコントロールごとに、 AWS Security Hub CSPM はセキュリティチェックを実行します。セキュリティチェックは、特定の AWS リソースがコントロールに含まれるルールに準拠しているかどうかを示す結果を生成します。

一部のチェックは定期的なスケジュールで実行されます。その他のチェックは、リソースの状態が変更された場合にのみ実行されます。詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。

多くのセキュリティチェックでは、 AWS Config マネージドルールまたはカスタムルールを使用してコンプライアンス要件を確立します。これらのチェックを実行するには、必要なリソースのリソース記録を設定 AWS Config して有効にする必要があります。設定の詳細については AWS Config、「」を参照してください[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)。標準ごとに記録する必要がある AWS Config リソースのリストについては、「」を参照してください[コントロールの検出結果に必要な AWS Config リソース](controls-config-resources.md)。他のコントロールは、Security Hub CSPM によって管理され、前提条件を必要としないカスタム Lambda 関数を使用します。

Security Hub CSPM はセキュリティチェックを実行すると、検出結果を生成してコンプライアンスステータスを割り当てます。コンプライアンスステータスの詳細については、「[Security Hub CSPM の検出結果のコンプライアンスステータスの評価](controls-overall-status.md#controls-overall-status-compliance-status)」を参照してください。

Security Hub CSPM は、コントロール検出結果のコンプライアンスステイタスを使用して、全体的なコントロールステータスを決定します。コントロールステータスに基づいて、Security Hub CSPM は、有効になっているすべてのコントロールと特定の標準に対するセキュリティスコアも計算します。詳細については、「[コンプライアンスステータスとコントロールステータスの評価](controls-overall-status.md)」および「[セキュリティスコアの計算](standards-security-score.md)」を参照してください。

[統合されたコントロールの検出結果] を有効にしている場合、コントロールが複数の標準に関連付けられていても、Security Hub CSPM は単一の検出結果を生成します。詳細については、「[統合されたコントロールの検出結果](controls-findings-create-update.md#consolidated-control-findings)」を参照してください。

**Topics**
+ [コントロールの検出結果に必要な AWS Config リソース](controls-config-resources.md)
+ [セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)
+ [コントロールの結果を生成および更新する](controls-findings-create-update.md)
+ [コンプライアンスステータスとコントロールステータスの評価](controls-overall-status.md)
+ [セキュリティスコアの計算](standards-security-score.md)

# コントロールの検出結果に必要な AWS Config リソース
<a name="controls-config-resources"></a>

 AWS Security Hub CSPM では、一部のコントロールは、 AWS リソースの設定変更を検出するサービスにリンクされた AWS Config ルールを使用します。Security Hub CSPM がこれらのコントロールの正確な検出結果を生成するには、リソース記録を有効に AWS Config してオンにする必要があります AWS Config。Security Hub CSPM が AWS Config ルールを使用する方法と、 を有効にして設定する方法については AWS Config、「」を参照してください[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)。リソースの記録の詳細については、「*AWS Config デベロッパーガイド*」の「[Working with the configuration recorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。

正確なコントロール結果を受け取るには、*変更がトリガー*されたスケジュールタイプで有効なコントロールの AWS Config リソース記録を有効にする必要があります。*定期*スケジュールタイプの一部のコントロールでも、リソースの記録が必要です。このページには、これらの Security Hub CSPM コントロールに必要なリソースが一覧表示されています。

Security Hub CSPM コントロールは、マネージド AWS Config ルールまたはカスタム Security Hub CSPM ルールに依存します。リソースを記録するアクセス許可を AWS Config に付与できない AWS Identity and Access Management (IAM) ポリシーや AWS Organizations 管理ポリシーがないことを確認します。Security Hub CSPM コントロールは、リソース設定を直接評価し、 AWS Organizations ポリシーを考慮しません。

**注記**  
コントロールが利用できない AWS リージョン では、対応するリソースは では使用できません AWS Config。これらの制限のリストは「[Security Hub CSPM コントロールのリージョンの制限](regions-controls.md)」を参照してください。

**Topics**
+ [すべての Security Hub CSPM コントロールに必要なリソース](#all-controls-config-resources)
+ [Foundational Security Best Practices AWS 標準に必要なリソース](#securityhub-standards-fsbp-config-resources)
+ [CIS AWS Foundations Benchmark に必要なリソース](#securityhub-standards-cis-config-resources)
+ [NIST SP 800-53 Revision 5 標準に必要なリソース](#nist-config-resources)
+ [NIST SP 800-171 Revision 2 標準に必要なリソース](#nist-800-171-config-resources)
+ [PCI DSS v3.2.1 に必要なリソース](#securityhub-standards-pci-config-resources)
+ [リソースタグ付け標準に必要な AWS リソース](#tagging-config-resources)

## すべての Security Hub CSPM コントロールに必要なリソース
<a name="all-controls-config-resources"></a>

Security Hub CSPM が有効化され、 AWS Config ルールを使用する変更トリガーコントロールの検出結果を生成するには、次のタイプのリソースを に記録する必要があります AWS Config。この表には、どのコントロールが特定のリソースタイプを評価するかも示されています。1 つのコントロールが複数のリソースタイプを評価する場合があります。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/controls-config-resources.html)

## Foundational Security Best Practices AWS 標準に必要なリソース
<a name="securityhub-standards-fsbp-config-resources"></a>

Security Hub CSPM が AWS Foundational Security Best Practices 標準 (v.1.0.0) に適用され、有効になっており、 AWS Config ルールを使用する変更トリガーコントロールの検出結果を正確にレポートするには、次のタイプのリソースを に記録する必要があります AWS Config。この標準の詳細については、「[AWS Security Hub CSPM の基本的なセキュリティのベストプラクティス標準](fsbp-standard.md)」を参照してください。


| AWS のサービス | リソースタイプ: | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup`  | 
|  Amazon Cognito  |  `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool`  | 
|  Amazon Connect  |  `AWS::Connect::Instance`  | 
|  AWS DataSync  |  `AWS::DataSync::Task`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  エラスティックロードバランシング  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  AWS Glue  |  `AWS::Glue::Job`, `AWS::Glue::MLTransform`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Key`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|  Amazon OpenSearch Service  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Redshift Serverless  |  `AWS::RedshiftServerless::Workgroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Step Functions  |  `AWS::StepFunctions::StateMachine`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 
|  Amazon WorkSpaces  |  `AWS::WorkSpaces::WorkSpace`  | 

## CIS AWS Foundations Benchmark に必要なリソース
<a name="securityhub-standards-cis-config-resources"></a>

Center for Internet Security (CIS) AWS Foundations Benchmark に適用される有効なコントロールのセキュリティチェックを実行するには、Security Hub CSPM はチェックに規定された正確な監査ステップを実行するか、特定の AWS Config マネージドルールを使用します。Security Hub CSPM のこの標準の詳細については、「[Security Hub CSPM の CIS AWS Foundations Benchmark](cis-aws-foundations-benchmark.md)」を参照してください。

### CIS v5.0.0 に必要なリソース
<a name="cis-5.0-config-resources"></a>

Security Hub CSPM が、 AWS Config ルールを使用する有効な CIS v5.0.0 変更トリガーコントロールの検出結果を正確にレポートするには、 に次のタイプのリソースを記録する必要があります AWS Config。


| AWS のサービス | リソースタイプ: | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::FileSystem`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### CIS v3.0.0 に必要なリソース
<a name="cis-3.0-config-resources"></a>

Security Hub CSPM が AWS Config ルールを使用する有効な CIS v3.0.0 変更トリガーコントロールの検出結果を正確にレポートするには、 に次のタイプのリソースを記録する必要があります AWS Config。


| AWS のサービス | リソースタイプ: | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### CIS v1.4.0 に必要な リソース
<a name="cis-1.4-config-resources"></a>

Security Hub CSPM が AWS Config ルールを使用する有効な CIS v1.4.0 変更トリガーコントロールの検出結果を正確にレポートするには、次のタイプのリソースを に記録する必要があります AWS Config。


| AWS のサービス | リソースタイプ: | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### CIS v1.2.0 に必要な リソース
<a name="cis-1.2-config-resources"></a>

Security Hub CSPM が、 AWS Config ルールを使用する有効な CIS v1.2.0 変更トリガーコントロールの検出結果を正確にレポートするには、 に次のタイプのリソースを記録する必要があります AWS Config。


| AWS のサービス | リソースタイプ: | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 

## NIST SP 800-53 Revision 5 標準に必要なリソース
<a name="nist-config-resources"></a>

Security Hub CSPM が NIST SP 800-53 Revision 5 標準に適用され、有効になっており、 AWS Config ルールを使用する変更トリガーコントロールの検出結果を正確にレポートするには、次のタイプのリソースを に記録する必要があります AWS Config。この標準の詳細については、「[Security Hub CSPM の NIST SP 800-53 Revision 5](standards-reference-nist-800-53.md)」を参照してください。


| AWS のサービス | リソースタイプ: | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  エラスティックロードバランシング  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|  Amazon OpenSearch Service  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## NIST SP 800-171 Revision 2 標準に必要なリソース
<a name="nist-800-171-config-resources"></a>

Security Hub CSPM が NIST SP 800-171 Revision 2 標準に適用され、有効になっており、 AWS Config ルールを使用する変更トリガーコントロールの検出結果を正確にレポートするには、次のタイプのリソースを に記録する必要があります AWS Config。この標準の詳細については、「[Security Hub CSPM の NIST SP 800-171 Revision 2](standards-reference-nist-800-171.md)」を参照してください。


| AWS のサービス | リソースタイプ: | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| エラスティックロードバランシング | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## PCI DSS v3.2.1 に必要なリソース
<a name="securityhub-standards-pci-config-resources"></a>

 AWS Config ルールを使用する有効な Payment Card Industry Data Security Standard (PCI DSS) の v3.2.1 に適用されるコントロールの検出結果を Security Hub CSPM が正確にレポートするためには、 AWS Configの以下のリソースタイプを記録する必要があります。この標準の詳細については、「[Security Hub CSPM の PCI DSS](pci-standard.md)」を参照してください。


| AWS のサービス | リソースタイプ: | 
| --- | --- | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon OpenSearch Service  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 

## リソースタグ付け標準に必要な AWS リソース
<a name="tagging-config-resources"></a>

 AWS リソースタグ付け標準に適用されるすべてのコントロールは、変更がトリガーされ、 AWS Config ルールを使用します。Security Hub CSPM がこれらのコントロールの検出結果を正確にレポートするには、次のタイプのリソースを記録する必要があります AWS Config。この標準の詳細については、「[AWS Security Hub CSPM のリソースタグ付け標準](standards-tagging.md)」を参照してください。


| AWS のサービス | リソースタイプ: | 
| --- | --- | 
| AWS Amplify |  `AWS::Amplify::App`, `AWS::Amplify::Branch`  | 
| Amazon AppFlow  |  `AWS::AppFlow::Flow`  | 
| AWS App Runner  |  `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector`  | 
| AWS AppConfig  |  `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation`  | 
| AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
| Amazon Athena  |  `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup`  | 
| AWS Backup |  `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan`  | 
| AWS Batch  |  `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy`  | 
| AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
| AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
| Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
| AWS CloudTrail  |  `AWS::CloudTrail::Trail`  | 
| AWS CodeArtifact  |  `AWS::CodeArtifact::Repository`  | 
| Amazon CodeGuru  |  `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation`  | 
| Amazon Connect  |  `AWS::CustomerProfiles::ObjectType`  | 
| AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup`  | 
| AWS DataSync |  `AWS::DataSync::Task`  | 
| Amazon Detective  |  `AWS::Detective::Graph`  | 
| Amazon DynamoDB  |  `AWS::DynamoDB::Trail`  | 
| Amazon Elastic Compute Cloud (EC2)  |  `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway`  | 
| Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
| Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::PublicRepository`  | 
| Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
| Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
| Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig`  | 
| AWS Elastic Beanstalk |  `AWS::ElasticBeanstalk::Environment`  | 
| ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
| Amazon EventBridge  |  `AWS::Events::EventBus`  | 
| Amazon Fraud Detector  |  `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable`  | 
| AWS Global Accelerator  |  `AWS::GlobalAccelerator::Accelerator`  | 
| AWS Glue  |  `AWS::Glue::Job`  | 
| Amazon GuardDuty  |  `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet`  | 
| AWS Identity and Access Management (IAM)  |  `AWS::IAM::Role`, `AWS::IAM::User`  | 
| AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)  |  `AWS::AccessAnalyzer::Analyzer`  | 
| AWS IoT  |  `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile`  | 
| AWS IoT イベント  |  `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input`  | 
| AWS IoT SiteWise  |  `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project`  | 
| AWS IoT TwinMaker  |  `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace`  | 
| AWS IoT ワイヤレス  |  `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile`  | 
| Amazon Interactive Video Service (Amazon IVS)  |  `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration`  | 
| Amazon Keyspaces (Apache Cassandra 向け)  |  `AWS::Cassandra::Keyspace`  | 
| Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
| AWS Lambda  |  `AWS::Lambda::Function`  | 
| Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
| AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`  | 
| Amazon OpenSearch Service |  `AWS::OpenSearch::Domain`  | 
| AWS Private Certificate Authority |  `AWS::ACMPCA::CertificateAuthority`  | 
| Amazon Relational Database Service  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup`  | 
| Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription`  | 
| Amazon Route 53  |  `AWS::Route53::HealthCheck`  | 
| Amazon SageMaker AI |  `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image`  | 
| AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
| Amazon Simple Email Service (Amazon SES)  |  `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList`  | 
| Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
| Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| AWS Step Functions  |  `AWS::StepFunctions::Activity`  | 
| AWS Systems Manager (SSM) |  `AWS::SSM::Document`  | 
| AWS Transfer Family |  `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow`  | 

# セキュリティチェックの実行スケジュール
<a name="securityhub-standards-schedule"></a>

セキュリティ標準を有効にすると、 AWS Security Hub CSPM は 2 時間以内にすべてのチェックの実行を開始します。ほとんどのチェックは 25 分以内に実行開始されます。Security Hub CSPM は、コントロールの基礎となるルールを評価することによってチェックを実行します。コントロールのチェックの最初の実行が完了するまで、ステータスは **[No data]** (データなし) です。

新しい標準を有効にすると、Security Hub CSPM が、他の有効な標準で有効なコントロールと同じ基盤となる AWS Config サービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに、最大 24 時間かかる場合があります。例えば、 AWS Foundational Security Best Practices (FSBP) 標準で [Lambda.1](lambda-controls.md#lambda-1) コントロールを有効にすると、Security Hub CSPM はサービスにリンクされたルールを作成し、通常は数分以内に結果を生成します。その後、Payment Card Industry Data Security Standard (PCI DSS) で Lambda.1 コントロールを有効にすると、同じサービスリンクルールを使用するため、Security Hub がこのコントロールの検出結果を生成するまでに最大 24 時間かかります。

最初のチェックの後、各コントロールのスケジュールは、定期的に実行されるか、変更によってトリガーされます。マネージド AWS Config ルールに基づくコントロールの場合、コントロールの説明には、 *AWS Config デベロッパーガイド*のルールの説明へのリンクが含まれます。この説明では、ルールが変更によってトリガーされるか、定期的に実行されるかを指定します。

## 定期的なセキュリティチェック
<a name="periodic-checks"></a>

定期的なセキュリティチェックは、最後の実行から 12 時間または 24 時間以内に自動的に実行されます。周期は Security Hub CSPM によって決定され、変更はできません。定期的なコントロールは、チェック実行時の評価を反映したものになります。

定期的な統制結果のワークフローステータスを更新し、次のチェックで検出結果のコンプライアンスステータスが同じままであっても、ワークフローステータスは変更された状態のままです。たとえば、[KMS.4](kms-controls.md#kms-4) コントロールの検出に失敗し (*AWS KMS key ローテーションを有効にする必要があります*)、検出結果を修復すると、Security Hub CSPM はワークフローステータス`NEW`を から に変更します`RESOLVED`。次の定期チェックの前に KMS キーローテーションを無効にすると、検出結果のワークフローステータスは `RESOLVED` のままになります。

Security Hub CSPM カスタム Lambda 関数を使用するチェックは、定期的に実行されます。

## 変更によってトリガーされるセキュリティチェック
<a name="change-triggered-checks"></a>

変更によってトリガーされるセキュリティチェックは、関連するリソースの状態が変更されたときに実行されます。リソースの状態の変化を継続的に*記録* AWS Config するか、*毎日記録*するかを選択します。日次記録を選択した場合、 はリソース状態に変更があった場合、24 時間ごとにリソース設定データを AWS Config 配信します。変化がなければ、データは配信されません。これにより、24 時間経過するまで、Security Hub CSPM の検出結果の生成が遅れる場合があります。選択した記録期間に関係なく、Security Hub CSPM は 18 時間ごとに をチェックし、 からのリソースの更新が見逃 AWS Config されていないことを確認します。

一般的に、Security Hub CSPM は、可能な限り、チェックが変更によってトリガーされるルールを使用します。リソースが変更によってトリガーされるルールを使用するには、 AWS Config 設定項目をサポートしている必要があります。

# コントロールの結果を生成および更新する
<a name="controls-findings-create-update"></a>

AWS Security Hub CSPM は、セキュリティコントロールに対してチェックを実行すると、コントロールの検出結果を生成および更新します。コントロールの検出結果は、[AWS Security Finding Format (ASFF)](securityhub-findings-format.md) を使用しています。

Security Hub CSPM は通常、コントロールのセキュリティチェックごとに課金されます。ただし、複数のコントロールが同じ AWS Config ルールを使用する場合、Security Hub CSPM はルールに対するチェックごとに 1 回のみ課金します。たとえば、この AWS Config `iam-password-policy`ルールは CIS AWS Foundations Benchmark 標準と AWS Foundational Security Best Practices 標準の複数のコントロールで使用されます。Security Hub CSPM がそのルールでチェックを実行するたびに、関連するコントロールごとに個別の検出結果が生成されますが、チェックに対して課金されるのは 1 回だけです。

コントロール検出結果のサイズが最大 240 KB を超える場合、Security Hub CSPM は検出結果から `Resource.Details` オブジェクトを削除します。リソースによって AWS Config バックアップされるコントロールについては、 AWS Config コンソールを使用してリソースの詳細を確認できます。

**Topics**
+ [統合されたコントロールの検出結果](#consolidated-control-findings)
+ [コントロールの検出結果の生成、更新、アーカイブ](#securityhub-standards-results-updating)
+ [コントロールの検出結果の自動化と抑制](#automation-control-findings)
+ [コントロールの検出結果のコンプライアンスの詳細](#control-findings-asff-compliance)
+ [コントロールの検出結果の ProductFields の詳細](#control-findings-asff-productfields)
+ [コントロールの検出結果の重要度](#control-findings-severity)

## 統合されたコントロールの検出結果
<a name="consolidated-control-findings"></a>

アカウントで [統合されたコントロールの検出結果] が有効な場合、コントロールが複数の有効化された標準に適用されている場合でも、Security Hub CSPM はコントロールのセキュリティチェックごとに単一の検出結果または検出結果の更新を生成します。コントロールとそれらが適用される標準のリストについては、「[Security Hub CSPM のコントロールリファレンス](securityhub-controls-reference.md)」を参照してください。検出結果のノイズを減らすために、統合コントロールの検出結果を有効にすることをお勧めします。

2023 年 2 月 23 日より AWS アカウント 前に で Security Hub CSPM を有効にした場合は、このセクションの後半の手順に従って、統合コントロールの検出結果を有効にできます。2023 年 2 月 23 日以降に Security Hub CSPM を有効にすると、[統合されたコントロールの検出結果] がアカウントで自動的に有効になります。

[Security Hub CSPM の AWS Organizationsとの統合](securityhub-accounts-orgs.md)を使用するか、[手動の招待プロセス](account-management-manual.md)で招待されたメンバーアカウントを使用する場合、メンバーアカウントで [統合されたコントロールの検出結果] が有効になるのは、管理者アカウントで有効になっている場合のみです。管理者アカウントでこの機能が無効になっている場合、メンバーアカウントも無効になります。この挙動は、新規および既存のメンバーアカウントに適用されます。さらに、管理者が[中央設定](central-configuration-intro.md)を使用して複数のアカウントの Security Hub CSPM を管理する場合、中央設定ポリシーを使用してアカウントの [統合されたコントロールの検出結果] を有効または無効にすることはできません。

アカウントで [統合されたコントロールの検出結果] を無効にすると、Security Hub CSPM は、コントロールを含む有効な各標準の個別のコントロール検出結果を生成または更新します。例えば、コントロールを共有している 4 つの標準を有効にする場合、コントロールのセキュリティチェック後に 4 つの検出結果が表示されます。[統合されたコントロールの検出結果] を有効にすると、検出結果が 1 つのみになります。

[統合されたコントロールの検出結果] を有効にすると、Security Hub CSPM は標準と別に新しい検出結果を生成し、元の標準ベースの検出結果をアーカイブします。一部のコントロールの検出結果フィールドや値が変更されると、既存のワークフローに影響を与える可能性があります。これらの変更の詳細については、「[統合されたコントロールの検出結果 – ASFF の変更](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings)」を参照してください。[統合されたコントロールの検出結果] を有効にすると、統合されたサードパーティの製品が Security Hub CSPM から受け取る検出結果にも影響する可能性があります。[v2.0.0 AWS での自動化されたセキュリティ対応](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)ソリューションを使用する場合は、統合統制結果をサポートしていることに注意してください。

[統合されたコントロールの検出結果] を有効または無効にするには、管理者アカウントまたはスタンドアロンアカウントにサインインする必要があります。

**注記**  
[統合されたコントロールの検出結果] を有効にした後、Security Hub CSPM が新しい統合された検出結果を生成し、既存の標準ベースの検出結果をアーカイブするまで、最大 24 時間かかる可能性があります。同様に、[統合されたコントロールの検出結果] を無効にした後、Security Hub CSPM が新しい標準ベースの検出結果を生成し、既存の統合された検出結果をアーカイブするまで、最大 24 時間かかる可能性があります。これらの間、アカウントには、標準に依存しない検出結果と標準に基づく検出結果が混在する可能性があります。

------
#### [ Security Hub CSPM console ]

**統合コントロールの検出結果を有効または無効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインの **[設定]**で、**[全般設定]** を選択します。

1. **[コントロール]** セクションで、**[編集]** を選択します。

1. **[統合されたコントロールの検出結果]** スイッチを使用して、統合されたコントロールの検出結果を有効または無効にします。

1. **[保存]** を選択します。

------
#### [ Security Hub CSPM API ]

プログラムで [統合されたコントロールの検出結果] を有効または無効にするには、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html) コマンドを実行します。

`control-finding-generator` パラメータで、`SECURITY_CONTROL` を指定して [統合されたコントロールの検出結果] を有効にします。[統合されたコントロールの検出結果] を無効にするには、`STANDARD_CONTROL` を指定します。

たとえば、次の AWS CLI コマンドは、統合コントロールの検出結果を有効にします。

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```

次の AWS CLI コマンドは、統合コントロールの検出結果を無効にします。

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```

------

## コントロールの検出結果の生成、更新、アーカイブ
<a name="securityhub-standards-results-updating"></a>

Security Hub CSPM は、[スケジュール](securityhub-standards-schedule.md)に従ってセキュリティチェックを実行します。Security Hub CSPM がコントロールのセキュリティチェックを初めて実行すると、コントロールがチェックする AWS リソースごとに新しい検出結果が生成されます。Security Hub CSPM がその後コントロールのセキュリティチェックを実行するたびに、既存の検出結果を更新してチェックの結果を報告します。つまり、個々の検出結果から提供されたデータを使用して、特定のコントロールに対する特定のリソースのコンプライアンス変更を追跡できます。

例えば、特定のコントロールのリソースのコンプライアンスステータスが `FAILED` から `PASSED` に変わった場合、Security Hub CSPM は新しい検出結果を生成しません。代わりに、Security Hub CSPM はコントロールとリソースの既存の検出結果を更新します。検出結果では、Security Hub CSPM はコンプライアンスステータス (`Compliance.Status`) フィールドの値を `PASSED` に変更します。Security Hub CSPM は、チェックの結果を反映するために追加のフィールドの値も更新します。例えば、Security Hub CSPM が最後にチェックを実行し、検出結果を更新した日時を示す重要度ラベル、ワークフローステータス、タイムスタンプなどです。

コンプライアンスステータスの変更を報告すると、Security Hub CSPM はコントロール検出結果の次のいずれかのフィールドを更新することがあります。
+ `Compliance.Status` – 指定されたコントロールのリソースの新しいコンプライアンスステータス。
+ `FindingProviderFields.Severity.Label` – `LOW`、`MEDIUM`、`HIGH` など検出結果の重要度の新しい定性的表現。
+ `FindingProviderFields.Severity.Original` – 準拠リソースの `0` など、検出結果の重要度の新しい定量的表現。
+ `FirstObservedAt` – リソースのコンプライアンスステータスが最後に変更されたタイミング。
+ `LastObservedAt` – Security Hub CSPM が最後に指定されたコントロールとリソースのセキュリティチェックを実行したタイミング。
+ `ProcessedAt` – Security Hub CSPM が最近検出結果の処理を開始したタイミング。
+ `ProductFields.PreviousComplianceStatus` – 指定されたコントロールのリソースのコンプライアンスステータス (`Compliance.Status`)。
+ `UpdatedAt` – Security Hub CSPM が最近検出結果を更新したタイミング。
+ `Workflow.Status` – 指定されたコントロールのリソースの新しいコンプライアンスステータスに基づく、検出結果の調査のステータス。

Security Hub CSPM がフィールドを更新するかどうかは、主に該当するコントロールとリソースの最新のセキュリティチェックの結果によって異なります。例えば、リソースのコンプライアンスステータスが特定のコントロールで `PASSED` から `FAILED` に変わった場合、Security Hub CSPM は検出結果のワークフローステータスを `NEW` に変更します。個々の検出結果の更新を追跡するには、検出結果の履歴を参照できます。検出結果の個々のフィールドの詳細については、「[AWS Security Finding Format (ASFF)](securityhub-findings-format.md)」を参照してください。

場合によっては、Security Hub CSPM は、既存の検出結果を更新する代わりに、コントロールによって後続のチェック用に新しい検出結果を生成します。これは、コントロールをバックアップする AWS Config ルールに問題がある場合に発生する可能性があります。この場合、Security Hub CSPM は既存の検出結果をアーカイブし、チェックごとに新しい検出結果を生成します。新しい検出結果では、コンプライアンスステータスは `NOT_AVAILABLE` で、レコードステータスは `ARCHIVED` です。 AWS Config ルールの問題に対処すると、Security Hub CSPM は新しい検出結果を生成し、個々のリソースのコンプライアンスステータスに対するその後の変更を追跡するために更新を開始します。

Security Hub CSPM は、コントロールの検出結果の生成と更新に加えて、特定の基準を満たすコントロールの検出結果を自動的にアーカイブします。Security Hub CSPM は、コントロールが無効になっている場合、指定されたリソースが削除された場合、または指定されたリソースが存在しなくなった場合に、検出結果をアーカイブします。関連付けられたサービスが現在使用されていないため、リソースがすでに存在しない可能性もあります。より具体的には、Security Hub CSPM は、検出結果が次のいずれかの基準を満たす場合、コントロール検出結果を自動的にアーカイブします。
+ 検出結果は 3～5 日間更新されていません。この時間枠に基づくアーカイブはベストエフォートベースであり、保証されないので注意してください。
+ 指定されたリソースのコンプライアンスステータス`NOT_APPLICABLE`に対して返される関連付けられた AWS Config 評価。

検出結果がアーカイブされているかどうかを判断するには、検出結果のレコードの状態 (`RecordState`) フィールドを参照できます。検出結果がアーカイブされている場合、このフィールドの値は `ARCHIVED` です。

Security Hub CSPM は、アーカイブされたコントロールの検出結果を 30 日間保存します。30 日後、検出結果は期限切れになり、Security Hub CSPM によって完全に削除されます。アーカイブされたコントロールの検出結果の有効期限が切れているかどうかを判断するために、Security Hub CSPM は検出結果の `UpdatedAt` フィールドの値に基づいてその計算を行います。

アーカイブされたコントロールの検出結果を 30 日以上保存するには、検出結果を S3 バケットにエクスポートできます。これを行うには、Amazon EventBridge ルールでカスタムアクションを使用します。詳細については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。

**注記**  
2025 年 7 月 3 日以前は、コントロールのリソースのコンプライアンスステータスが変更されると、Security Hub CSPM はコントロールの検出結果を生成および更新しました。以前は、Security Hub CSPM は新しいコントロール検出結果を作成し、リソースの既存の検出結果をアーカイブしていました。したがって、検出結果の有効期限が切れる (30 日後) まで、特定のコントロールとリソースに対してアーカイブされた複数の検出結果が存在する可能性があります。

## コントロールの検出結果の自動化と抑制
<a name="automation-control-findings"></a>

Security Hub CSPM オートメーションルールを使用して、特定のコントロール検出結果を更新または抑制できます。検出結果を抑制すると、引き続きその検出結果にアクセスできます。ただし、抑制とは、検出結果に対処するためのアクションは必要ないと考えていることを示しています。

検出結果を抑制することで、検出結果のノイズを減らすことができます。例えば、テストアカウントで生成されたコントロールの検出結果を抑制できます。または、特定のリソースに関連する検出結果を抑制することもできます。検出結果の自動更新または抑制の詳細については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。

自動化ルールは、特定のコントロールの検出結果を更新または抑制する場合に適しています。ただし、コントロールが組織やユースケースに関連しない場合は、[コントロールを無効にする](disable-controls-overview.md)ことをお勧めします。コントロールを無効にすると、Security Hub CSPM はコントロールのセキュリティチェックを実行せず、課金も発生しません。

## コントロールの検出結果のコンプライアンスの詳細
<a name="control-findings-asff-compliance"></a>

コントロールのセキュリティチェックによって生成された検出結果では、 AWS Security Finding 形式 (ASFF) の [Compliance](asff-top-level-attributes.md#asff-compliance) オブジェクトとフィールドは、コントロールがチェックした個々のリソースのコンプライアンスの詳細を提供します。これには、次の情報が含まれます。
+ `AssociatedStandards` – コントロールが有効になっている有効な標準です。
+ `RelatedRequirements` – すべての有効な標準のコントロールに関連する要件です。これらは、Payment Card Industry Data Security Standard (PCI DSS) または NIST SP 800-171 Revision 2 標準など、コントロールに関するサードパーティのセキュリティフレームワークから派生した要件です。
+ `SecurityControlId` – Security Hub CSPM がサポートする標準全体のコントロールの識別子です。
+ `Status` – コントロールに対して Security Hub CSPM によって実行された最新のチェックの結果です。以前のチェックの結果は、検出結果の履歴に保持されます。
+ `StatusReasons` – `Status` フィールドで指定された値の理由を一覧表示する配列。これには、理由ごとの理由コードと説明が示されます。

次の表に、検出結果の `StatusReasons` 配列に含まれる可能性のある理由コードと説明を示します。修正手順は、どのコントロールが特定の理由コードを使って検出結果を生成したかによって異なります。コントロールの修正ガイダンスを確認するには、「[Security Hub CSPM のコントロールリファレンス](securityhub-controls-reference.md)」を参照してください。


| 理由コード | コンプライアンスステータス | 説明 | 
| --- | --- | --- | 
|  `CLOUDTRAIL_METRIC_FILTER_NOT_VALID`  |  `FAILED`  |  マルチリージョンの CloudTrail 追跡に有効なメトリクスフィルターが設定されていません。  | 
|  `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`  |  `FAILED`  |  マルチリージョンの CloudTrail 追跡用のメトリクスフィルターがありません。  | 
|  `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`  |  `FAILED`  |  アカウントに、必要な設定のマルチリージョンの CloudTrail 追跡が存在しません。  | 
|  `CLOUDTRAIL_REGION_INVAILD`  |  `WARNING`  |  マルチリージョンの CloudTrail 追跡が現在のリージョンに存在しません。  | 
|  `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`  |  `FAILED`  |  有効なアラームアクションが存在しません。  | 
|  `CLOUDWATCH_ALARMS_NOT_PRESENT`  |  `FAILED`  |  CloudWatch アラームがアカウントに存在しません。  | 
|  `CONFIG_ACCESS_DENIED`  |  `NOT_AVAILABLE` AWS Config ステータスは です `ConfigError`  |  AWS Config アクセスが拒否されました。  AWS Config が有効で、十分なアクセス許可が付与されていることを確認します。  | 
|  `CONFIG_EVALUATIONS_EMPTY`  |  `PASSED`  |  AWS Config は、ルールに基づいてリソースを評価しました。 ルールがスコープ内の AWS リソースに適用されなかったか、指定されたリソースが削除されたか、評価結果が削除されました。  | 
|  `CONFIG_RECORDER_CUSTOM_ROLE`  |  `FAILED` (Config.1 の場合)  |   AWS Config レコーダーはサービス AWS Config にリンクされたロールの代わりにカスタム IAM ロールを使用し、Config.1 の`includeConfigServiceLinkedRoleCheck`カスタムパラメータは に設定されません`false`。  | 
|  `CONFIG_RECORDER_DISABLED`  |  `FAILED` (Config.1 の場合)  |  AWS Config 設定レコーダーをオンにすると、 は有効になっていません。  | 
|  `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`  |  `FAILED` (Config.1 の場合)  |  AWS Config は、有効な Security Hub CSPM コントロールに対応するすべてのリソースタイプを記録しているわけではありません。次のリソースの記録を有効にします: *記録されていないリソース*。  | 
|  `CONFIG_RETURNS_NOT_APPLICABLE`  |  `NOT_AVAILABLE`  |  コンプライアンスステータスは、 が**該当なし**のステータスを AWS Config 返した`NOT_AVAILABLE`ためです。 AWS Config はステータスの理由を提供しません。ステータスが **Not Applicable** である理由は、以下のように考えられます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_EVALUATION_ERROR`  |  `NOT_AVAILABLE` AWS Config ステータスは です `ConfigError`  |  この理由コードは、いくつかの異なる種類の評価エラーに使用されます。 説明には、具体的な理由の情報が含まれます。 エラーの種類は、次のいずれかになります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_NOT_FOUND`  |  `NOT_AVAILABLE` AWS Config ステータスは です `ConfigError`  |   AWS Config ルールは作成中です。  | 
|  `INTERNAL_SERVICE_ERROR`  |  `NOT_AVAILABLE`  |  不明なエラーが発生しました。  | 
|  `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`  |  `FAILED`  |  Security Hub CSPM がカスタム Lambda ランタイムのチェックを実行できません。  | 
|  `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  このルールに関連付けられた S3 バケットが別のリージョンまたはアカウントにあるため、結果が `WARNING` 状態になっています。 このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。 このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。  | 
|  `SNS_SUBSCRIPTION_NOT_PRESENT`  |  `FAILED`  |  CloudWatch Logs メトリクスフィルターに有効な Amazon SNS サブスクリプションが含まれていません。  | 
|  `SNS_TOPIC_CROSS_ACCOUNT`  |  `WARNING`  |  結果が `WARNING` 状態です。 このルールに関連付けられた SNS トピックは、別のアカウントによって所有されています。現在のアカウントでは、サブスクリプション情報を取得できません。 SNS トピックを所有するアカウントは、SNS トピックへの `sns:ListSubscriptionsByTopic` 許可を現在のアカウントに付与する必要があります。  | 
|  `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  このルールに関連付けられた SNS トピックが別のリージョンまたはアカウントにあるため、結果が `WARNING` 状態です。 このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。 このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。  | 
|  `SNS_TOPIC_INVALID`  |  `FAILED`  |  このルールに関連付けられている SNS トピックが無効です。  | 
|  `THROTTLING_ERROR`  |  `NOT_AVAILABLE`  |  関連する API オペレーションが許可されたレートを超えました。  | 

## コントロールの検出結果の ProductFields の詳細
<a name="control-findings-asff-productfields"></a>

コントロールのセキュリティチェックによって生成された検出結果では、 AWS Security Finding Format (ASFF) の [ProductFields](asff-top-level-attributes.md#asff-productfields) 属性に次のフィールドを含めることができます。

`ArchivalReasons:0/Description`  
Security Hub CSPM が検出結果をアーカイブした理由について説明します。  
例えば、統制または標準を無効にしたり、[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効または無効にしたりすると、Security Hub CSPM は既存の検出結果をアーカイブします。

`ArchivalReasons:0/ReasonCode`  
Security Hub CSPM が検出結果をアーカイブした理由を指定します。  
例えば、統制または標準を無効にしたり、[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効または無効にしたりすると、Security Hub CSPM は既存の検出結果をアーカイブします。

`PreviousComplianceStatus`  
検出結果の最新の更新時点での、指定されたコントロールのリソースの以前のコンプライアンスステータス (`Compliance.Status`)。リソースのコンプライアンスステータスが最新の更新中に変更されなかった場合、この値は検出結果の `Compliance.Status` フィールドの値と同じです。可能な値の一覧については、[コンプライアンスステータスとコントロールステータスの評価](controls-overall-status.md) を参照してください。

`StandardsGuideArn` または `StandardsArn`  
コントロールに関連付けられた標準の ARN。  
CIS AWS Foundations Benchmark 標準の場合、 フィールドは です`StandardsGuideArn`。PCI DSS および AWS Foundational Security Best Practices 標準の場合、 フィールドは です`StandardsArn`。  
[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効にすると、これらのフィールドは `Compliance.AssociatedStandards` に合わせて削除されます。

`StandardsGuideSubscriptionArn` または `StandardsSubscriptionArn`  
標準へのアカウントのサブスクリプションの ARN。  
CIS AWS Foundations Benchmark 標準の場合、 フィールドは です`StandardsGuideSubscriptionArn`。PCI DSS および AWS Foundational Security Best Practices 標準の場合、 フィールドは です`StandardsSubscriptionArn`。  
[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効にすると、これらのフィールドは削除されます。

`RuleId`、または `ControlId`  
コントロールの識別子。  
CIS AWS Foundations Benchmark 標準のバージョン 1.2.0 の場合、 フィールドは です`RuleId`。CIS AWS Foundations Benchmark 標準の後続バージョンを含む他の標準の場合、フィールドは `ControlId` です。  
[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効にすると、これらのフィールドは `Compliance.SecurityControlId` に合わせて削除されます。

`RecommendationUrl`  
コントロールの修復情報の URL。[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効にすると、このフィールドは `Remediation.Recommendation.Url` に合わせて削除されます。

`RelatedAWSResources:0/name`  
結果に関連付けられたリソースの名前。

`RelatedAWSResource:0/type`  
コントロールに関連付けられたリソースのタイプ。

`StandardsControlArn`  
コントロールの ARN。[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効にすると、このフィールドは削除されます。

`aws/securityhub/ProductName`  
コントロールの検出結果の場合、製品名は `Security Hub` になります。

`aws/securityhub/CompanyName`  
コントロールの検出結果の場合、会社名は `AWS` です。

`aws/securityhub/annotation`  
コントロールによって検出された問題の説明。

`aws/securityhub/FindingId`  
検出結果の識別子。  
[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効にした場合、このフィールドは標準を参照しません。

## コントロールの検出結果の重要度
<a name="control-findings-severity"></a>

Security Hub CSPM コントロールに割り当てられる重要度は、コントロールの重要性を示します。コントロールの重要度により、コントロールの結果に割り当てられる重要度ラベルが決まります。

### 重要度の基準
<a name="securityhub-standards-results-severity-criteria"></a>

コントロールの重要度は、以下の基準の評価に基づいて決定されます:
+ **脅威アクターがコントロールに関連する設定の弱点を利用する際の難易度** この難易度は、弱点を利用して脅威シナリオを実行するために必要な洗練度または複雑さの度合いによって決まります。
+ **弱点が AWS アカウント または リソースの侵害につながる可能性はどの程度ありますか?** AWS アカウント または リソースの侵害は、データまたは AWS インフラストラクチャの機密性、完全性、可用性が何らかの形で損なわれることを意味します。侵害の可能性は、脅威シナリオが AWS のサービス または リソースの中断または違反につながる可能性を示します。

例えば、次の設定の弱点について検討します。
+ ユーザーアクセスキーが 90 日ごとにローテーションされません。
+ IAM ルートユーザーキーが存在します。

どちらの弱点も、攻撃者が悪用する際の難易度は同程度です。両方の弱点とも、攻撃者は認証情報の盗難やその他の方法を使用してユーザーキーを取得します。その後、このユーザーキーを使用して、許可されない方法でリソースにアクセスします。

ただし、脅威アクターによって取得されたアクセスキーがルートユーザーのものである場合、よりアクセス性が高いため、侵害の可能性はより高くなります。この結果、ルートユーザーキーの弱点は、重要度が高くなります。

重要度では、基になるリソースの重大度は考慮されていません。重大度は、結果に関連付けられているリソースの重要性の程度として定義されます。例えば、ミッションクリティカルなアプリケーションに関連付けられているリソースは、非本番稼働用テストに関連付けられたリソースより重大度が高くなります。リソース重要度情報をキャプチャするには、 AWS Security Finding 形式 (ASFF) の `Criticality`フィールドを使用します。

次の表に、悪用行為の難易度と、セキュリティラベルが侵害される可能性を示します。


|  |  |  |  |  | 
| --- |--- |--- |--- |--- |
|    |  **侵害の可能性が非常に高い**  |  **侵害の可能性が高い**  |  **侵害の可能性が低い**  |  **侵害の可能性が非常に低い**  | 
|  **悪用行為が非常に簡単**  |  重大  |  重大  |  高  |  中  | 
|  **悪用行為がやや簡単**  |  重大  |  高  |  中  |  中  | 
|  **悪用行為がやや難しい**  |  高  |  中  |  中  |  低  | 
|  **悪用行為が非常に難しい**  |  中  |  中  |  低  |  低  | 

### 重要度の定義
<a name="securityhub-standards-results-severity-definitions"></a>

重要度ラベルは次のように定義されています。

**重大 - この問題は、さらに悪化しないように直ちに修復する必要があります。**  
例えば、公開された S3 バケットは重大な重要度の結果と考えられます。非常に多くの脅威アクターによって、公開された S3 バケットがスキャンされるため、公開された S3 バケット内のデータは、他者によって発見およびアクセスされる可能性があります。  
一般に、パブリックにアクセス可能なリソースは、セキュリティ上の重大な問題と見なされます。重大な結果への対応は、緊急性が最も高くなります。また、リソースの重大度も考慮する必要があります。

**高 - この問題は短期的な優先事項として対処する必要があります。**  
例えば、デフォルトの VPC セキュリティグループがインバウンドおよびアウトバウンドトラフィックに対して開かれている場合、重要度が高いと考えられます。脅威アクターがこの方法を使用して VPC を侵害することは、やや簡単であるためです。また、脅威アクターが VPC 内に侵入すると、リソースを中断または流出させる可能性があります。  
Security Hub CSPM では、重要度の高い結果を短期的な優先事項として扱うことをお勧めします。すぐに修復手順を実行する必要があります。また、リソースの重大度も考慮する必要があります。

**中 - この問題は、中期的な優先事項として対処する必要があります。**  
例えば、転送中のデータの暗号化が欠如している場合、重要度が中程度の結果と考えられます。高度な中間者攻撃では、この弱点を悪用することになります。つまり、やや難しい攻撃手法です。脅威シナリオが成功すると、一部のデータが侵害される可能性があります。  
Security Hub CSPM では、できるだけ早く、関連するリソースを調査することをお勧めします。また、リソースの重大度も考慮する必要があります。

**低 - この問題には、独自のアクションは必要ありません。**  
例えば、フォレンジック情報の収集に失敗した場合、重要度が低いと考えられます。この管理は将来の侵害を防ぐのに役立ちますが、フォレンジックが実行されない限り、侵害に直接つながりません。  
重要度の低い結果については、すぐにアクションを実行する必要はありませんが、他の問題と相関関係がある場合は、コンテキストを入手できます。

**情報 - 設定の弱点は見つかりませんでした。**  
つまり、ステータスは `PASSED`、`WARNING`、または `NOT AVAILABLE` です。  
推奨されるアクションはありません。通知目的の結果は、顧客が準拠状態であることを実証するのに役立ちます。

# コンプライアンスステータスとコントロールステータスの評価
<a name="controls-overall-status"></a>

 AWS Security Finding 形式の `Compliance.Status`フィールドは、コントロールの検出結果を表します。 AWS Security Hub CSPM は、コントロールの検出結果のコンプライアンスステータスを使用して、全体的なコントロールステータスを決定します。コントロールのステータスは、Security Hub CSPM コンソールのコントロールの詳細ページに表示されます。

## Security Hub CSPM の検出結果のコンプライアンスステータスの評価
<a name="controls-overall-status-compliance-status"></a>

各検出結果のコンプライアンスステータスには、以下のいずれかの値が割り当てられます。
+ `PASSED` – コントロールが検出結果のセキュリティチェックに合格したことを示します。これにより Security Hub CSPM `Workflow.Status` が `RESOLVED` に自動的に設定されます。
+ `FAILED` – コントロールが検出結果のセキュリティチェックに合格しなかったことを示します。
+ `WARNING` – リソースが `PASSED` または `FAILED` 状態であるかどうかを Security Hub CSPM が判断できないことを示します。例えば、対応するリソースタイプに対して [[AWS Config リソースの記録]](securityhub-setup-prereqs.md#config-resource-recording) が有効になっていません。
+ `NOT_AVAILABLE` – サーバーが失敗した、リソースが削除された、または AWS Config 評価の結果が であったため、チェックを完了できないことを示します`NOT_APPLICABLE`。 AWS Config 評価結果が の場合`NOT_APPLICABLE`、Security Hub CSPM は自動的に結果をアーカイブします。

検出結果のコンプライアンスステイタスが `PASSED` から `FAILED`、`WARNING`、および `NOT_AVAILABLE` に変更され、かつ `Workflow.Status` が `NOTIFIED` または `RESOLVED` の場合、Security Hub CSPM は `Workflow.Status` を `NEW` に自動的に変更します。

コントロールに対応するリソースがない場合、Security Hub CSPM はアカウントレベルで `PASSED` 検出結果を生成します。コントロールに対応するリソースがあっても、そのリソースを削除すると、Security Hub CSPM は `NOT_AVAILABLE` 検出結果を作成し、すぐにアーカイブします。18 時間後、コントロールに対応するリソースがなくなったため、`PASSED` 検出結果が表示されます。

## コンプライアンスステータスからコントロールステータスを取得する
<a name="controls-overall-status-values"></a>

Security Hub CSPM は、コントロール検出結果のコンプライアンスステータスから、全体的なコントロールステータスを導き出します。コントロールステータスの決定時、Security Hub CSPM は `ARCHIVED` の `RecordState` がある検出結果と、`SUPPRESSED` の `Workflow.Status` がある検出結果を無視します。

コントロールステータスには、次のいずれかの値が割り当てられます。
+ **合格** - すべての検出結果において `PASSED` がコンプライアンスステータス であることを示します。
+ **失敗** - 少なくとも 1 つの検出結果において `FAILED` がコンプライアンスステータスであることを示します。
+ **不明** - 少なくとも 1 つの検出結果のコンプライアンスステータスが `WARNING` または `NOT_AVAILABLE` であることを示します。コンプライアンスステータスが `FAILED` の検出結果はありません。
+ **データなし** - コントロールの結果がないことを示します。例えば、新しく有効になったコントロールは、Security Hub CSPM がその検出結果の生成を開始するまで、このステータスになります。また、コントロールは、すべての検出結果が `SUPPRESSED` の場合、または現在の AWS リージョンで使用できない場合にも、このステータスになります。
+ **[無効]** - 現在のアカウントとリージョンでコントロールが無効になっていることを示します。現在のアカウントとリージョンでは、現在このコントロールに対してセキュリティチェックは実行されていません。ただし、無効になっているコントロールの検出結果には、無効になった後、最大 24 時間コンプライアンスステータスの値が含まれる場合があります。

管理者アカウントの場合、コントロールステータスには管理者アカウントとメンバーアカウントのコントロールステータスが反映されます。具体的には、コントロールの全体的なステータスは、管理者アカウントまたはメンバーアカウントにコントロールに 1 つ以上の失敗した検出結果がある場合、**[失敗]**として表示されます。集約リージョンを設定している場合、集約リージョンのコントロールステータスには、集約リージョンとリンクされたリージョンのコントロールステータスが反映されます。具体的には、コントロールの全体的なステータスは、集約リージョンおよびリンクされたリージョンでコントロールに 1 つ以上の失敗した検出結果がある場合、**[失敗]** と表示されます。

Security Hub CSPM は通常、Security Hub CSPM コンソールの **[概要]** ページまたは **[セキュリティ標準]** ページへの最初のアクセスから 30 分以内に最初のコントロールステータスを生成します。コントロールステータスを表示するには、[AWS Config リソースレコード](controls-config-resources.md)を設定する必要があります。最初のコントロールステータスが生成された後、Security Hub CSPM は、過去 24 時間の結果に基づき、24 時間おきにコントロールステータスを更新します。コントロールの詳細ページのタイムスタンプは、コントロールステータスが最後に更新された日時を示します。

**注記**  
初めて有効にしてから、コントロールステータスが中国リージョンと AWS GovCloud (US) Regionで生成されるまで、最大で 24 時間かかりる場合があります。

# セキュリティスコアの計算
<a name="standards-security-score"></a>

 AWS Security Hub CSPM コンソールで、**概要**ページと**コントロール**ページに、有効なすべての標準にわたるセキュリティスコアの概要が表示されます。**[セキュリティ基準]** ページで、Security Hub CSPM は有効な標準別に 0〜100% のセキュリティスコアをも表示します。

Security Hub CSPM を初めて有効にすると、Security Hub CSPM は、コンソールの **[概要]** ページまたは **[セキュリティ基準]** ページへの最初のアクセスから 30 分以内にセキュリティスコアの概要と標準のセキュリティスコアを計算します。スコアは、コンソールのこれらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。また、スコアを表示するには、 AWS Config リソース記録を設定する必要があります。セキュリティスコアの概要は、標準のセキュリティスコアの平均値です。現在有効になっている標準のリストを確認するには、Security Hub CSPM API の [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) オペレーションを使用できます。

最初のスコア生成の後、Security Hub CSPM はセキュリティスコアを 24 時間ごとに更新します。Security Hub CSPM には、セキュリティスコアが最後に更新されたときの時刻が表示されます。中国リージョンおよび AWS GovCloud (US) Regionsでは、最初のセキュリティスコアが作成されるまで、最大 24 時間かかることに注意してください。

[統合コントロールの検出結果を有効にしている](controls-findings-create-update.md#consolidated-control-findings)場合、セキュリティスコアが更新されるまで、最大 24 時間かかることがあります。さらに、新しい集約リージョンの有効化や、リンクされたリージョンの更新を行うと、既存のセキュリティスコアがリセットされます。Security Hub CSPM では、更新されたリージョンのデータを含む新しいセキュリティスコアを生成するまでに、最大 24 時間かかる場合があります。

## セキュリティスコアの計算方法
<a name="standard-security-score-calculation"></a>

セキュリティスコアは、有効になっているコントロールのうち、**合格**の状態にあるコントロールの割合を示します。スコアは、小数点以下を最も近い整数に四捨五入したパーセンテージで表示されます。

Security Hub CSPM は、有効なすべての標準でセキュリティスコアの要約を計算します。Security Hub CSPM では、有効な標準ごとにセキュリティ スコアも計算されます。スコアの計算に使用可能なコントロールには、**[合格]**、**[失敗]**、および **[不明]** のステータスが付いたコントロールが含まれます。ステータスが **[データなし]** のコントロールはスコア計算から除外されます。

Security Hub CSPM は、コントロールステータスを計算するときに、アーカイブされた検出結果と抑制された検出結果を無視します。これはセキュリティスコアに影響する可能性があります。例えば、あるコントロールで失敗した検出結果をすべて抑制すると、そのステータスは「**合格**」になり、セキュリティスコアが向上する可能性があります。コントロールステータスの詳細については、[コンプライアンスステータスとコントロールステータスの評価](controls-overall-status.md) を参照してください。

**スコアリングの例:**


| 標準 | 合格コントロール | 失敗コントロール | 未知のコントロール | 標準スコア | 
| --- | --- | --- | --- | --- | 
|  AWS 基本的なセキュリティのベストプラクティス v1.0.0  |  168  |  22  |  0  |  88%  | 
|  CIS AWS Foundations Benchmark v1.4.0  |  8  |  29  |  0  |  22%  | 
|  CIS AWS Foundations Benchmark v1.2.0  |  6  |  35  |  0  |  15%  | 
|  NIST Special Publication 800-53 Revision 5  |  159  |  56  |  0  |  74%  | 
|  PCI DSS v3.2.1  |  28  |  17  |  0  |  62%  | 

セキュリティスコアの概要を計算する際、Security Hub CSPM は各コントロールを標準全体で一度だけカウントします。例えば、有効な 3 つの標準に適用されるコントロールを有効にした場合、スコアの対象となるのは有効な 1 つのコントロールとしてのみカウントされます。

この例の場合、有効になっている標準全体で有効になっているコントロールの総数は 528 ですが、Security Hub CSPM は各固有のコントロールをスコア対象として、1 回だけカウントします。有効になっている固有のコントロール数は 528 よりもおそらく少ないはずです。有効になっている固有のコントロール数が 515 で、通過した固有のコントロール数が 357 であると仮定すると、概要スコアは 69% になります。このスコアは、通過した固有のコントロール数を、有効なコントロールの総数 で割って計算されます。

現在のリージョンのアカウントで有効化した標準が 1 つのみの場合でも、概要スコアが標準セキュリティスコアと異なる可能性があります。これは、管理者アカウントにサインインしており、メンバーアカウントが追加の標準または異なる標準を有効化している場合に発生する場合があります。また、集約リージョンのスコアを表示しており、リンクされたリージョンで追加の標準または異なる標準が有効化されている場合にも発生する場合があります。

## 管理者アカウントのセキュリティスコア
<a name="standard-security-score-admin"></a>

管理者アカウントにログインしている場合、概要セキュリティスコアと標準スコアは、管理者アカウントおよびメンバーアカウントのすべてのコントロールステータスを考慮したものになります。

1 つのメンバーアカウントでコントロールのステータスが **[失敗]** の場合、管理者アカウントのステータスは **[失敗]** となり、管理者アカウントのスコアに影響を与えます。

管理者アカウントにログインしていて、集約リージョンを考慮したものになっている場合、セキュリティスコアは、すべてのメンバーアカウント*および*リンクされているすべてのリージョンを考慮したものになります。

## 集約リージョンを設定している場合のセキュリティスコア
<a name="standard-security-aggregation-region"></a>

集約を設定している場合 AWS リージョン、概要セキュリティスコアと標準スコアは、すべての のコントロールステータスを考慮します。
 リンクされたリージョン。

制御のステータスが 1 つのリンクされたリージョンでも **[失敗]** の場合、そのステータスは集約リージョンで **[失敗]** となり、集約リージョンスコアに影響を与えます。

管理者アカウントにログインしていて、集約リージョンを考慮したものになっている場合、セキュリティスコアは、すべてのメンバーアカウント*および*リンクされているすべてのリージョンを考慮したものになります。

# Security Hub CSPM のコントロールカテゴリ
<a name="control-categories"></a>

各コントロールにはカテゴリが割り当てられます。コントロールのカテゴリは、コントロールが適用されるセキュリティ機能を反映します。

カテゴリ値には、カテゴリ、カテゴリ内のサブカテゴリ、およびオプションでサブカテゴリ内の分類子が含まれます。例:
+ 識別 > インベントリ
+ 保護 > データ保護 > 転送中のデータの暗号化

ここでは、使用可能なカテゴリ、サブカテゴリ、および分類子の説明を示します。

## 識別
<a name="control-category-identify"></a>

システム、アセット、データ、機能に対するサイバーセキュリティのリスクを管理するための組織の理解を深めます。

**インベントリ**  
サービスは正しいリソースタグ付け戦略を実装していますか? タグ付け戦略にはリソース所有者が含まれていますか?  
どのようなリソースをサービスで使用していますか? これらは、このサービスの承認されたリソースですか?  
承認されたインベントリを可視化していますか? 例えば、Amazon EC2 Systems Manager やサービスカタログなどのサービスを使用しますか?

**ログ記録**  
サービスに関連するすべてのログ記録を安全に有効化していますか? ログファイルの例は次のとおりです。  
+ Amazon VPC フローログ
+ Elastic Load Balancing のアクセスログ
+ Amazon CloudFront ログ
+ Amazon CloudWatch Logs
+ Amazon Relational Database Service のログ記録
+ Amazon OpenSearch Service スローインデックスログ
+ X-Ray トレース
+ AWS Directory Service ログ
+ AWS Config 項目
+ スナップショット

## 保護
<a name="control-category-protect"></a>

重要なインフラストラクチャサービスを確実に提供し、安全なコーディング手法を確保するための適切な保護策を開発および実施します。

**安全なアクセス管理**  
サービスは、IAM ポリシーまたはリソースポリシーで最小特権プラクティスを使用していますか?  
パスワードとシークレットは十分に複雑なものですか? 適切にローテーションしていますか?  
サービスで多要素認証 (MFA) を使用しますか?  
このサービスはルートユーザーを回避しますか?  
リソースベースのポリシーはパブリックアクセスを許可しますか?

**セキュアなネットワーク設定**  
サービスは、パブリックおよび安全でないリモートネットワークアクセスを回避しますか?  
サービスは VPC を適切に使用しますか? 例えば、ジョブは VPC で実行する必要がありますか?  
サービスは、機密性の高いリソースを適切にセグメント化および分離しますか?

**データ保護**  
保管中のデータの暗号化 - サービスは保管中のデータを暗号化しますか?  
転送中のデータの暗号化 - サービスで転送中のデータを暗号化していますか?  
データの整合性 - サービスでデータの整合性を検証していますか?  
データの削除保護 - サービスはデータの誤削除を防止しますか?  
データの管理/使用状況 - 機密データの場所を証跡するために Amazon Macie などのサービスを使用していますか?

**API の保護**  
サービスは、サービス API オペレーション AWS PrivateLink を保護するために を使用していますか?

**保護サービス**  
適切な保護サービスが提供されていますか? 保護サービスは正しい範囲をカバーしていますか?  
保護サービスは、サービスに対する攻撃や侵害を回避するのに役立ちます。の保護サービスの例としては AWS AWS Control Tower、、 AWS WAF AWS Shield Advanced、Vanta、Secrets Manager、IAM Access Analyzer、 などがあります AWS Resource Access Manager。

**安全な開発**  
安全なコーディングプラクティスを使用していますか?  
Open Web Application Security Project (OWASP) Top 10 などの脆弱性を回避していますか?

## 検出
<a name="control-category-detect"></a>

サイバーセキュリティイベントの発生を特定するための適切なアクティビティを開発および実施します。

**検出サービス**  
正しい検出サービスは提供されていますか?  
保護サービスは正しい範囲をカバーしていますか?  
 AWS 検出サービスの例としては、Amazon GuardDuty、 AWS Security Hub CSPM、Amazon Inspector、Amazon Detective、Amazon CloudWatch アラーム AWS IoT Device Defender、 などがあります AWS Trusted Advisor。

## 応答
<a name="control-category-respond"></a>

検出されたサイバーセキュリティイベントに関するアクションを実行するための適切なアクティビティを開発および実施します。

**レスポンスアクション**  
セキュリティイベントに迅速に対応していますか?  
重要または重要度が高い結果が実際にありますか?

**フォレンジック**  
サービスのフォレンジックデータを安全に取得できますか? 例えば、True ポジティブの結果に関連する Amazon EBS スナップショットを取得していますか?  
フォレンジックアカウントを設定していますか?

## 復旧
<a name="control-category-recover"></a>

耐障害性に関する計画を保持し、サイバーセキュリティイベントで損なわれた機能やサービスを復元するための適切なアクティビティを開発および実施します。

**耐障害性**  
サービスの設定は、スムーズなフェイルオーバー、伸縮自在なスケーリング、高可用性をサポートしていますか?  
バックアップを確立していますか?

# Security Hub CSPM でのコントロールの詳細の確認
<a name="securityhub-standards-control-details"></a>

Security Hub CSPM コンソールの **[コントロール]** ページまたは [標準の詳細] ページで [コントロール] を選択すると、コントロールの詳細のページが表示されます。

コントロールの詳細ページの上部には、コントロールのステータスが表示されます。コントロールステータスは、コントロールの検出結果のコンプライアンスステータスに基づき、コントロールのパフォーマンスを要約します。Security Hub CSPM は通常、Security Hub CSPM コンソールの **[概要]** ページまたは **[セキュリティ標準]** ページへの最初のアクセスから 30 分以内に最初のコントロールステータスを生成します。ステータスは、これらのページにアクセスしたときに有効になっているコントロールでのみ使用できます。

[コントロールの詳細] ページには、過去 24 時間のコントロール検出結果のコンプライアンスステータスの内訳も表示されます。コントロールステータスとコンプライアンスステータスの詳細については、「[コンプライアンスステータスとコントロールステータスの評価](controls-overall-status.md)」 を参照してください。

AWS Config リソースの記録は、コントロールステータスが表示されるように設定する必要があります。最初のコントロールステータスが生成された後、Security Hub CSPM は、過去 24 時間の結果に基づき、24 時間おきにコントロールステータスを更新します。

管理者アカウントには、管理者アカウントとメンバーアカウントを横断して集約されたコントロールステータスが表示されます。集約リージョンを設定すると、コントロールステータスには、リンクされたすべてのリージョンの検出結果が含まれます。コントロールステータスの詳細については、[コンプライアンスステータスとコントロールステータスの評価](controls-overall-status.md) を参照してください。

[コントロールの詳細] ページから、コントロールを無効または有効にすることもできます。

**注記**  
有効にしてから、最初のコントロールステータスのコントロールが中国リージョンと AWS GovCloud (US) Regionsで生成されるまで、最大で 24 時間かかります。

[**標準と要件**] タブには、コントロールが有効化できる標準と、さまざまなコンプライアンスフレームワークからのコントロールに関連する要件が一覧表示されます。

**[チェック]** タブには、過去 24 時間のコントロールのアクティブな検出結果が一覧表示されます。コントロールの検出結果は、Security Hub CSPM がコントロールに対してセキュリティチェックを実行したときに生成および更新されます。このタブのリストには、アーカイブされた検出結果は含まれません。

各検出結果について、リストからコンプライアンスステータスや関連リソースなどの検出結果の詳細にアクセスできます。各結果のワークフローステータスを設定し、結果をカスタムアクションに送信することもできます。詳細については、「[コントロール検出結果の確認と管理](securityhub-control-manage-findings.md)」を参照してください。

## コントロールの詳細の表示
<a name="view-control-details-console"></a>

お好みのアクセス方法を選択し、以下の手順に従ってコントロールの詳細を確認します。詳細は現在のアカウントとリージョンに適用されます。また、以下の内容を含みます。
+ コントロールのタイトルと説明。
+ 失敗したコントロールの検出結果の修正ガイダンスへのリンク。
+ コントロールの重要度。
+ コントロールのステータス。

コンソール上で、コントロールの最近の検出結果のリストも確認できます。プログラムで実行するには、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) オペレーションを使用します。

------
#### [ Security Hub CSPM console ]

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[コントロール]** を選択します。

1. コントロールを選択します。

------
#### [ Security Hub CSPM API ]

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` を実行し、1 つ以上の標準 ARN を提供して、その標準におけるコントロール ID のリストを取得します。標準 ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) を実行します。標準 ARN を提供しない場合、この API はすべての Security Hub CSPM コントロール ID を返します。この API は、これらの機能リリース以前に存在していた標準ベースのコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

   **リクエストの例:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. を実行して`[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)`、現在の AWS アカウント および の 1 つ以上のコントロールに関する詳細を取得します AWS リージョン。

   **リクエストの例:**

   ```
   {
       "SecurityControlIds": ["Config.1", "IAM.1"]
   }
   ```

------
#### [ AWS CLI ]

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` コマンドを実行し、1 つ以上の標準 ARN を提供してコントロール ID のリストを取得します。標準 ARN を取得するには、`describe-standards` コマンドを実行します。標準 ARN を提供しない場合、このコマンドはすべての Security Hub CSPM コントロール ID を返します。このコマンドは、これらの機能リリース以前に存在していた標準ベースのコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html)` コマンドを実行し、 AWS アカウント および AWS リージョンにおける 1 つ以上のコントロールの詳細を取得します。

   ```
   aws securityhub --region us-east-1 batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'
   ```

------

# Security Hub CSPM でのコントロールのフィルタリングとソート
<a name="controls-filter-sort"></a>

 AWS Security Hub CSPM コンソールで、**コントロール**ページを使用して、現在の で利用可能なコントロールのテーブルを確認できます AWS リージョン。例外は集約リージョンです。[集約リージョンを設定し](finding-aggregation.md)、そのリージョンにサインインした場合、コンソールには集約リージョンまたは 1 つ以上のリンクされたリージョンで使用できるコントロールが表示されます。

特定のコントロールのサブセットに焦点を当てるには、コントロールのテーブルを並び替えてフィルタリングできます。テーブルの横にある **[フィルター条件]** オプションを使用すると、これらの特定のサブセットにすばやく焦点を当てることができます。
+ [すべての有効なコントロール] これは少なくとも 1 つの有効な標準で有効になっているコントロールです。
+ [すべての無効なコントロール] これはすべての標準で無効になっているコントロールです。
+ **[失敗]** など、特定のコントロールステータスを持つすべての有効なコントロール。**[データなし]** オプションには、現在検出結果がないコントロールのみが表示されます。コントロールステータスの詳細については、「[コンプライアンスステータスとコントロールステータスの評価](controls-overall-status.md)」を参照してください。

**[フィルター条件]** オプションに加えて、テーブルの上部にある **[フィルターコントロール]** ボックスにフィルター基準を入力して、テーブルをフィルタリングできます。例えば、コントロール ID または重要度でフィルタリングできます。

デフォルトでは、**[失敗]** ステータスのコントロールが重大度の降順で、最初にリストされます。別の列見出しを選択して、並べ替え順を変更できます。

**ヒント**  
コントロール検出結果に基づいてワークフローを自動化している場合は、`Title` や `Description` フィールドより `SecurityControlId` または `SecurityControlArn` [ASFF フィールド](securityhub-findings-format.md)をフィルターとして使用することをお勧めします。後者のフィールドは時々変更される可能性がありますが、コントロール ID と ARN は静的な識別子です。

Security Hub CSPM 管理者アカウントにサインインしている場合、**有効な**コントロールには、少なくとも 1 つのメンバーアカウントで有効になっているコントロールが含まれます。集約リージョンを設定している場合、**有効な**コントロールには、リンクされているリージョンで少なくとも 1 つで有効化されたコントロールが含まれます。

有効なコントロールの横にあるオプションを選択すると、パネルが表示され、コントロールが現在有効になっている標準が表示されます。また、コントロールが現在無効になっている標準も確認できます。このパネルから、すべての標準でコントロールを無効化できます。詳細については、「[Security Hub CSPM でのコントロールの無効化](disable-controls-overview.md)」を参照してください。管理者アカウントの場合、パネルの情報には、すべてのメンバーアカウントの設定が反映されています。

プログラムでコントロールのリストを取得するには、Security Hub CSPM API の[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) オペレーションを使用できます。個々のコントロールの詳細を取得するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html) オペレーションを使用します。

# Security Hub CSPM のコントロールパラメータについて
<a name="custom-control-parameters"></a>

 AWS Security Hub CSPM の一部のコントロールは、コントロールの評価方法に影響するパラメータを使用します。通常、このようなコントロールは、Security Hub CSPM が定義するデフォルトのパラメータ値と照らし合わせて評価されます。ただし、これらのコントロールのサブセットについては、パラメータ値を変更することができます。コントロールパラメータ値を変更した場合、Security Hub CSPM は、指定された値に対するコントロールの評価を開始します。コントロールの基になるリソースがカスタム値を満たした場合、Security Hub CSPM は `PASSED` 検出結果を生成します。リソースがカスタム値を満たさなかった場合、Security Hub CSPM は `FAILED` 検出結果を生成します。

コントロールパラメータをカスタマイズすることで、ビジネス要件やセキュリティの期待と一致するように、Security Hub CSPM によって推奨および監視されるセキュリティベストプラクティスを改良できます。コントロールの検出結果を抑制する代わりに、1 つ以上のパラメータをカスタマイズして、セキュリティニーズに合った検出結果を取得することができます。

コントロールパラメータの変更とカスタム値の設定のサンプルユースケースを以下に示します。
+ **[CloudWatch.16] – CloudWatch ロググループは指定した期間保持する必要があります**

  保持期間を指定できます。
+ **[IAM.7] – IAM ユーザーのパスワードポリシーには強力な設定が必要です**

  パスワード強度に関するパラメータを指定できます。
+ **[EC2.18] – セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります**

  無制限の着信トラフィックを許可するように承認するポートを指定できます。
+ **[Lambda.5] – VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります**

  成功の検出結果を生成するアベイラビリティーゾーンの最小数を指定できます。

このセクションでは、コントロールパラメータを変更するときに考慮すべき事項について説明します。

## コントロールパラメータ値の変更による影響
<a name="custom-control-parameters-overview"></a>

パラメータ値を変更する場合は、新しい値に基づいてコントロールを評価する新しいセキュリティチェックもトリガーします。そして、Security Hub CSPM が新しい値に基づいて新しいコントロール検出結果を生成します。コントロール検出結果の定期更新時には、Security Hub CSPM は新しいパラメータ値も使用します。コントロールのパラメータ値を変更しても、そのコントロールを含む標準を有効にしていない場合、Security Hub CSPM は新しい値を使用したセキュリティチェックを行いません。新しいパラメータ値に基づいてコントロールを評価するには、Security Hub CSPM の関連標準を少なくとも 1 つ有効にする必要があります。

コントロールは、1 つまたは複数のカスタマイズ可能なパラメータを持つことができます。それぞれのコントロールパラメータで使用可能なデータ型には以下が含まれます。
+ ブール値
+ Double
+ 列挙型
+ EnumList
+ 整数
+ IntegerList
+ String
+ StringList

カスタムパラメータ値は、有効な標準に適用されます。現在のリージョンでサポートされていないコントロールのパラメータはカスタマイズできません。個々のコントロールに関するリージョンの制限のリストについては、「[Security Hub CSPM コントロールのリージョンの制限](regions-controls.md)」を参照してください。

一部のコントロールは、許容パラメータ値も指定された範囲に収まらないと有効になりません。このような場合は、Security Hub CSPM が許容範囲を提供します。

Security Hub CSPM はデフォルトのパラメータ値を選択し、場合によっては更新することもあります。コントロールパラメータをカスタマイズしても、その値は、変更しない限りパラメータに指定した値のままです。つまり、パラメータのカスタム値が Security Hub CSPM で定義されている現在のデフォルト値と一致する場合でも、パラメータはデフォルトの Security Hub CSPM 値の更新の追跡を停止します。コントロール「**[ACM.1] – インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります**」の例を以下に示します。

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

前の例では、`daysToExpiration` パラメータのカスタム値は `30` です。このパラメータの現在のデフォルト値も `30` です。Security Hub CSPM がデフォルト値を `14` に変更しても、この例のパラメータはその変更を追跡しません。`30` の値は保持されます。

パラメータのデフォルトの Security Hub CSPM 値の更新を追跡する場合は、`ValueType` フィールドを `CUSTOM` ではなく `DEFAULT` に設定します。詳細については、「[1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻す](revert-default-parameter-values.md#revert-default-parameter-values-local-config)」を参照してください。

## カスタムパラメータをサポートするコントロール
<a name="controls-list-custom-parameters"></a>

カスタムパラメータをサポートするセキュリティコントロールのリストについては、Security Hub CSPM コンソールの**コントロール**ページまたは「[Security Hub CSPM のコントロールリファレンス](securityhub-controls-reference.md)」を参照してください。このリストをプログラムで取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) 操作を使用します。レスポンスで、`CustomizableProperties` オブジェクトによって、どのコントロールがカスタマイズ可能なパラメータをサポートしているかが示されます。

# 現在のコントロールパラメータ値の確認
<a name="view-control-parameters"></a>

変更する前に、コントロールパラメータの現在の値を知っておくと便利です。

アカウント内の個々のコントロールパラメータの現在の値を確認できます。中央設定を使用する場合、委任 AWS Security Hub CSPM 管理者は、設定ポリシーで指定されたパラメータ値を確認することもできます。

希望する方法を選択し、手順に従って現在のコントロールパラメータ値を確認します。

------
#### [ Security Hub CSPM console ]

**現在のコントロールパラメータ値を確認するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[コントロール]** を選択します。コントロールを選択します。

1. **[パラメータ]** タブを選択します。このタブに、コントロールの現在のパラメータ値が表示されます。

------
#### [ Security Hub CSPM API ]

**現在のコントロールパラメータ値を確認するには (API)**

[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html) API を呼び出し、1 つ以上のセキュリティコントロール ID または ARN を指定します。レスポンス内の `Parameters` オブジェクトに、指定されたコントロールの現在のパラメータ値が表示されます。

たとえば、次の AWS CLI コマンドは、、`APIGatway.1`、`CloudWatch.15`および の現在のパラメータ値を示しています`IAM.7`。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```

------

希望する方法を選択し、中央設定ポリシーの現在のパラメータ値を表示します。

------
#### [ Security Hub CSPM console ]

**設定ポリシーの現在のコントロールパラメータ値を確認するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。

1. **[ポリシー]** タブで、設定ポリシーを選択し、**[詳細を表示]** を選択します。すると、現在のパラメータ値を含むポリシーの詳細が表示されます。

------
#### [ Security Hub CSPM API ]

**設定ポリシーの現在のコントロールパラメータ値を確認するには (API)**

1. ホームリージョンの委任管理者アカウントから [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) API を呼び出します。

1. 詳細を確認したい設定ポリシーの ARN または ID を指定します。レスポンスに、現在のパラメータ値が含まれています。

たとえば、次の AWS CLI コマンドは、指定された設定ポリシーの現在のコントロールパラメータ値を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

コントロールの検出結果には、コントロールパラメータの現在の値も含まれます。[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md) では、これらの値は `Compliance` オブジェクトの `Parameters` フィールドに表示されます。Security Hub CSPM コンソールで検出結果を表示するには、ナビゲーションペインで **[検出結果]** を選択します。検出結果をプログラムで確認するには、Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html) 操作を使用します。

# コントロールパラメータ値のカスタマイズ
<a name="customize-control-parameters"></a>

コントロールパラメータをカスタマイズする手順は、 AWS Security Hub CSPM で[中央設定](central-configuration-intro.md)を使用するかどうかによって異なります。中央設定は、委任 Security Hub CSPM 管理者が AWS リージョン、、アカウント、組織単位 (OUs。

組織が中央設定を使用している場合、委任管理者は、カスタムコントロールパラメータを含む設定ポリシーを作成できます。これらのポリシーは、一元管理されるメンバーアカウントや OU に関連付けることができ、自分のホームリージョンおよびリンクされているすべてのリージョンで有効になります。委任管理者は 1 つ以上のアカウントをセルフマネージドとして指定することもできます。これにより、アカウント所有者は各リージョンで独自のパラメータを個別に設定できるようになります。組織で中央設定を使用していない場合は、アカウントおよびリージョンごとにコントロールパラメータを個別にカスタマイズする必要があります。

組織のさまざまな部分でコントロールパラメータ値を整合させることができるため、中央設定を使用することをお勧めします。例えば、すべてのテストアカウントが特定のパラメータ値を使用し、すべての本番稼働用アカウントが異なる値を使用する場合があります。

## 複数のアカウントおよびリージョンのコントロールパラメータをカスタマイズする
<a name="customize-control-parameters-central-config"></a>

中央設定を使用する組織の委任 Security Hub CSPM 管理者の場合は、希望する方法を選択し、手順に従って複数のアカウントおよびリージョンのコントロールパラメータをカスタマイズします。

------
#### [ Security Hub CSPM console ]

**複数のアカウントおよびリージョンのコントロールパラメータ値をカスタマイズするには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンにサインインしていることを確認します。

1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。

1. **[Policies]** タブを選択します。

1. カスタムパラメータを含む新しい設定ポリシーを作成するには、**[ポリシーの作成]** を選択します。既存の設定ポリシーでカスタムパラメータを指定するには、ポリシーを選択し、**[編集]** を選択します。

   **カスタムコントロールパラメータ値を使用して新しい設定ポリシーを作成するには**

   1. **[カスタムポリシー]** セクションで、有効にするセキュリティ標準およびコントロールを選択します。

   1. **[コントロールパラメータをカスタマイズする]** を選択します。

   1. コントロールを選択し、1 つ以上のパラメータにカスタム値を指定します。

   1. その他のコントロールのパラメータをカスタマイズするには、**[その他のコントロールをカスタマイズする]** を選択します。

   1. **[アカウント]** セクションで、ポリシーを適用するアカウントまたは OU を選択します。

   1. [**次へ**] を選択します。

   1. **[ポリシーを作成して適用]** を選択します。ホームリージョンおよびリンクされているすべてのリージョンで、このアクションにより、この設定ポリシーに関連付けられているアカウントおよび OU の既存の構成設定がオーバーライドされます。アカウントと OU は、直接適用するか親から継承することによって、設定ポリシーに関連付けることができます。

   **既存の設定ポリシーでコントロールパラメータ値をカスタマイズするには**

   1. **[コントロール]** セクションの **[カスタムポリシー]** で、必要な新しいカスタムパラメータ値を指定します。

   1. このポリシーでコントロールパラメータをカスタマイズするのが初めての場合は、**[コントロールパラメータをカスタマイズする]** を選択し、カスタマイズするコントロールを選択します。その他のコントロールのパラメータをカスタマイズするには、**[その他のコントロールをカスタマイズする]** を選択します。

   1. **[アカウント]** セクションで、ポリシーを適用するアカウントまたは OU を確認します。

   1. [**次へ**] を選択します。

   1. 変更内容を見直し、それらが正しいことを確認します。完了したら、**[ポリシーを保存して適用]** を選択します。ホームリージョンおよびリンクされているすべてのリージョンで、このアクションにより、この設定ポリシーに関連付けられているアカウントおよび OU の既存の構成設定がオーバーライドされます。アカウントと OU は、直接適用するか親から継承することによって、設定ポリシーに関連付けることができます。

------
#### [ Security Hub CSPM API ]

**複数のアカウントおよびリージョン (API) のコントロールパラメータ値をカスタマイズするには**

**カスタムコントロールパラメータ値を使用して新しい設定ポリシーを作成するには**

1. ホームリージョンの委任管理者アカウントから [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API を呼び出します。

1. `SecurityControlCustomParameters` オブジェクトには、カスタマイズする各コントロールの識別子を指定します。

1. `Parameters` オブジェクトには、カスタマイズする各パラメータの名前を指定します。カスタマイズする各パラメータで、`ValueType` に `CUSTOM` を指定します。`Value` には、パラメータのデータ型とカスタム値を指定します。`ValueType` が `CUSTOM` の場合、`Value` フィールドを空にすることはできません。コントロールがサポートするパラメータをリクエストで省略した場合、そのパラメータは現在の値を保持します。[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API を呼び出すことで、コントロールでサポートされているパラメータ、データ型、有効な値を確認できます。

**既存の設定ポリシーでコントロールパラメータ値をカスタマイズするには**

1. ホームリージョンの委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API を呼び出します。

1. `Identifier` フィールドには、更新する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

1. `SecurityControlCustomParameters` オブジェクトには、カスタマイズする各コントロールの識別子を指定します。

1. `Parameters` オブジェクトには、カスタマイズする各パラメータの名前を指定します。カスタマイズする各パラメータで、`ValueType` に `CUSTOM` を指定します。`Value` には、パラメータのデータ型とカスタム値を指定します。コントロールがサポートするパラメータをリクエストで省略した場合、そのパラメータは現在の値を保持します。[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API を呼び出すことで、コントロールでサポートされているパラメータ、データ型、有効な値を確認できます。

たとえば、次の AWS CLI コマンドは、 `daysToExpiration`パラメータのカスタム値を使用して新しい設定ポリシーを作成します`ACM.1`。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```

------

## 1 つのアカウントおよびリージョンでコントロールパラメータをカスタマイズする
<a name="customize-control-parameters-local-config"></a>

中央設定を使用していない場合、またはセルフマネージドアカウントがある場合は、一度に 1 つのリージョンでのみアカウントのコントロールパラメータをカスタマイズできます。

希望する方法を選択し、手順に従ってコントロールパラメータをカスタマイズします。変更は、現在のリージョンのアカウントにのみ適用されます。別のリージョンでコントロールパラメータをカスタマイズするには、パラメータをカスタマイズする別のアカウントおよびリージョンごとに以下の手順を繰り返します。同じコントロールでも、リージョンごとに異なるパラメータ値を使用できます。

------
#### [ Security Hub CSPM console ]

**1 つのアカウントおよびリージョン (コンソール) でコントロールパラメータ値をカスタマイズするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[コントロール]** を選択します。テーブルで、カスタムパラメータをサポートしていて、パラメータを変更したいコントロールを選択します。**[カスタムパラメータ]** 列に、どのコントロールがカスタムパラメータをサポートしているかが示されます。

1. コントロールの詳細ページで、**[パラメータ]** タブを選択し、**[編集]** を選択します。

1. 必要なパラメータ値を指定します。

1. 必要に応じて、**[変更の理由]** セクションで、パラメータをカスタマイズする理由を選択します。

1. [**保存**] を選択します。

------
#### [ Security Hub CSPM API ]

**1 つのアカウントおよびリージョン (API) でコントロールパラメータ値をカスタマイズするには**

1. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html) API を呼び出します。

1. `SecurityControlId` には、カスタマイズするコントロールの ID を指定します。

1. `Parameters` オブジェクトには、カスタマイズする各パラメータの名前を指定します。カスタマイズする各パラメータで、`ValueType` に `CUSTOM` を指定します。`Value` には、パラメータのデータ型とカスタム値を指定します。コントロールがサポートするパラメータをリクエストで省略した場合、そのパラメータは現在の値を保持します。[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API を呼び出すことで、コントロールでサポートされているパラメータ、データ型、有効な値を確認できます。

1. 必要に応じて、`LastUpdateReason` に、コントロールパラメータをカスタマイズする理由を入力します。

たとえば、次の AWS CLI コマンドは の `daysToExpiration`パラメータのカスタム値を定義します`ACM.1`。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```

------

# デフォルトのコントロールパラメータ値に戻す
<a name="revert-default-parameter-values"></a>

コントロールパラメータには、 AWS Security Hub CSPM が定義するデフォルト値を含めることができます。Security Hub CSPM では、進化するセキュリティのベストプラクティスを反映させるため、パラメータのデフォルト値を更新する場合があります。コントロールパラメータにカスタム値を指定していない場合、コントロールは、これらの更新を自動的に追跡し、新しいデフォルト値を使用します。

コントロールのデフォルトパラメータ値を使用するように戻すことができます。元に戻す手順については、Security Hub CSPM で[中央設定](central-configuration-intro.md)を使用するかどうかによって異なります。中央設定は、委任 Security Hub CSPM 管理者が AWS リージョン、、アカウント、組織単位 (OUs。

**注記**  
すべてのコントロールパラメータにデフォルトの Security Hub CSPM 値があるわけではありません。このような場合は、`ValueType` を `DEFAULT` に設定しても、Security Hub CSPM が使用する特定のデフォルト値は存在しません。より正確に言えば、Security Hub CSPM は、カスタム値がないときはパラメータを無視します。

## 複数のアカウントおよびリージョンでデフォルトのパラメータに戻す
<a name="revert-default-parameter-values-central-config"></a>

中央設定を使用すると、ホームリージョンとリンクされたリージョン内の複数の一元管理されるアカウントや OU のコントロールパラメータを元に戻すことができます。

希望する方法を選択し、手順に従って、中央設定を使用して複数のアカウントおよびリージョンでデフォルトのパラメータ値に戻します。

------
#### [ Security Hub CSPM console ]

**複数のアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。

1. **[Policies]** タブを選択します。

1. ポリシーを選択し、**[編集]** を選択します。

1. **[カスタムポリシー]** の **[コントロール]** セクションに、カスタムパラメータを指定したコントロールのリストが表示されます。

1. 元に戻すパラメータ値が 1 つ以上あるコントロールを見つけます。そして、**[削除]** を選択してデフォルト値に戻します。

1. **[アカウント]** セクションで、ポリシーを適用するアカウントまたは OU を確認します。

1. [**次へ**] を選択します。

1. 変更内容を見直し、それらが正しいことを確認します。完了したら、**[ポリシーを保存して適用]** を選択します。ホームリージョンおよびリンクされているすべてのリージョンで、このアクションにより、この設定ポリシーに関連付けられているアカウントおよび OU の既存の構成設定がオーバーライドされます。アカウントと OU は、直接適用するか親から継承することによって、設定ポリシーに関連付けることができます。

------
#### [ Security Hub CSPM API ]

**複数のアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (API)**

1. ホームリージョンの委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API を呼び出します。

1. `Identifier` フィールドには、更新するポリシーの Amazon リソースネーム (ARN) または ID を指定します。

1. `SecurityControlCustomParameters` オブジェクトには、1 つ以上のパラメータを元に戻す各コントロールの識別子を指定します。

1. `Parameters` オブジェクトでは、元に戻すパラメータごとに、`ValueType` フィールドに `DEFAULT` を指定します。`ValueType` を `DEFAULT` に設定すると、`Value` フィールドに値を指定する必要がなくなります。リクエストに値が含まれている場合、Security Hub CSPM はその値を無視します。コントロールがサポートするパラメータをリクエストで省略した場合、そのパラメータは現在の値を保持します。

**警告**  
`SecurityControlCustomParameters` フィールドでコントロールオブジェクトを省略すると、Security Hub CSPM は、そのコントロールのすべてのカスタムパラメータをデフォルト値に戻します。`SecurityControlCustomParameters` のリストが完全に空の場合は、すべてのコントロールのカスタムパラメータがデフォルト値に戻ります。

たとえば、次の AWS CLI コマンドは、 の`daysToExpiration`コントロールパラメータ`ACM.1`を、指定された設定ポリシーのデフォルト値に戻します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## 1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻す
<a name="revert-default-parameter-values-local-config"></a>

中央設定を使用していない場合、またはセルフマネージドアカウントがある場合は、一度に 1 つのリージョンでアカウントのデフォルトパラメータ値を使用するように戻すことができます。

希望する方法を選択し、手順に従って 1 つのリージョンでアカウントのデフォルトのパラメータ値に戻します。別のリージョンでデフォルトのパラメータ値に戻すには、それぞれのリージョンでこれらの手順を繰り返します。

**注記**  
Security Hub CSPM を無効にすると、カスタムコントロールパラメータがリセットされます。その後、Security Hub CSPM を再度有効にすると、すべてのコントロールがデフォルトのパラメータ値を使用して起動します。

------
#### [ Security Hub CSPM console ]

**1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[コントロール]** を選択します。デフォルトのパラメータ値に戻すコントロールを選択します。

1. `Parameters` タブで、コントロールパラメータの横にある **[カスタマイズ済み]** を選択します。そして、**[カスタマイズを削除]** を選択します。これで、このパラメータはデフォルトの Security Hub CSPM 値を使用し、デフォルト値の今後の更新を追跡するようになります。

1. 元に戻すパラメータ値ごとに、上記のステップを繰り返します。

------
#### [ Security Hub CSPM API ]

**1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (API)**

1. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html) API を呼び出します。

1. `SecurityControlId` には、パラメータを元に戻すコントロールの ARN または ID を指定します。

1. `Parameters` オブジェクトでは、元に戻すパラメータごとに、`ValueType` フィールドに `DEFAULT` を指定します。`ValueType` を `DEFAULT` に設定すると、`Value` フィールドに値を指定する必要がなくなります。リクエストに値が含まれている場合、Security Hub CSPM はその値を無視します。

1. 必要に応じて、`LastUpdateReason` に、デフォルトのパラメータ値に戻す理由を入力します。

たとえば、次の AWS CLI コマンドは、 の`daysToExpiration`コントロールパラメータ`ACM.1`をデフォルト値に戻します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------

# コントロールパラメータの変更ステータスをチェックする
<a name="parameter-update-status"></a>

コントロールパラメータをカスタマイズしたり、デフォルト値に戻したりしようとすると、目的の変更が有効であったかどうかを検証できます。これにより、コントロールが期待どおりに機能し、意図したセキュリティ値を提供することを確認できます。パラメータの更新に失敗した場合、Security Hub CSPM はパラメータの現在の値を保持します。

パラメータの更新が成功したことを検証するには、Security Hub CSPM コンソールでコントロールの詳細を確認します。コンソールで、**[コントロール]** をクリックします。次に、詳細を表示するコントロールを選択します。**[パラメータ]** タブに、パラメータ変更のステータスが表示されます。

プログラム上では、パラメータの更新リクエストが有効な場合、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html) 操作を受けて `UpdateStatus` フィールドの値が `UPDATING` になります。つまり、更新は有効でも、すべての検出結果には更新されたパラメータ値がまだ含まれていない可能性があります。`UpdateState` の値が `READY` に変更されると、Security Hub CSPM は、コントロールのセキュリティチェックを実行するときに更新されたコントロールパラメータ値を使用します。検出結果には、更新されたパラメータ値が含まれます。

`UpdateSecurityControl` 操作は、無効なパラメータ値に対して `InvalidInputException` レスポンスを返します。このレスポンスにより、失敗の理由に関するさらなる詳細が提供されます。例えば、パラメータの有効範囲外の値を指定した可能性があります。あるいは、正しいデータ型を使用していない値を指定した可能性があります。有効な入力内容でリクエストを再送信します。

パラメータ値を更新しようとしたときに内部障害が発生した場合、有効にすると Security Hub CSPM は自動的に再試行します AWS Config 。詳細については、「[を有効にして設定する前に考慮すべき点 AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config)」を参照してください。

# Security Hub CSPM におけるコントロール検出結果の確認と管理
<a name="securityhub-control-manage-findings"></a>

コントロールの詳細ページには、コントロールのアクティブな検出結果のリストが表示されます。このリストには、アーカイブされた結果は含まれていません。

コントロールの詳細ページでは、クロスリージョン集約をサポートしています。集約リージョンを設定している場合、コントロール詳細ページのコントロールステータスおよびセキュリティチェックのリストには、リンクされているすべての AWS リージョンのチェックが含まれます。

リストには、結果をフィルタリングおよびソートするためのツールが用意されており、急を要する結果から重点的に取り組むことができます。検出結果には、関連するサービスコンソールにおけるリソースの詳細へのリンクが含まれている場合があります。 AWS Config ルールに基づくコントロールの場合、ルールの詳細を表示できます。

 AWS Security Hub CSPM API を使用して、検出結果と検出結果の詳細のリストを取得することもできます。

詳細については、「[検出結果の詳細と履歴の確認](securityhub-findings-viewing.md#finding-view-details-console)」を参照してください。

コントロール検出結果の調査の現在のステータスを反映するには、ワークフローステータスを設定します。詳細については、「[Security Hub CSPM 検出結果のワークフローステータスの設定](findings-workflow-status.md)」を参照してください。

選択した Security Hub CSPM の検出結果を Amazon EventBridge のカスタムアクションに送信することもできます。詳細については、「[Security Hub CSPM の検出結果をカスタム Security Hub CSPM アクションに送信する](findings-custom-action.md)」を参照してください。

**Topics**
+ [コントロール検出結果のフィルタリングとソート](control-finding-list.md)
+ [コントロール検出結果のサンプル](sample-control-findings.md)

# コントロール検出結果のフィルタリングとソート
<a name="control-finding-list"></a>

 AWS Security Hub CSPM コンソールの**コントロール**ページまたは標準の詳細ページからコントロールを選択すると、コントロールの詳細ページが表示されます。

コントロールの詳細ページには、コントロールのタイトルと説明、全体的なコントロールステータス、過去 24 時間のコントロールのセキュリティチェックの内訳が表示されます。

コントロールチェックリストの横にある **[フィルター条件]** オプションを使用して、特定の[ワークフローステータス](findings-workflow-status.md)または[コンプライアンスステータス](controls-overall-status.md#controls-overall-status-compliance-status) の検出結果にすばやく焦点を合わせます。

Filter **by** オプションに加えて、**Add filter** ボックスを使用して、 AWS アカウント ID やリソース ID などの他のフィールドでチェックリストをフィルタリングできます。

デフォルトでは、コンプライアンスステータスが **[合格]** の結果が最初に一覧表示されます。列ヘッダーで別のオプションを選択して、デフォルトのソートを変更できます。

コントロールの詳細ページから、**[ダウンロード]** を選んでコントロール検出結果の現在のページを.csv ファイルにダウンロードできます。

検出結果リストをフィルタリングする場合は、ダウンロードにはフィルターに一致するコントロールのみが含まれます。リストから特定の検出結果を選択する場合は、ダウンロードには選択した検出結果のみが含まれます。

検出結果フィルターの詳細については、[Security Hub CSPM での検出結果のフィルタリング](securityhub-findings-manage.md) を参照してください。

# コントロール検出結果のサンプル
<a name="sample-control-findings"></a>

次のサンプルは、 AWS Security Finding 形式 (ASFF) の AWS Security Hub CSPM コントロールの検出結果の例を示しています。コントロール検出結果の内容は、[統合されたコントロールの検出結果] を有効にしたかどうかによって異なります。

[統合されたコントロール検出結果] を有効にすると、コントロールが複数の有効化された標準に適応されている場合でも、Security Hub CSPM はコントロールに対して単一の検出結果を生成します。この機能を有効にしない場合、Security Hub CSPM は、コントロールが適用される有効な標準ごとに個別のコントロール検出結果を生成します。たとえば、2 つの標準を有効にし、その両方にコントロールが適用される場合、コントロールには 2 つの個別の検出結果が表示され、各標準に 1 つずつ表示されます。統合されたコントロールの検出結果を有効にすると、コントロールの検出結果が 1 つのみになります。詳細については、「[統合されたコントロールの検出結果](controls-findings-create-update.md#consolidated-control-findings)」を参照してください。

このページのサンプルは、両方のシナリオの例を示しています。サンプルには、統合されたコントロール検出結果が無効になっている場合の個々の Security Hub CSPM 標準のコントロール検出結果と、統合されたコントロール検出結果が有効になっている場合の複数の Security Hub CSPM 標準のコントロール検出結果が含まれます。

**Topics**
+ [AWS Foundational Security Best Practices 標準のサンプル結果](#sample-finding-fsbp)
+ [CIS AWS Foundations Benchmark v5.0.0 のサンプル結果](#sample-finding-cis-5)
+ [CIS AWS Foundations Benchmark v3.0.0 のサンプル結果](#sample-finding-cis-3)
+ [CIS AWS Foundations Benchmark v1.4.0 のサンプル結果](#sample-finding-cis-1.4)
+ [CIS AWS Foundations Benchmark v1.2.0 のサンプル結果](#sample-finding-cis-1.2)
+ [NIST SP 800-53 Revision 5 標準の検出結果のサンプル](#sample-finding-nist-800-53)
+ [NIST SP 800-171 Revision 2 標準の検出結果のサンプル](#sample-finding-nist-800-171)
+ [Payment Card Industry Data Security Standard v3.2.1 の検出結果のサンプル](#sample-finding-pcidss-v321)
+ [AWS リソースタグ付け標準のサンプル結果](#sample-finding-tagging)
+ [AWS Control Tower サービスマネージド標準のサンプル検出結果](#sample-finding-service-managed-aws-control-tower)
+ [複数の標準の統合された検出結果のサンプル](#sample-finding-consolidation)

**注記**  
コントロール検出結果は、中国リージョンと AWS GovCloud (US) リージョンのさまざまなフィールドと値を参照します。詳細については、「[ASFF フィールドと値への統合の影響](asff-changes-consolidation.md)」を参照してください。

## AWS Foundational Security Best Practices 標準のサンプル結果
<a name="sample-finding-fsbp"></a>

次のサンプルは、 AWS Foundational Security Best Practices (FSBP) 標準に適用されるコントロールの検出結果の例を示しています。このサンプルでは、統合されたコントロールの検出結果は無効になっています。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.076Z",
  "LastObservedAt": "2021-09-28T16:10:06.956Z",
  "CreatedAt": "2020-08-06T02:18:23.076Z",
  "UpdatedAt": "2021-09-28T16:10:00.093Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/aws-foundation-best-practices/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
    ]
  }
}
```

## CIS AWS Foundations Benchmark v5.0.0 のサンプル結果
<a name="sample-finding-cis-5"></a>

次のサンプルは、CIS AWS Foundations Benchmark v5.0.0 に適用されるコントロールの検出結果の例を示しています。このサンプルでは、統合されたコントロールの検出結果は無効になっています。

```
{
  "AwsAccountId": "123456789012",
  "CompanyName": "AWS",
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.7",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v5.0.0/5.1.1"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/5.0.0"
      }
    ]
  },
  "CreatedAt": "2025-10-10T17:04:00.952Z",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Product": 40,
      "Original": "MEDIUM"
    }
  },
  "FirstObservedAt": "2025-10-10T17:03:57.895Z",
  "GeneratorId": "cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
  "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
  "LastObservedAt": "2025-10-14T05:22:28.667Z",
  "ProcessedAt": "2025-10-14T05:22:50.099Z",
  "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub",
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0",
    "ControlId": "5.1.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2a99554f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
    "PreviousComplianceStatus": "FAILED"
  },
  "ProductName": "Security Hub CSPM",
  "RecordState": "ACTIVE",
  "Region": "us-west-1",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "Resources": [
    {
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-west-1",
      "Type": "AwsAccount"
    }
  ],
  "SchemaVersion": "2018-10-08",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM",
    "Product": 40
  },
  "Title": "5.1.1 EBS default encryption should be enabled",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "UpdatedAt": "2025-10-14T05:22:38.671Z",
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW"
}
```

## CIS AWS Foundations Benchmark v3.0.0 のサンプル結果
<a name="sample-finding-cis-3"></a>

次のサンプルは、CIS AWS Foundations Benchmark v3.0.0 に適用されるコントロールの検出結果の例を示しています。このサンプルでは、統合されたコントロールの検出結果は無効になっています。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2024-04-18T07:46:18.193Z",
  "LastObservedAt": "2024-04-23T07:47:01.137Z",
  "CreatedAt": "2024-04-18T07:46:18.193Z",
  "UpdatedAt": "2024-04-23T07:46:46.165Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.2.1 EBS default encryption should be enabled",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/3.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0",
    "ControlId": "2.2.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2843ed9e",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v3.0.0/2.2.1"
    ],
    "SecurityControlId": "EC2.7",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  },
  "ProcessedAt": "2024-04-23T07:47:07.088Z"
}
```

## CIS AWS Foundations Benchmark v1.4.0 のサンプル結果
<a name="sample-finding-cis-1.4"></a>

次のサンプルは、CIS AWS Foundations Benchmark v1.4.0 に適用されるコントロールの検出結果の例を示しています。このサンプルでは、統合されたコントロールの検出結果は無効になっています。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/1.4.0/3.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2022-10-21T22:14:48.913Z",
  "LastObservedAt": "2022-12-22T22:24:56.980Z",
  "CreatedAt": "2022-10-21T22:14:48.913Z",
  "UpdatedAt": "2022-12-22T22:24:52.409Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "3.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS CloudTrail is a web service that records AWS API calls for an account and makes those logs available to users and resources in accordance with IAM policies. AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and AWS KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0",
    "ControlId": "3.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-855f82d1",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/1.4.0/3.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.4.0/3.7"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## CIS AWS Foundations Benchmark v1.2.0 のサンプル結果
<a name="sample-finding-cis-1.2"></a>

次のサンプルは、CIS AWS Foundations Benchmark v1.2.0 に適用されるコントロールの検出結果の例を示しています。このサンプルでは、統合されたコントロールの検出結果は無効になっています。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2020-08-29T04:10:06.337Z",
  "LastObservedAt": "2021-09-28T16:10:05.350Z",
  "CreatedAt": "2020-08-29T04:10:06.337Z",
  "UpdatedAt": "2021-09-28T16:10:00.087Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
    "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0",
    "RuleId": "2.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/2.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## NIST SP 800-53 Revision 5 標準の検出結果のサンプル
<a name="sample-finding-nist-800-53"></a>

次のサンプルは、NIST SP 800-53 Revision 5 標準に適用されるコントロールの検出結果の例を示しています。このサンプルでは、統合されたコントロールの検出結果は無効になっています。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-53/v/5.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2023-02-17T14:22:46.726Z",
  "LastObservedAt": "2023-02-17T14:22:50.846Z",
  "CreatedAt": "2023-02-17T14:22:46.726Z",
  "UpdatedAt": "2023-02-17T14:22:46.726Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to fix this issue, consult the AWS Security Hub CSPM NIST 800-53 R5 documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-53/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.9/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",

      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",

      "Partition": "aws",

      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
        "NIST.800-53.r5 AU-9",
        "NIST.800-53.r5 CA-9(1)",
        "NIST.800-53.r5 CM-3(6)",
        "NIST.800-53.r5 SC-13",
        "NIST.800-53.r5 SC-28",
        "NIST.800-53.r5 SC-28(1)",
        "NIST.800-53.r5 SC-7(10)",
        "NIST.800-53.r5 SI-7(6)"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-53/v/5.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2023-02-17T14:22:53.572Z"
}
```

## NIST SP 800-171 Revision 2 標準の検出結果のサンプル
<a name="sample-finding-nist-800-171"></a>

次のサンプルは、NIST SP 800-171 Revision 2 標準に適用されるコントロールの検出結果の例を示しています。このサンプルでは、統合されたコントロールの検出結果は無効になっています。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-171/v/2.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "AwsAccountName": "TestAcct",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2025-05-29T05:23:58.690Z",
  "LastObservedAt": "2025-05-30T05:50:11.898Z",
  "CreatedAt": "2025-05-29T05:24:24.772Z",
  "UpdatedAt": "2025-05-30T05:50:34.292Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-171/v/2.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-0ab1c2d4",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/nist-800-171/v/2.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
      "Partition": "aws",
      "Region": "us-east-1",
      "Type": "AwsCloudTrailTrail"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "NIST.800-171.r2/3.3.8"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-171/v/2.0.0"
      }
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Product": 40,
      "Label": "MEDIUM",
      "Normalized": 40,
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T05:50:40.297Z"
}
```

## Payment Card Industry Data Security Standard v3.2.1 の検出結果のサンプル
<a name="sample-finding-pcidss-v321"></a>

次のサンプルは、Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 に適用されるコントロールの検出結果の例を示しています。このサンプルでは、統合されたコントロールの検出結果は無効になっています。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "pci-dss/v/3.2.1/PCI.CloudTrail.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.089Z",
  "LastObservedAt": "2021-09-28T16:10:06.942Z",
  "CreatedAt": "2020-08-06T02:18:23.089Z",
  "UpdatedAt": "2021-09-28T16:10:00.090Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "PCI.CloudTrail.1 CloudTrail logs should be encrypted at rest using AWS KMS CMKs",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption by checking if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1",
    "ControlId": "PCI.CloudTrail.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/pci-dss/v/3.2.1/PCI.CloudTrail.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "PCI DSS 3.4"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/pci-dss/v/3.2.1"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
    ]
  }
}
```

## AWS リソースタグ付け標準のサンプル結果
<a name="sample-finding-tagging"></a>

次のサンプルは、 AWS リソースタグ付け標準に適用されるコントロールの検出結果の例を示しています。このサンプルでは、統合されたコントロールの検出結果は無効になっています。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "eu-central-1",
  "GeneratorId": "security-control/EC2.44",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-02-19T21:00:32.206Z",
  "LastObservedAt": "2024-04-29T13:01:57.861Z",
  "CreatedAt": "2024-02-19T21:00:32.206Z",
  "UpdatedAt": "2024-04-29T13:01:41.242Z",
  "Severity": {
    "Label": "LOW",
    "Normalized": 1,
    "Original": "LOW"
  },
  "Title": "EC2 subnets should be tagged",
  "Description": "This control checks whether an Amazon EC2 subnet has tags with the specific keys defined in the parameter requiredTagKeys. The control fails if the subnet doesn't have any tag keys or if it doesn't have all the keys specified in the parameter requiredTagKeys. If the parameter requiredTagKeys isn't provided, the control only checks for the existence of a tag key and fails if the subnet isn't tagged with any key. System tags, which are automatically applied and begin with aws:, are ignored.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.44/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-tagged-ec2-subnet-6ceafede",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "No tags are present.",
    "Resources:0/Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
    "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsEc2Subnet",
      "Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
      "Partition": "aws",
      "Region": "eu-central-1",
      "Details": {
        "AwsEc2Subnet": {
          "AssignIpv6AddressOnCreation": false,
          "AvailabilityZone": "eu-central-1b",
          "AvailabilityZoneId": "euc1-az3",
          "AvailableIpAddressCount": 4091,
          "CidrBlock": "10.24.34.0/23",
          "DefaultForAz": true,
          "MapPublicIpOnLaunch": true,
          "OwnerId": "123456789012",
          "State": "available",
          "SubnetArn": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
          "SubnetId": "subnet-1234567890abcdef0",
          "VpcId": "vpc-021345abcdef6789"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.44",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/aws-resource-tagging-standard/v/1.0.0"
      }
    ],
    "SecurityControlParameters": [
      {
        "Name": "requiredTagKeys",
        "Value": [
          "peepoo"
        ]
      }
    ],
            },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW",
      "Original": "LOW"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2024-04-29T13:02:03.259Z"
}
```

## AWS Control Tower サービスマネージド標準のサンプル検出結果
<a name="sample-finding-service-managed-aws-control-tower"></a>

次のサンプルは、 AWS Control Tower サービスマネージド標準に適用されるコントロールの検出結果の例を示しています。このサンプルでは、統合されたコントロールの検出結果は無効になっています。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2022-11-17T01:25:30.296Z",
  "LastObservedAt": "2022-11-17T01:25:45.805Z",
  "CreatedAt": "2022-11-17T01:25:30.296Z",
  "UpdatedAt": "2022-11-17T01:25:30.296Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CT.CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0",
    "ControlId": "CT.CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWSMacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  }
}
```

## 複数の標準の統合された検出結果のサンプル
<a name="sample-finding-consolidation"></a>

次のサンプルは、複数の有効な標準に適用されるコントロールの検出結果の例を示しています。このサンプルでは、統合されたコントロールの検出結果が有効になっています。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "security-control/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-08-09T14:57:04.521Z",
  "LastObservedAt": "2025-05-30T03:30:17.407Z",
  "CreatedAt": "2024-08-09T14:57:04.521Z",
  "UpdatedAt": "2025-05-30T03:30:32.781Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-01a2b345",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
      "Partition": "aws",
      "Region": "us-east-1",
      "Details": {
        "AwsCloudTrailTrail": {
          "HasCustomEventSelectors": false,
          "IncludeGlobalServiceEvents": true,
          "LogFileValidationEnabled": true,
          "HomeRegion": "us-east-1",
          "IsMultiRegionTrail": true,
          "S3BucketName": "cloudtrail-awslogs-do-not-delete",
          "IsOrganizationTrail": false,
          "Name": "TestTrail-DO-NOT-DELETE"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.2.0/2.7",
      "CIS AWS Foundations Benchmark v1.4.0/3.7",
      "CIS AWS Foundations Benchmark v3.0.0/3.5",
      "NIST.800-171.r2/3.3.8",
      "PCI DSS v3.2.1/3.4",
      "PCI DSS v4.0.1/10.3.2"
    ],
    "AssociatedStandards": [
      { "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"},
      { "StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"},
      { "StandardsId": "standards/nist-800-171/v/2.0.0"},
      { "StandardsId": "standards/pci-dss/v/3.2.1"},
      { "StandardsId": "standards/pci-dss/v/4.0.1"}
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T03:31:00.831Z"
}
```

# Security Hub CSPM 統合について
<a name="securityhub-findings-providers"></a>

AWS Security Hub CSPM は、サポートされている複数の AWS のサービス サードパーティーのセキュリティソリューションから AWS Partner Network セキュリティ検出結果を取り込むことができます。これらの統合により、 AWS 環境全体のセキュリティとコンプライアンスを包括的に把握できます。Security Hub CSPM は、統合ソリューションから検出結果を取り込み、 AWS Security Finding 形式 (ASFF) に変換します。

**重要**  
サポートされる製品統合 AWS とサードパーティー製品統合の場合、Security Hub CSPM は、 で Security Hub CSPM を有効にした後にのみ生成された結果を受信して統合します AWS アカウント。Security Hub CSPM を有効化する前に生成されたセキュリティ検出結果は、さかのぼって受信および統合されることはありません。

Security Hub CSPM コンソールの統合****ページでは、利用可能な AWS およびサードパーティーの製品統合にアクセスできます。Security Hub CSPM API には、統合を管理するためのオペレーションもあります。

統合はすべてで使用できるとは限りません AWS リージョン。Security Hub CSPM コンソールで現在サインインしているリージョンで統合がサポートされていない場合、コンソールの **[統合]** ページには表示されません。中国リージョンで利用可能な統合のリストについては AWS GovCloud (US) Regions、「」を参照してください[リージョン別の統合の可用性](securityhub-regions.md#securityhub-regions-integration-support)。

 AWS のサービス および組み込みのサードパーティー統合に加えて、カスタムセキュリティ製品を Security Hub CSPM と統合できます。その後、これらの製品からの検出結果を Security Hub CSPM API を使用して Security Hub CSPM に送信できます。API を使用して、Security Hub CSPM がカスタムセキュリティ製品から受け取った既存の検出結果を更新することもできます。

**Topics**
+ [Security Hub CSPM 統合のリストの確認](securityhub-integrations-view-filter.md)
+ [Security Hub CSPM からの検出結果のフローを有効化](securityhub-integration-enable.md)
+ [Security Hub CSPM からの検出結果のフローを無効化](securityhub-integration-disable.md)
+ [Security Hub CSPM 統合からの検出結果の表示](securityhub-integration-view-findings.md)
+ [AWS のサービス Security Hub CSPM との統合](securityhub-internal-providers.md)
+ [Security Hub CSPM とのサードパーティー製品統合](securityhub-partner-providers.md)
+ [Security Hub CSPM とカスタム製品の統合](securityhub-custom-providers.md)

# Security Hub CSPM 統合のリストの確認
<a name="securityhub-integrations-view-filter"></a>

任意の方法を選択し、ステップに従って AWS Security Hub CSPM の統合のリストまたは特定の統合の詳細を確認します。

------
#### [ Security Hub CSPM console ]

**統合オプションと詳細を確認するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. Security Hub CSPM ナビゲーションペインで、**[統合]** を選択します。

**[統合]** ページで、他の AWS のサービス との統合が最初に一覧表示され、その後にサードパーティー製品との統合が一覧表示されます。

統合ごとに、**[統合]** ページに以下の情報が表示されます。
+ 会社名
+ 製品名
+ 統合の説明
+ 統合が適用されるカテゴリ
+ 統合を有効にする方法
+ 統合の現在のステータス

以下のフィールドにテキストを入力してリストをフィルタリングできます。
+ 会社名
+ 製品名
+ 統合の説明
+ カテゴリ

------
#### [ Security Hub CSPM API ]

**統合オプションと詳細を確認するには (API)**

統合のリストを取得するには、 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html) オペレーションを使用します。を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html) コマンドを実行します。

特定の製品統合の詳細を取得するには、`ProductArn` パラメータを使用して、その統合の Amazon リソースネーム (ARN) を指定します。

たとえば、次の AWS CLI コマンドは、Security Hub CSPM と 3CORESec の統合に関する詳細を取得します。

```
$ aws securityhub describe-products --product-arn "arn:aws:securityhub:us-east-1::product/3coresec/3coresec"
```

------

# Security Hub CSPM からの検出結果のフローを有効化
<a name="securityhub-integration-enable"></a>

 AWS Security Hub CSPM コンソールの統合****ページで、各統合を有効にするために必要な手順を確認できます。

他の との統合のほとんどで AWS のサービス、統合を有効にするために必要なステップは、他の サービスを有効にすることです。統合情報には、他のサービスのホームページへのリンクが含まれています。他のサービスを有効にすると、Security Hub CSPM がサービスから検出結果を受信できるようにするリソースレベルの許可が自動的に作成されて適用されます。

サードパーティー製品統合の場合、 から統合を購入し AWS Marketplace、統合を設定する必要があります。統合情報には、これらのタスクを完了するためのリンクが含まれます。

複数のバージョンの製品が利用可能な場合は AWS Marketplace、サブスクライブするバージョンを選択し、**「サブスクライブを続ける**」を選択します。例えば、一部の製品は標準バージョンと AWS GovCloud (US) バージョンを提供しています。

製品の統合を有効にすると、リソースポリシーがその製品サブスクリプションに自動的に添付されます。このリソースポリシーは、Security Hub CSPM がその製品から検出結果を受け取るために必要な許可を定義します。

統合を有効にするための事前ステップを完了したら、その統合からの検出結果の流れを無効にして再度有効にできます。**[Integrations]** (統合) ページで、検出結果を送信する統合の場合、**[Status]** (ステータス) 情報には、検出結果を現在受信しているかどうかが示されます。

------
#### [ Security Hub CSPM console ]

**統合先からの検出結果のフローを有効にするには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. Security Hub CSPM ナビゲーションペインで、**[統合]** を選択します。

1. 検出結果を送信する統合の場合、**[ステータス]** 情報には、Security Hub CSPM が現在その統合から検出結果を受信しているかどうかが示されます。

1. **[検出結果を受け入れる]** を選択します。

------
#### [ Security Hub CSPM API ]

[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html) 操作を使用します。を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html) コマンドを実行します。Security Hub を有効にして、統合先から検出結果を受信するには、製品 ARN が必要です。利用可能な統合先の ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html) オペレーションを使用します。を使用している場合は AWS CLI、 を実行します[https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html)。

たとえば、次の AWS CLI コマンドを使用すると、Security Hub CSPM は CrowdStrike Falcon 統合から検出結果を受信できます。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub enable-import-findings-for product --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"
```

------

# Security Hub CSPM からの検出結果のフローを無効化
<a name="securityhub-integration-disable"></a>

任意の方法を選択し、手順に従って AWS Security Hub CSPM 統合からの検出結果のフローを無効にします。

------
#### [ Security Hub CSPM console ]

**統合先からの検出結果のフローを無効にするには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. Security Hub CSPM ナビゲーションペインで、**[統合]** を選択します。

1. 検出結果を送信する統合の場合、**[ステータス]** 情報には、Security Hub CSPM が現在その統合から検出結果を受信しているかどうかが示されます。

1. **[検出結果の受け入れを停止]** を選択します。

------
#### [ Security Hub CSPM API ]

[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html) 操作を使用します。を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html) コマンドを実行します。統合による検出結果のフローを無効にするには、有効になっている統合のサブスクリプションの ARN が必要です。サブスクリプションの ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html) オペレーションを使用します。を使用している場合は AWS CLI、 を実行します[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html)。

たとえば、次の AWS CLI コマンドは、CrowdStrike Falcon 統合から Security Hub CSPM への検出結果のフローを無効にします。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub disable-import-findings-for-product --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"
```

------

# Security Hub CSPM 統合からの検出結果の表示
<a name="securityhub-integration-view-findings"></a>

 AWS Security Hub CSPM 統合から結果の受け入れを開始すると、**Security** Hub CSPM コンソールの統合ページに、統合**のステータス**が**結果の受け入れ**として表示されます。統合の検出結果のリストを確認するには、**[検出結果の表示]** を選択します。

検出結果リストには、ワークフローステータスが `NEW` または `NOTIFIED` である、選択した統合先のアクティブな検出結果が表示されます。

クロスリージョン集約を有効にすると、集約リージョンでは、リストに、集約リージョンと、統合が有効にされているリンクされたリージョンの検出結果が含まれます。Security Hub では、クロスリージョン集約の設定に基づき統合が自動的に有効になることはありません。

他のリージョンでは、統合先の検出結果リストには、現在のリージョンの検出結果のみが含まれます。

クロスリージョン集約の設定方法については、[Security Hub CSPM でのクロスリージョン集約について](finding-aggregation.md) を参照してください。

検出結果リストから、以下のアクションを実行できます。
+ [リストのフィルターとグループ化を変更する](securityhub-findings-manage.md)
+ [個々の検出結果の詳細を表示する](securityhub-findings-viewing.md#finding-view-details-console)
+ [検出結果のワークフローステータスを更新する](findings-workflow-status.md)
+ [カスタムアクションに検出結果を送信する](findings-custom-action.md)

# AWS のサービス Security Hub CSPM との統合
<a name="securityhub-internal-providers"></a>

AWS Security Hub CSPM は、他のいくつかの との統合をサポートしています AWS のサービス。これらの統合は、 AWS 環境全体のセキュリティとコンプライアンスを包括的に把握するのに役立ちます。

以下に特に明記されていない限り、Security Hub CSPM と他のサービスを有効にすると、Security Hub CSPM に結果を送信する AWS のサービス 統合が自動的にアクティブ化されます。Security Hub CSPM の検出結果を受け取る統合では、アクティベーションに追加の手順が必要になる場合があります。詳細については、各統合に関する情報を確認してください。

一部の統合は、すべてで利用できるわけではありません AWS リージョン。Security Hub CSPM コンソールでは、統合が現在のリージョンでサポートされていない場合、その統合は **[統合]** ページに表示されません。中国リージョンで利用可能な統合のリストについては AWS GovCloud (US) Regions、「」を参照してください[リージョン別の統合の可用性](securityhub-regions.md#securityhub-regions-integration-support)。

## Security Hub CSPM と AWS のサービス統合の概要
<a name="internal-integrations-summary"></a>

次の表は、Security Hub CSPM に検出結果を送信する、または Security Hub CSPM から検出結果を受信する AWS サービスの概要を示しています。


| 統合 AWS サービス | Direction | 
| --- | --- | 
|  [AWS Config](#integration-config)  |  検出結果の送信  | 
|  [AWS Firewall Manager](#integration-aws-firewall-manager)  |  検出結果の送信  | 
|  [Amazon GuardDuty](#integration-amazon-guardduty)  |  検出結果の送信  | 
|  [AWS Health](#integration-health)  |  検出結果の送信  | 
|  [AWS Identity and Access Management Access Analyzer](#integration-iam-access-analyzer)  |  検出結果の送信  | 
|  [Amazon Inspector](#integration-amazon-inspector)  |  検出結果の送信  | 
|  [AWS IoT Device Defender](#integration-iot-device-defender)  |  検出結果の送信  | 
|  [Amazon Macie](#integration-amazon-macie)  |  検出結果の送信  | 
|  [Amazon Route 53 Resolver DNS ファイアウォール](#integration-amazon-r53rdnsfirewall)  |  検出結果の送信  | 
|  [AWS Systems Manager Patch Manager](#patch-manager)  |  検出結果の送信  | 
|  [AWS Audit Manager](#integration-aws-audit-manager)  |  検出結果の受信  | 
|  [Amazon Q Developer in chat applications](#integration-chatbot)  |  検出結果の受信  | 
|  [Amazon Detective](#integration-amazon-detective)  |  検出結果の受信  | 
|  [Amazon Security Lake](#integration-security-lake)  |  検出結果の受信  | 
|  [AWS Systems Manager Explorer および OpsCenter](#integration-ssm-explorer-opscenter)  |  検出結果の受信と更新  | 
|  [AWS Trusted Advisor](#integration-trusted-advisor)  |  検出結果の受信  | 

## AWS のサービス Security Hub CSPM に結果を送信する
<a name="integrations-internal-send"></a>

以下は と AWS のサービス 統合され、Security Hub CSPM に結果を送信できます。Security Hub CSPM は、検出結果を [AWS Security Finding 形式](securityhub-findings-format.md)に変換します。

### AWS Config (検出結果を送信します)
<a name="integration-config"></a>

AWS Config は、 AWS リソースの設定を評価、監査、評価できるサービスです。 は、 AWS リソース設定 AWS Config を継続的にモニタリングおよび記録し、記録された設定を目的の設定と照らし合わせて評価を自動化できます。

との統合を使用すると AWS Config、 AWS Config マネージドルール評価とカスタムルール評価の結果を Security Hub CSPM の結果として確認できます。これらの検出結果は、他の Security Hub CSPM の検出結果と一緒に表示でき、セキュリティ体制を包括的に概観できます。

AWS Config は Amazon EventBridge を使用して、Security Hub CSPM に AWS Config ルール評価を送信します。Security Hub CSPM は、このルール評価を [AWS Security Finding 形式](securityhub-findings-format.md)に従う検出結果に変換します。その後 Security Hub CSPM は、Amazon リソースネーム (ARN)、リソースタグ、作成日など、影響を受けるリソースに関する詳細情報を取得することで、ベストエフォートベースで検出結果を強化します。

この統合に関する詳細は、以下のセクションを参照してください。

#### が Security Hub CSPM に検出結果 AWS Config を送信する方法
<a name="integration-config-how"></a>

Security Hub CSPM のすべての検出結果は、ASFF という標準 JSON 形式を使用します。ASFF には、検出結果のオリジン、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。 はEventBridge を介して Security Hub CSPM にマネージドルールとカスタムルールの評価 AWS Config を送信します。Security Hub CSPM は、ルール評価を ASFF に従う検出結果に変換し、ベストエフォートベースで検出結果を強化します。

##### が Security Hub CSPM AWS Config に送信する検出結果のタイプ
<a name="integration-config-how-types"></a>

統合がアクティブ化されると、 はすべての AWS Config マネージドルールとカスタムルールの評価を Security Hub CSPM AWS Config に送信します。Security Hub CSPM が有効になった後に実行された評価のみが送信されます。例えば、 AWS Config ルール評価で 5 つの失敗したリソースが明らかになったとします。その後、Security Hub CSPM を有効にし、ルールが 6 番目の失敗したリソースを明らかにした場合、 AWS Config は 6 番目のリソース評価のみを Security Hub CSPM に送信します。

Security Hub CSPM コントロールのチェックの実行に使用されるルールなど、[サービスにリンクされた AWS Config ルール](securityhub-setup-prereqs.md)の評価は除外されます。例外は、 が で AWS Control Tower 作成および管理するサービスにリンクされたルールによって生成された結果です AWS Config。これらのルールの検出結果を含めると、検出結果データに によって実行されたプロアクティブチェックの結果が含まれるようになります AWS Control Tower。

##### Security Hub CSPM に AWS Config 結果を送信する
<a name="integration-config-how-types-send-findings"></a>

統合が有効化されると、Security Hub CSPM は AWS Configの検出結果を受信するために必要な許可を、自動的に割り当てます。Security Hub CSPM はservice-to-serviceレベルのアクセス許可を使用します。 AWS Config EventBridge

##### 検出結果が送信されるまでのレイテンシー
<a name="integration-config-how-types-latency"></a>

が新しい検出結果 AWS Config を作成すると、通常 5 分以内に Security Hub CSPM で検出結果を表示できます。

##### Security Hub CSPM が使用できない場合の再試行
<a name="integration-config-how-types-retrying"></a>

AWS Config は、EventBridge を通じてベストエフォートベースで検出結果を Security Hub CSPM に送信します。イベントが Security Hub CSPM に正常に配信されなかった場合、EventBridge は最大で 24 時間または 185 回の、いずれか早い方で配信を再試行します。

##### Security Hub CSPM での既存の AWS Config 検出結果の更新
<a name="integration-config-how-types-updating"></a>

 AWS Config は、Security Hub CSPM に検出結果を送信すると、同じ検出結果の更新を Security Hub CSPM に送信して、検出結果アクティビティの追加の観察結果を反映することができます。更新は `ComplianceChangeNotification` イベントについてのみ送信されます。コンプライアンスの変更が行われない場合、更新は Security Hub CSPM に送信されません。Security Hub CSPM では、検出結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。

Security Hub CSPM は、関連付けられたリソースを削除 AWS Config しても、 から送信された検出結果をアーカイブしません。

##### AWS Config 検出結果が存在するリージョン
<a name="integration-config-how-types-regions"></a>

AWS Config 検出結果はリージョンベースで発生します。 は、検出結果が発生したのと同じリージョンの Security Hub CSPM に検出結果 AWS Config を送信します。

### Security Hub CSPM で AWS Config の検出結果の表示
<a name="integration-config-view"></a>

 AWS Config 検出結果を表示するには、Security Hub CSPM ナビゲーションペインから**検出結果**を選択します。検出結果をフィルタリングして AWS Config 検出結果のみを表示するには、検索バーのドロップダウンで**製品名**を選択します。**[Config]** (設定) をクリックし、**[Apply]** (適用) を選択します。

#### Security Hub CSPM で AWS Config の検出結果名の解釈
<a name="integration-config-view-interpret-finding-names"></a>

Security Hub CSPM は、 AWS Config ルール評価を AWS Config .rule 評価に従う結果に変換します[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)。ASFF とは異なるイベントパターンを使用します。次の表は、 AWS Config ルールの評価フィールドとそれに対応する ASFF を、Security Hub CSPM に表示される通りにまとめたものです。


| Config ルール評価の検索タイプ | ASFF 結果タイプ | ハードコードされた値 | 
| --- | --- | --- | 
| detail.awsAccountId | AwsAccountId |   | 
| detail.newEvaluationResult.resultRecordedTime | CreatedAt |   | 
| detail.newEvaluationResult.resultRecordedTime | UpdatedAt |   | 
|  | ProductArn | "arn:<partition>:securityhub:<region>::product/aws/config" | 
|  | ProductName | "Config" | 
|  | CompanyName | "AWS" | 
|  | リージョン | "eu-central-1" | 
| configRuleArn | GeneratorId, ProductFields |  | 
| detail.ConfigRuleARN/finding/hash | ID |  | 
| detail.configRuleName | Title, ProductFields |  | 
| detail.configRuleName | 説明 | 「この結果は、構成ルール \$1\$1detail.ConfigRuleName\$1 のリソースコンプライアンスの変更に対して作成されます。」 | 
| 構成項目の ARN または Security Hub CSPM が算出した ARN | Resources[i].id |  | 
| detail.resourceType | Resources[i].Type | "AwsS3Bucket" | 
|  | Resources[i].Partition | "aws" | 
|  | Resources[i].Region | "eu-central-1" | 
| 構成項目「構成」 | Resources[i].Details |  | 
|  | SchemaVersion | 「2018-10-08」 | 
|  | Severity.Label | 以下の「重要度ラベルの解釈」を参照してください。 | 
|  | Types | ["Software and Configuration Checks"] | 
| detail.newEvaluationResult.complianceType | Compliance.Status | 「FAILED」、「NOT\$1AVAILABLE」、「PASSED」、または「WARNING」 | 
|  | Workflow.Status |  AWS Config 結果が Compliance.Status が「PASSED」で生成された場合、または Compliance.Status が「FAILED」から「PASSED」に変わった場合、「解決済み」。それ以外の場合、Workflow.Status は「NEW」になります。この値は [BatchUpdateFindings](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) API オペレーションを使用して変更できます。 | 

#### 重要度ラベルの解釈
<a name="integration-config-view-interpret-severity"></a>

 AWS Config ルール評価のすべての結果には、ASFF のデフォルトの重要度ラベル **MEDIUM** があります。結果の重要度ラベルは、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) API オペレーションで更新できます。

#### からの一般的な検出結果 AWS Config
<a name="integration-config-view-typical-finding"></a>

Security Hub CSPM は、 AWS Config ルール評価を ASFF に従う検出結果に変換します。ASFF AWS Config の からの一般的な検出結果の例を次に示します。

**注記**  
説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に「(truncated)」(切り捨て) と表示されます。

```
{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}
```

### 統合の有効化と構成
<a name="integration-config-enable"></a>

Security Hub CSPM を有効にすると、この統合が自動的に有効になり、 AWS Config が Security Hub CSPM への検出結果を即座に送信開始します。

### 検出結果の Security Hub CSPM への公開の停止
<a name="integration-config-stop"></a>

Security Hub CSPM への検出結果の送信を停止するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用します。

検出結果のフローを停止する手順については、「[Security Hub CSPM からの検出結果のフローを有効化](securityhub-integration-enable.md)」を参照してください。

### AWS Firewall Manager (検出結果を送信します)
<a name="integration-aws-firewall-manager"></a>

Firewall Manager は、リソースのウェブアプリケーションファイアウォール (WAF) ポリシーまたはウェブアクセスコントロールリスト (ウェブ ACL) ルールが非準拠である場合に、検出結果を Security Hub CSPM に送信します。Firewall Manager は、 AWS Shield Advanced がリソースを保護していない場合、または攻撃が特定された場合にも検出結果を送信します。

Security Hub CSPM を有効にすると、この統合は自動的に有効になります。Firewall Manager は、検出結果を Security Hub CSPM に送信します。

統合の詳細については、Security Hub CSPM コンソールの **[統合]** ページを参照してください。

Firewall Manager の詳細については、「[https://docs.aws.amazon.com/waf/latest/developerguide/](https://docs.aws.amazon.com/waf/latest/developerguide/)」を参照してください。

### Amazon GuardDuty (検出結果の送信)
<a name="integration-amazon-guardduty"></a>

GuardDuty は、生成されたすべての検出結果のタイプを Security Hub CSPM に送信します。一部の検出結果タイプには、前提条件、有効化要件、またはリージョンの制限があります。詳細については、「*Amazon GuardDuty ユーザーガイド*」の「[GuardDuty 検出結果タイプ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html)」を参照してください。

GuardDuty の新しい検出結果は、Security Hub CSPM に 5 分以内に送信されます。検出結果の更新は、GuardDuty 設定内の Amazon EventBridge の **[Updated findings]** (更新された検出結果) 設定に基づいて送信されます。

GuardDuty の **[設定]** ページを使用して GuardDuty の検出結果のサンプルを生成する場合、Security Hub CSPM は検出結果のサンプルを受信し、検出結果タイプのプレフィックス `[Sample]` を省略します。例えば、GuardDuty `[SAMPLE] Recon:IAMUser/ResourcePermissions` でのサンプルの検出結果タイプは、Security Hub CSPM では `Recon:IAMUser/ResourcePermissions` と表示されます。

Security Hub CSPM を有効にすると、この統合は自動的に有効になります。GuardDuty は、直ちに検出結果を Security Hub CSPM に送信し始めます。

GuardDuty 統合の詳細については、「Amazon GuardDuty ユーザーガイド」の[AWS 「Security Hub CSPM との統合](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html)」を参照してください。 *Amazon GuardDuty *

### AWS Health (検出結果を送信します)
<a name="integration-health"></a>

AWS Health は、リソースのパフォーマンスと AWS のサービス および の可用性を継続的に可視化します AWS アカウント。 AWS Health イベントを使用することで、サービスおよびリソースの変更が、 AWSで実行されるアプリケーションにどのような影響を及ぼすか確認することができます。

との統合 AWS Health では、 は使用されません`BatchImportFindings`。代わりに、 service-to-serviceイベントメッセージング AWS Health を使用して、結果を Security Hub CSPM に送信します。

統合の詳細については、以下のセクションを参照してください。

#### が Security Hub CSPM に検出結果 AWS Health を送信する方法
<a name="integration-health-how"></a>

Security Hub CSPM では、セキュリティの問題が検出結果として追跡されます。一部の検出結果は、他の AWS サービスまたはサードパーティーパートナーによって検出された問題から発生します。Security Hub CSPM には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。

Security Hub CSPM には、これらすべてのソースからの検出結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。「[Security Hub CSPM での検出結果詳細と検出結果履歴のレビュー](securityhub-findings-viewing.md)」を参照してください。結果の調査状況を追跡することもできます。「[Security Hub CSPM 検出結果のワークフローステータスの設定](findings-workflow-status.md)」を参照してください。

Security Hub CSPM のすべての検出結果で、[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md) と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および結果の現在の状態に関する詳細が含まれます。

AWS Health は、Security Hub CSPM に結果を送信する AWS サービスの 1 つです。

##### が Security Hub CSPM AWS Health に送信する検出結果のタイプ
<a name="integration-health-how-types"></a>

統合を有効にすると、 はリストされている 1 つ以上の仕様を満たす検出結果を Security Hub CSPM AWS Health に送信します。Security Hub CSPM は、[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md) で検出結果を取り込みます。
+  AWS のサービスの以下の値のいずれかを含む検出結果:
  + `RISK`
  + `ABUSE`
  + `ACM`
  + `CLOUDHSM`
  + `CLOUDTRAIL`
  + `CONFIG`
  + `CONTROLTOWER`
  + `DETECTIVE`
  + `EVENTS`
  + `GUARDDUTY`
  + `IAM`
  + `INSPECTOR`
  + `KMS`
  + `MACIE`
  + `SES`
  + `SECURITYHUB`
  + `SHIELD`
  + `SSO`
  + `COGNITO`
  + `IOTDEVICEDEFENDER`
  + `NETWORKFIREWALL`
  + `ROUTE53`
  + `WAF`
  + `FIREWALLMANAGER`
  + `SECRETSMANAGER`
  + `BACKUP`
  + `AUDITMANAGER`
  + `ARTIFACT`
  + `CLOUDENDURE`
  + `CODEGURU`
  + `ORGANIZATIONS`
  + `DIRECTORYSERVICE`
  + `RESOURCEMANAGER`
  + `CLOUDWATCH`
  + `DRS`
  + `INSPECTOR2`
  + `RESILIENCEHUB`
+ `certificate` AWS Health `typeCode` フィールドに `security`、、`abuse`または という単語を含む結果
+  AWS Health サービスが `risk`または である検出結果 `abuse`

##### Security Hub CSPM への AWS Health 検出結果の送信
<a name="integration-health-how-types-send-findings"></a>

から検出結果を受け入れることを選択すると AWS Health、Security Hub CSPM は検出結果の受信に必要なアクセス許可を自動的に割り当てます AWS Health。Security Hub CSPM はservice-to-serviceレベルのアクセス許可を使用して、この統合を有効にし、ユーザーに代わって Amazon EventBridge AWS Health を介して から検出結果をインポートする安全かつ簡単な方法を提供します。**[検出結果を受け入れる]** を選択すると、 AWS Healthの検出結果を使用する許可が Security Hub CSPM に付与されます。

##### 検出結果が送信されるまでのレイテンシー
<a name="integration-health-how-types-latency"></a>

が新しい検出結果 AWS Health を作成すると、通常 5 分以内に Security Hub CSPM に送信されます。

##### Security Hub CSPM が使用できない場合の再試行
<a name="integration-health-how-types-retrying"></a>

AWS Health は、EventBridge を通じてベストエフォートベースで検出結果を Security Hub CSPM に送信します。イベントが Security Hub CSPM に正常に配信されない場合、EventBridge は 24 時間のイベントの送信を再試行します。

##### Security Hub CSPM の既存の検出結果を更新する
<a name="integration-health-how-types-updating"></a>

が Security Hub CSPM に検出結果 AWS Health を送信すると、同じ検出結果に更新を送信して、検出結果アクティビティの追加の観察結果を Security Hub CSPM にリフレクションできます。

##### 検出結果が存在するリージョン
<a name="integration-health-how-types-regions"></a>

グローバルイベントの場合、 は、us-east-1 (AWS パーティション）、cn-northwest-1 (中国パーティション）、gov-us-west-1 (GovCloud パーティション) の Security Hub CSPM に結果 AWS Health を送信します。 は、イベントが発生するのと同じリージョンの Security Hub CSPM にリージョン固有のイベント AWS Health を送信します。

#### Security Hub CSPM で AWS Health の検出結果の表示
<a name="integration-health-view"></a>

Security Hub CSPM で検出 AWS Health 結果を表示するには、ナビゲーションパネルから**検出結果**を選択します。検出結果をフィルタリングして AWS Health 検出結果のみを表示するには、**製品名**フィールドから**ヘルス**を選択します。

##### Security Hub CSPM で AWS Health の検出結果名の解釈
<a name="integration-health-view-interpret-finding-names"></a>

AWS Health は、 を使用して検出結果を Security Hub CSPM に送信します[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)。 AWS Health 検出では、Security Hub CSPM ASFF 形式とは異なるイベントパターンが使用されます。次の表は、Security Hub CSPM に表示される ASFF に対応するすべての AWS Health 検出結果フィールドの詳細を示しています。


| Health 結果タイプ | ASFF 結果タイプ | ハードコードされた値 | 
| --- | --- | --- | 
| アカウント | AwsAccountId |   | 
| detail.StartTime | CreatedAt |   | 
| detail.eventDescription.latestDescription | 説明 |   | 
| detail.eventTypeCode | GeneratorId |   | 
| detail.eventArn (including account) \$1 hash of detail.startTime | ID |   | 
| 「arn: aws: securityhub:<region>:: product/aws/health」 | ProductArn |   | 
| アカウントまたは resourceId | Resources[i].id |   | 
|   | Resources[i].Type | 「その他」 | 
|   | SchemaVersion | 「2018-10-08」 | 
|   | Severity.Label | 以下の「重要度ラベルの解釈」を参照してください。 | 
| AWS Health 「-」 detail.eventTypeCode | タイトル |   | 
| - | Types | ["Software and Configuration Checks"] | 
| event.time | UpdatedAt |   | 
| Health コンソール上のイベントの URL | SourceUrl |   | 

##### 重要度ラベルの解釈
<a name="integration-health-view-interpret-severity"></a>

ASFF 結果の重要度ラベルは、次のロジックを使用して決定されます。
+ 次の場合、重要度は **[CRITICAL]**:
  +  AWS Health の結果の `service` フィールドの値が `Risk`
  +  AWS Health の結果の `typeCode` フィールドの値が `AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION`
  +  AWS Health の結果の `typeCode` フィールドの値が `AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK`
  +  AWS Health の結果の `typeCode` フィールドの値が `AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES`

  次の場合、重要度は **[HIGH]**:
  +  AWS Health の結果の `service` フィールドの値が `Abuse`
  +  AWS Health 結果の `typeCode` フィールドの値に `SECURITY_NOTIFICATION` が含まれている
  + `typeCode` 結果の AWS Health フィールドの値に `ABUSE_DETECTION` が含まれている

  次の場合、重要度は **[MEDIUM]**:
  + 結果の `service` フィールドが次のいずれかである。`ACM`、`ARTIFACT`、`AUDITMANAGER`、`BACKUP`、`CLOUDENDURE`、`CLOUDHSM`、`CLOUDTRAIL`、`CLOUDWATCH`、`CODEGURGU`、`COGNITO`、`CONFIG`、`CONTROLTOWER`、`DETECTIVE`、`DIRECTORYSERVICE`、`DRS`、`EVENTS`、`FIREWALLMANAGER`、`GUARDDUTY`、`IAM`、`INSPECTOR`、`INSPECTOR2`、`IOTDEVICEDEFENDER`、`KMS`、`MACIE`、`NETWORKFIREWALL`、`ORGANIZATIONS`、`RESILIENCEHUB`、`RESOURCEMANAGER`、`ROUTE53`、`SECURITYHUB`、`SECRETSMANAGER`、`SES`、`SHIELD`、`SSO`、`WAF`
  +  AWS Health 結果の **[typeCode]** フィールドに値 `CERTIFICATE` が含まれている
  +  AWS Health 結果の **[typeCode]** フィールドに値 `END_OF_SUPPORT` が含まれている

##### からの一般的な検出結果 AWS Health
<a name="integration-health-view-typical-finding"></a>

AWS Health は、 を使用して Security Hub CSPM に結果を送信します[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)。以下は、 からの一般的な検出結果の例です AWS Health。

**注記**  
説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に *(truncated)* (切り捨て) と表示されます。

```
{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}
```

#### 統合の有効化と構成
<a name="integration-health-enable"></a>

Security Hub CSPM を有効にすると、この統合が自動的に有効になり、 AWS Health が Security Hub CSPM への検出結果を即座に送信開始します。

#### 検出結果の Security Hub CSPM への公開の停止
<a name="integration-health-stop"></a>

Security Hub CSPM への検出結果の送信を停止するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用します。

検出結果のフローを停止する手順については、「[Security Hub CSPM からの検出結果のフローを有効化](securityhub-integration-enable.md)」を参照してください。

### AWS Identity and Access Management Access Analyzer (検出結果を送信します)
<a name="integration-iam-access-analyzer"></a>

IAM Access Analyzer では、すべての検出結果が Security Hub CSPM に送信されます。

IAM Access Analyzer は、論理ベースの推論を使用して、アカウントでサポートされるリソースに適用されたリソースベースのポリシーを分析します。IAM Access Analyzer は、外部プリンシパルがアカウント内のリソースにアクセスすることを許可するポリシーステートメントを検出すると、検出結果を生成します。

IAM Access Analyzer では、組織に適用されるアナライザーの検出結果を確認できるのは管理者アカウントだけです。組織アナライザーの場合、`AwsAccountId` ASFF フィールドには管理者アカウント ID が反映されます。`ProductFields` 下の `ResourceOwnerAccount`フィールドには、検出結果が発見されたアカウントが表示されます。アカウントごとにアナライザーを個別に有効にすると、Security Hub CSPM は複数の検出結果を生成します。1 つは管理者アカウント ID を識別し、もう 1 つはリソースアカウント ID を識別します。

詳細については、*IAM ユーザーガイド*の[AWS 「Security Hub CSPM との統合](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html)」を参照してください。

### Amazon Inspector (検出結果の送信)
<a name="integration-amazon-inspector"></a>

Amazon Inspector は、 AWS のワークロードにおける脆弱性を継続的にスキャンする脆弱性管理サービスです。Amazon Inspector は、Amazon Elastic Container Registry に存在する EC2 インスタンスとコンテナイメージを自動的に検出してスキャンします。このスキャンでは、ソフトウェアの脆弱性と意図しないネットワークへのエクスポージャーがないかチェックします。

Security Hub CSPM を有効にすると、この統合は自動的に有効になります。Amazon Inspector から生成されたすべての検出結果が Security Hub CSPM に直ちに送信開始されます。

統合の詳細については、「*Amazon Inspector ユーザーガイド*」の「[Integration with AWS Security Hub CSPM](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html)」を参照してください。

Security Hub CSPM は、Amazon Inspector Classic から検出結果を受信することもできます。Amazon Inspector Classic は、サポートされているすべてのルールパッケージの評価実行によって生成された Security Hub CSPM に、検出結果を送信します。

統合の詳細については、*Amazon Inspector Classic ユーザーガイド*」の[AWS 「Security Hub CSPM との統合](https://docs.aws.amazon.com/inspector/latest/userguide/securityhub-integration.html)」を参照してください。

Amazon Inspector と Amazon Inspector Classic の検出結果では、同じ製品の ARN が使用されます。Amazon Inspector の検出結果には、`ProductFields` に次のエントリがあります。

```
"aws/inspector/ProductVersion": "2",
```

**注記**  
 [Amazon Inspector Code Security](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html) によって生成されたセキュリティ検出結果は、この統合では使用できません。ただし、これらの特定の検出結果には、Amazon Inspector コンソールおよび [Amazon Inspector API](https://docs.aws.amazon.com/inspector/v2/APIReference/Welcome.html) からアクセスできます。

### AWS IoT Device Defender (検出結果を送信します)
<a name="integration-iot-device-defender"></a>

AWS IoT Device Defender は、IoT デバイスの設定を監査し、接続されたデバイスをモニタリングして異常な動作を検出し、セキュリティリスクを軽減するのに役立つセキュリティサービスです。

 AWS IoT Device Defender と Security Hub CSPM の両方を有効にしたら、[Security Hub CSPM コンソールの統合ページ](https://console.aws.amazon.com/securityhub/home#/integrations)にアクセスし、監査、検出、またはその両方**の結果を受け入れる**を選択します。 AWS IoT Device Defender 監査と検出は、すべての結果を Security Hub CSPM に送信し始めます。

AWS IoT Device Defender Audit は、特定の監査チェックタイプと監査タスクの一般情報を含むチェック概要を Security Hub CSPM に送信します。 AWS IoT Device Defender Detect は、機械学習 (ML)、統計、静的動作の違反検出結果を Security Hub CSPM に送信します。監査も、検出結果の更新を Security Hub CSPM に送信します。

この統合の詳細については、「*AWS IoT デベロッパーガイド*」の「[Integration with AWS Security Hub CSPM](https://docs.aws.amazon.com/iot/latest/developerguide/securityhub-integration.html)」を参照してください。

### Amazon Macie (検出結果の送信)
<a name="integration-amazon-macie"></a>

Amazon Macie は、機械学習とパターンマッチングを使用して機密データを検出し、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にするデータセキュリティサービスです。Macie の検出結果は、Amazon S3 データ資産に潜在的なポリシー違反または機密データが存在することを示している可能性があります。

Security Hub CSPM を有効にすると、Macie はポリシー検出結果を自動的に Security Hub CSPM に送信し始めます。機密データの検出結果も Security Hub CSPM に送信するように統合を構成できます。

Security Hub CSPM では、ポリシーまたは機密データの検出結果のタイプが、ASFF と互換性のある値に変更されます。例えば、Macie での `Policy:IAMUser/S3BucketPublic` 検出結果タイプは、Security Hub CSPM では `Effects/Data Exposure/Policy:IAMUser-S3BucketPublic` と表示されます。

Macie は、生成された検出結果のサンプルを Security Hub CSPM に送信します。検出結果のサンプルでは、影響を受けるリソースの名前は `macie-sample-finding-bucket` であり、`Sample` フィールドの値は `true` です。

詳細については、「*Amazon Macie ユーザーガイド*」の「[Evaluating Macie findings with Security Hub](https://docs.aws.amazon.com/macie/latest/user/securityhub-integration.html)」を参照してください。

### Amazon Route 53 Resolver DNS ファイアウォール (検出結果を送信)
<a name="integration-amazon-r53rdnsfirewall"></a>

 Amazon Route 53 Resolver DNS Firewall を使用すると、仮想プライベートクラウド (VPC) のアウトバウンド DNS トラフィックをフィルタリングおよび規制できます。これを行うには、DNS Firewall のルールグループで再利用可能なフィルタリングルールのコレクションを作成し、それらのルールグループを VPC に関連付け、さらに DNS Firewall のログやメトリクスでアクティビティを監視します。アクティビティに基づいて、DNS Firewall の動作を調整できます。DNS Firewall は Route 53 Resolver の機能です。

Route 53 Resolver DNS Firewall は、いくつかのタイプの検出結果を Security Hub CSPM に送信できます。
+ が管理するドメインリスト AWS である AWS Managed Domain Lists に関連付けられたドメインについて、 でブロックまたはアラートが発生したクエリに関連する結果。
+ 定義したカスタムドメインリストに関連付けられたドメインに対してブロックまたはアラートが発生したクエリに関連する検出結果。
+ DNS Firewall Advanced によってブロックまたはアラートされたクエリに関連する検出結果。DNS Firewall Advanced は、ドメイン生成アルゴリズム (DGA) や DNS トンネリングなどの高度な DNS 脅威に関連するクエリを検出できる Route 53 Resolver の機能です。

Security Hub CSPM と Route 53 Resolver DNS Firewall を有効にすると、DNS Firewall は AWS Managed Domain Lists と DNS Firewall Advanced の結果を Security Hub CSPM に自動的に送信し始めます。カスタムドメインリストの検出結果を Security Hub CSPM に送信するには、Security Hub CSPM で統合を手動で有効にします。

Security Hub CSPM では、Route 53 Resolver DNS Firewall のすべての検出結果のタイプは `TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation` です。

詳細については、「*Amazon Route 53 デベロッパーガイド*」の「[Sending findings from Route 53 Resolver DNS Firewall to Security Hub](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/securityhub-integration.html)」を参照してください。

### AWS Systems Manager Patch Manager (結果を送信)
<a name="patch-manager"></a>

AWS Systems Manager Patch Manager は、お客様のフリート内のインスタンスがパッチコンプライアンス標準に準拠していない場合、結果を Security Hub CSPM に送信します。

Patch Manager は、セキュリティ関連のアップデートと他のタイプのアップデートの両方でマネージドインスタンスにパッチを適用するプロセスを自動化します。

Security Hub CSPM を有効にすると、この統合は自動的に有効になります。Systems Manager Patch Manager は、検出結果を Security Hub CSPM に直ちに送信します。

Patch Manager の使用の詳細については、「AWS Systems Manager ユーザーガイド」の「[AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)」を参照してください。

## AWS Security Hub CSPM から検出結果を受け取る サービス
<a name="integrations-internal-receive"></a>

以下の AWS サービスは Security Hub CSPM と統合されており、Security Hub CSPM から検出結果を受け取ります。特に明記されている場合、統合されたサービスは検出結果を更新する場合もあります。この場合、統合されたサービスで行った更新が見つかると、Security Hub CSPM にも反映されます。

### AWS Audit Manager (検出結果を受信)
<a name="integration-aws-audit-manager"></a>

AWS Audit Manager は Security Hub CSPM から検出結果を受け取ります。これらの検出結果は、Audit Manager ユーザーが監査の準備をするうえで役立ちます。

Audit Manager の詳細については、[https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)を参照してください。[AWSAWS Audit Managerでサポートされている Security Hub CSPM のチェック](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-ash.html)では、Security Hub CSPM が検出結果を Audit Manager に送信するコントロールの一覧が表示されます。

### チャットアプリケーション での Amazon Q Developer (検出結果を受け取る)
<a name="integration-chatbot"></a>

チャットアプリケーションの Amazon Q Developer は、Slack チャンネルと Amazon Chime チャットルームの AWS リソースの監視と操作に役立つ対話型エージェントです。

チャットアプリケーションの Amazon Q Developer は、Security Hub CSPM から検出結果を受け取ります。

Security Hub CSPM とチャットアプリケーションの統合における Amazon Q Developer の詳細については、「*Amazon Q Developer in chat applications Administrator Guide*」の「[Security Hub CSPM integration overview](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html#security-hub)」を参照してください。

### Amazon Detective (検出結果の受信)
<a name="integration-amazon-detective"></a>

Detective は AWS リソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、より迅速かつ効率的なセキュリティ調査を視覚化して実行できるようにします。

Detective と Security Hub CSPM を統合することで、Security Hub CSPM の Amazon GuardDuty の検出結果を、Detective にピボットすることが許可されます。その後、Detective のツールと視覚化を使用して調査することができます。統合には、Security Hub CSPM または Detective に追加の設定をする必要はありません。

他の から受け取った検出結果の場合 AWS のサービス、Security Hub CSPM コンソールの検出結果の詳細パネルには、**Detective サブセクションの調査**が含まれます。そのサブセクションには Detective へのリンクが含まれており、調査結果によって特定されたセキュリティ問題をさらに調査できます。Security Hub CSPM の検出結果に基づいて Detective で行動グラフを作成して、より効果的な調査を行うこともできます。詳細については、「*Amazon Detective 管理ガイド*」の「[AWS セキュリティ検出結果](https://docs.aws.amazon.com/detective/latest/adminguide/source-data-types-asff.html)」を参照してください。

クロスリージョン集約を有効にし、集約リージョンから方向を転換した場合、検出元のリージョンで Detective が開きます。

リンクが機能しない場合のトラブルシューティングのアドバイスについては、「[ピボットのトラブルシューティング](https://docs.aws.amazon.com/detective/latest/userguide/profile-pivot-from-service.html#profile-pivot-troubleshooting)」を参照してください。

### Amazon Security Lake (検出結果の受信)
<a name="integration-security-lake"></a>

Security Lake は、完全マネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、クラウド、オンプレミス、カスタムソースのセキュリティデータを、アカウントに保存されているデータレイクに自動的に一元化できます。サブスクライバーは、Security Lake のデータを調査や分析のユースケースに使用できます。

この統合を有効にするには、両方のサービスを有効にし、Security Lake コンソール、Security Lake API、または で Security Hub CSPM をソースとして追加する必要があります AWS CLI。これらの手順を完了すると、Security Hub CSPM はすべての検出結果を Security Lake に送信し始めます。

Security Lake は、Security Hub CSPM の検出結果を自動的に正規化し、Open Cybersecurity Schema Framework (OCSF) と呼ばれる標準化されたオープンソーススキーマに変換します。Security Lake では、Security Hub CSPM の検出結果を使用するサブスクライバーを 1 人以上追加できます。

Security Hub CSPM をソースとして追加する手順やサブスクライバーを作成する手順など、この統合の詳細については、*「Amazon Security Lake ユーザーガイド*」の[AWS 「Security Hub CSPM との統合](https://docs.aws.amazon.com/security-lake/latest/userguide/securityhub-integration.html)」を参照してください。

### AWS Systems Manager Explorer と OpsCenter (結果の受信と更新)
<a name="integration-ssm-explorer-opscenter"></a>

AWS Systems Manager Explorer と OpsCenter は Security Hub CSPM から検出結果を受け取り、これらの検出結果を Security Hub CSPM で更新します。

Explorer は、カスタマイズ可能なダッシュボードを提供し、ユーザーの運用の健全性と AWS 環境のパフォーマンスに関する主要なインサイトと分析を提供します。

OpsCenterでは、運用作業項目が一元的に表示され、調査と解決が可能です。

Explorer と OpsCenter の詳細については、「AWS Systems Manager ユーザーガイド」の「[オペレーション管理](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-ops-center.html)」を参照してください。

### AWS Trusted Advisor (検出結果を受信)
<a name="integration-trusted-advisor"></a>

Trusted Advisor は、数十万人の AWS お客様にサービスを提供することから学んだベストプラクティスを活用しています。 はお客様の AWS 環境 Trusted Advisor を検査し、コスト削減、システムの可用性とパフォーマンスの向上、セキュリティギャップの解消に役立つ機会があれば、レコメンデーションを行います。

 Trusted Advisor と Security Hub CSPM の両方を有効にすると、統合は自動的に更新されます。

Security Hub CSPM は、 AWS 基本的なセキュリティのベストプラクティスチェックの結果を に送信します Trusted Advisor。

Security Hub CSPM との統合の詳細については Trusted Advisor、*AWS 「 サポートユーザーガイド*[」の「 での AWS Security Hub CSPM コントロールの表示 AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/security-hub-controls-with-trusted-advisor.html)」を参照してください。

# Security Hub CSPM とのサードパーティー製品統合
<a name="securityhub-partner-providers"></a>

AWS Security Hub CSPM は、複数のサードパーティーパートナー製品と統合されています。統合は、次のいずれかのアクションで実行できます。
+ 生成された検出結果を Security Hub CSPM に送信する
+ Security Hub CSPM から検出結果を受け取る
+ Security Hub CSPM の検出結果を更新します。

Security Hub CSPM に検出結果を送信する統合には、Amazon リソースネーム (ARN) があります。

統合はすべてで使用できるとは限りません AWS リージョン。Security Hub CSPM コンソールで現在サインインしているリージョンで統合がサポートされていない場合、コンソールの **[統合]** ページには表示されません。中国リージョンで利用可能な統合のリストについては AWS GovCloud (US) Regions、「」を参照してください[リージョン別の統合の可用性](securityhub-regions.md#securityhub-regions-integration-support)。

セキュリティソリューションをお持ちで、Security Hub CSPM パートナーになることにご関心がある場合は、securityhub-partners@amazon.com までご連絡ください。詳細については、「[パートナー統合ガイド](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-overview.html)」を参照してください。

## サードパーティーの Security Hub CSPM との統合の概要
<a name="integrations-third-party-summary"></a>

次の表では、Security Hub CSPM に検出結果を送信または Security Hub CSPM から検出結果を受信できるサードパーティーパートナーの統合の概要について説明します。


| 統合 | Direction | ARN (該当する場合) | 
| --- | --- | --- | 
|  [3CORESec – 3CORESec NTA](#integration-3coresec-nta)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/3coresec/3coresec`  | 
|  [Alert Logic – SIEMless Threat Management](#integration-alert-logic-siemless)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement`  | 
|  [Aqua Security – Aqua Cloud Native Security Platform](#integration-aqua-security-cloud-native-security-platform)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity`  | 
|  [Aqua Security – Kube-bench](#integration-aqua-security-kubebench)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench`  | 
|  [Armor – Armor Anywhere](#integration-armor-anywhere)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere`  | 
|  [AttackIQ – AttackIQ](#integration-attackiq)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform`  | 
|  [Barracuda Networks – Cloud Security Guardian](#integration-barracuda-cloud-security-guardian)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian`  | 
|  [BigID – BigID Enterprise](#integration-bigid-enterprise)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise`  | 
|  [Blue Hexagon – Blue Hexagon forAWS](#integration-blue-hexagon-for-aws)  |  検出結果の送信  |   `arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws`  | 
|  [Check Point – CloudGuard IaaS](#integration-checkpoint-cloudguard-iaas)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas`  | 
|  [Check Point – CloudGuard Posture Management](#integration-checkpoint-cloudguard-posture-management)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc`  | 
|  [Claroty – xDome](#integration-claroty-xdome)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/claroty/xdome`  | 
|  [Cloud Storage Security – Antivirus for Amazon S3](#integration-checkpoint-cloudguard-posture-management)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3`  | 
|  [Contrast Security](#integration-contrast-security)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/contrast-security/security-assess`  | 
|  [CrowdStrike – CrowdStrike Falcon](#integration-crowdstrike-falcon)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon`  | 
|  [CyberArk – Privileged Threat Analytics](#integration-cyberark-privileged-threat-analytics)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta`  | 
|  [Data Theorem – Data Theorem](#integration-data-theorem)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/data-theorem/api-cloud-web-secure`  | 
|  [Drata](#integration-drata)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/drata/drata-integration`  | 
|  [Forcepoint – Forcepoint CASB](#integration-forcepoint-casb)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb`  | 
|  [Forcepoint – Forcepoint Cloud Security Gateway](#integration-forcepoint-cloud-security-gateway)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-cloud-security-gateway`  | 
|  [Forcepoint – Forcepoint DLP](#integration-forcepoint-dlp)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp`  | 
|  [Forcepoint – Forcepoint NGFW](#integration-forcepoint-ngfw)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw`  | 
|  [Fugue – Fugue](#integration-fugue)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/fugue/fugue`  | 
|  [Guardicore – Centra 4.0](#integration-guardicore-centra)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/guardicore/guardicore`  | 
|  [HackerOne – Vulnerability Intelligence](#integration-hackerone-vulnerability-intelligence)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/hackerone/vulnerability-intelligence`  | 
|  [JFrog – Xray](#integration-jfrog-xray)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/jfrog/jfrog-xray`  | 
|  [Juniper Networks – vSRX Next Generation Firewall](#integration-junipernetworks-vsrxnextgenerationfirewall)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/juniper-networks/vsrx-next-generation-firewall`  | 
|  [k9 Security – Access Analyzer](#integration-k9-security-access-analyzer)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/k9-security/access-analyzer`  | 
|  [Lacework – Lacework](#integration-lacework)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/lacework/lacework`  | 
|  [McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)](#integration-mcafee-mvision-cnapp)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`  | 
|  [NETSCOUT – NETSCOUT Cyber Investigator](#integration-netscout-cyber-investigator)  |  検出結果の送信  |  `arn:aws:securityhub:us-east-1::product/netscout/netscout-cyber-investigator`  | 
|  [Orca Cloud Security Platform](#integration-orca-cloud-security-platform)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/orca-security/orca-security`  | 
|  [Palo Alto Networks – Prisma Cloud Compute](#integration-palo-alto-prisma-cloud-compute)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise`  | 
|  [Palo Alto Networks – Prisma Cloud Enterprise](#integration-palo-alto-prisma-cloud-enterprise)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock`  | 
|  [Plerion – Cloud Security Platform](#integration-plerion)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/plerion/cloud-security-platform`  | 
|  [Prowler – Prowler](#integration-prowler)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/prowler/prowler`  | 
|  [Qualys – Vulnerability Management](#integration-qualys-vulnerability-management)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm`  | 
|  [Rapid7 – InsightVM](#integration-rapid7-insightvm)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm`  | 
|  [SentinelOne – SentinelOne](#integration-sentinelone)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/sentinelone/endpoint-protection`  | 
|  [Snyk](#integration-snyk)  |  検出結果の送信  |  `arn:aws:securityhub:<region>::product/snyk/snyk`  | 
|  [Sonrai Security – Sonrai Dig](#integration-sonrai-dig)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/sonrai-security/sonrai-dig`  | 
|  [Sophos – Server Protection](#integration-sophos-server-protection)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection`  | 
|  [StackRox – StackRox Kubernetes Security](#integration-stackrox-kubernetes-security)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security`  | 
|  [Sumo Logic – Machine Data Analytics](#integration-sumologic-machine-data-analytics)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda`  | 
|  [Symantec – Cloud Workload Protection](#integration-symantec-cloud-workload-protection)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp`  | 
|  [Tenable – Tenable.io](#integration-tenable-tenableio)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io`  | 
|  [Trend Micro – Cloud One](#integration-trend-micro)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/trend-micro/cloud-one`  | 
|  [Vectra – Cognito Detect](#integration-vectra-ai-cognito-detect)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>:978576646331:product/vectra-ai/cognito-detect`  | 
|  [Wiz](#integration-wiz)  |  検出結果の送信  |  `arn:aws:securityhub:<REGION>::product/wiz-security/wiz-security`  | 
|  [Atlassian - Jira Service Management](#integration-atlassian-jira-service-management)  |  検出結果の受信と更新  |  該当しない  | 
|  [Atlassian - Jira Service Management Cloud](#integration-atlassian-jira-service-management-cloud)  |  検出結果の受信と更新  |  該当しない  | 
|  [Atlassian – Opsgenie](#integration-atlassian-opsgenie)  |  検出結果の受信  |  該当しない  | 
|  [Dynatrace](#integration-dynatrace)  |  検出結果の受信  |  該当しない  | 
|  [Elastic](#integration-elastic)  |  検出結果の受信  |  該当しない  | 
|  [Fortinet – FortiCNP](#integration-fortinet-forticnp)  |  検出結果の受信  |  該当しない  | 
|  [IBM – QRadar](#integration-ibm-qradar)  |  検出結果の受信  | 該当しない | 
|  [Logz.io Cloud SIEM](#integration-logzio-cloud-siem)  |  検出結果の受信  |  該当しない  | 
|  [MetricStream](#integration-metricstream)  |  検出結果の受信  |  該当しない  | 
|  [MicroFocus – MicroFocus Arcsight](#integration-microfocus-arcsight)  |  検出結果の受信  |  該当しない  | 
|  [New Relic Vulnerability Management](#integration-new-relic-vulnerability-management)  |  検出結果の受信  |  該当しない  | 
|  [PagerDuty – PagerDuty](#integration-pagerduty)  |  検出結果の受信  |  該当しない  | 
|  [Palo Alto Networks – Cortex XSOAR](#integration-palo-alto-cortex-xsoar)  |  検出結果の受信  |  該当しない  | 
|  [Palo Alto Networks – VM-Series](#integration-palo-alto-vmseries)  |  検出結果の受信  |  該当しない  | 
|  [Rackspace Technology – Cloud Native Security](#integration-rackspace-cloud-native-security)  |  検出結果の受信  |  該当しない  | 
|  [Rapid7 – InsightConnect](#integration-rapid7-insightconnect)  |  検出結果の受信  |  該当しない  | 
|  [RSA – RSA Archer](#integration-rsa-archer)  |  検出結果の受信  |  該当しない  | 
|  [ServiceNow – ITSM](#integration-servicenow-itsm)  |  検出結果の受信と更新  |  該当しない  | 
|  [Slack – Slack](#integration-slack)  |  検出結果の受信  |  該当しない  | 
|  [Splunk – Splunk Enterprise](#integration-splunk-enterprise)  |  検出結果の受信  | 該当しない | 
|  [Splunk – Splunk Phantom](#integration-splunk-phantom)  |  検出結果の受信  |  該当しない  | 
|  [ThreatModeler](#integration-threatmodeler)  |  検出結果の受信  |  該当しない  | 
|  [Trellix – Trellix Helix](#integration-fireeye-helix)  |  検出結果の受信  |  該当しない  | 
|  [Caveonix – Caveonix Cloud](#integration-caveonix-cloud)  |  検出結果の送受信  |  `arn:aws:securityhub:<REGION>::product/caveonix/caveonix-cloud`  | 
|  [Cloud Custodian – Cloud Custodian](#integration-cloud-custodian)  |  検出結果の送受信  |  `arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian`  | 
|  [DisruptOps, Inc. – DisruptOPS](#integration-disruptops)  |  検出結果の送受信  |  `arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops`  | 
|  [Kion](#integration-kion)  |  検出結果の送受信  |  `arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio`  | 
|  [Turbot – Turbot](#integration-turbot)  |  検出結果の送受信  |  `arn:aws:securityhub:<REGION>:453761072151:product/turbot/turbot`  | 

## Security Hub CSPM に検出結果を送信するサードパーティーの統合
<a name="integrations-third-party-send"></a>

以下のサードパーティーパートナー製品の統合によって、検出結果が Security Hub CSPM に送信されるようになります。Security Hub CSPM は、検出結果を [AWS Security Finding 形式](securityhub-findings-format.md)に変換します。

### 3CORESec – 3CORESec NTA
<a name="integration-3coresec-nta"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/3coresec/3coresec`

3CORESec は、オンプレミスと AWS システムの両方にマネージド検出サービスを提供します。Security Hub CSPM との統合により、マルウェア、権限のエスカレーション、横方向の移動、不適切なネットワークセグメンテーションなどの脅威を可視化できます。

[製品リンク](https://3coresec.com)

[パートナードキュメント](https://docs.google.com/document/d/1TPUuuyoAVrMKRVnGKouRy384ZJ1-3xZTnruHkIHJqWQ/edit?usp=sharing)

### Alert Logic – SIEMless Threat Management
<a name="integration-alert-logic-siemless"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement`

脆弱性とアセットの可視性、脅威の検出とインシデント管理、割り当てられた SOC アナリストオプションなど AWS WAF、適切なレベルのカバレッジを取得します。

[製品リンク](https://www.alertlogic.com/solutions/platform/aws-security/)

[パートナードキュメント](https://docs.alertlogic.com/configure/aws-security-hub.htm)

### Aqua Security – Aqua Cloud Native Security Platform
<a name="integration-aqua-security-cloud-native-security-platform"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity`

Aqua Cloud Native Security Platform (CSP) は、CI/CD パイプラインからランタイム運用環境まで、コンテナベースのアプリケーションおよびサーバーレスアプリケーションの完全なライフサイクルセキュリティを提供します。

[製品リンク](https://blog.aquasec.com/aqua-aws-security-hub)

[パートナードキュメント](https://github.com/aquasecurity/aws-security-hub-plugin)

### Aqua Security – Kube-bench
<a name="integration-aqua-security-kubebench"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench`

Kube-bench は、Center·for·Internet·Security (CIS) Kubernetes Benchmark を環境に対して実行するオープンソースツールです。

[製品リンク](https://github.com/aquasecurity/kube-bench/blob/master/README.md)

[パートナードキュメント](https://github.com/aquasecurity/kube-bench/blob/master/README.md)

### Armor – Armor Anywhere
<a name="integration-armor-anywhere"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere`

Armor Anywhere は、 のマネージドセキュリティとコンプライアンスを提供します AWS。

[製品リンク](https://aws.amazon.com/marketplace/seller-profile?id=797425f4-6823-4cf6-82b5-634f9a9ec347)

[パートナードキュメント](https://amp.armor.com/account/cloud-connections)

### AttackIQ – AttackIQ
<a name="integration-attackiq"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform`

AttackIQ Platform は、MITRE ATT&CK Framework と連携して現実的な敵対的動作をエミュレートし、全体的なセキュリティ体制の検証と改善を支援します。

[製品リンク](https://go.attackiq.com/BD-AWS-Security-Hub_LP.html)

[パートナードキュメント](https://github.com/AttackIQ/attackiq.github.io)

### Barracuda Networks – Cloud Security Guardian
<a name="integration-barracuda-cloud-security-guardian"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian`

Barracuda Cloud Security Sentry は、パブリッククラウドでアプリケーションを構築し、ワークロードをパブリッククラウドに移行するだけでなく、組織の安全性を維持するのに役立ちます。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/pp/B07KF2X7QJ)

[製品リンク](https://www.barracuda.com/solutions/aws)

### BigID – BigID Enterprise
<a name="integration-bigid-enterprise"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise`

BigID Enterprise Privacy Management Platform は、企業がすべてのシステムで機密データ (PII) を管理および保護するのに役立ちます。

[製品リンク](https://github.com/bigexchange/aws-security-hub)

[パートナードキュメント](https://github.com/bigexchange/aws-security-hub)

### Blue Hexagon – Blue Hexagon用 AWS
<a name="integration-blue-hexagon-for-aws"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws`

Blue Hexagon は、リアルタイム脅威検出プラットフォームです。深層学習の原則を使用して、マルウェアやネットワークの異常を含む既知の脅威、および未知の脅威を検出します。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/pp/prodview-fvt5ts3ulhrtk?sr=0-1&ref_=beagle&applicationId=AWSMPContessa)

[パートナードキュメント](https://bluehexagonai.atlassian.net/wiki/spaces/BHDOC/pages/395935769/Deploying+Blue+Hexagon+with+AWS+Traffic+Mirroring#DeployingBlueHexagonwithAWSTrafficMirroringDeployment-Integrations)

### Check Point – CloudGuard IaaS
<a name="integration-checkpoint-cloudguard-iaas"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas`

Check Point CloudGuard は、包括的な脅威防止セキュリティを に簡単に拡張 AWS し、クラウド内のアセットを保護します。

[製品リンク](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)

[パートナードキュメント](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk140412)

### Check Point – CloudGuard Posture Management
<a name="integration-checkpoint-cloudguard-posture-management"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc`

検証可能なクラウドネットワークセキュリティ、高度な IAM 保護、および包括的なコンプライアンスとガバナンスを提供する SaaS プラットフォームです。

[製品リンク](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)

[パートナードキュメント](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk144592&partition=General&product=CloudGuard)

### Claroty – xDome
<a name="integration-claroty-xdome"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/claroty/xdome`

Claroty xDome は、産業 (OT)、医療 (IoMT)、エンタープライズ (IoT) 環境内の拡張型モノのインターネット (XIoT) 全体で組織によるサイバーフィジカルシステムの保護を支援します。

[製品リンク](https://claroty.com/)

[パートナードキュメント](https://claroty.com/resources/integration-briefs/the-claroty-aws-securityhub-integration-guide)

### Cloud Storage Security – Antivirus for Amazon S3
<a name="integration-cloud-storage-security-antivirus-for-s3"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3`

Cloud Storage Security は、Amazon S3 オブジェクト向けのクラウドネイティブなマルウェア対策およびウイルス対策スキャンを提供します。

Antivirus for  Amazon S3 は、Amazon S3 内のオブジェクトとファイルのマルウェアや脅威に対するスキャンを、リアルタイムおよびスケジュールされたタイミングで実行します。問題のあるファイルや感染したファイルに可視性を提供し、修復します。

[製品リンク](https://cloudstoragesec.com/)

[パートナードキュメント](https://help.cloudstoragesec.com/console-overview/console-settings/#send-scan-result-findings-to-aws-security-hub)

### Contrast Security – Contrast Assess
<a name="integration-contrast-security"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/contrast-security/security-assess`

Contrast Security Contrast Assess は、Web アプリ、API、マイクロサービスの脆弱性をリアルタイムで検出する IAST ツールです。Contrast Assess は Security Hub CSPM と統合することで、すべてのワークロードを一元的に可視化して対応できるようになります。

[製品リンク](https://aws.amazon.com/marketplace/pp/prodview-g5df2jw32felw)

[パートナードキュメント](https://docs.contrastsecurity.com/en/securityhub.html)

### CrowdStrike – CrowdStrike Falcon
<a name="integration-crowdstrike-falcon"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon`

CrowdStrike Falcon は、単一の軽量センサーで次世代のウイルス対策、エンドポイントの検出と対応、および 24 時間 365 日管理されるクラウド経由のハンティングを統合します。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/seller-profile?id=f4fb055a-5333-4b6e-8d8b-a4143ad7f6c7)

[パートナードキュメント](https://github.com/CrowdStrike/falcon-integration-gateway)

### CyberArk – Privileged Threat Analytics
<a name="integration-cyberark-privileged-threat-analytics"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta`

Privileged Threat Analytics は、特権アカウントでのリスクの高いアクティビティや動作を収集、検出、アラートし、進行中の攻撃を阻止するよう対応します。

[製品リンク](https://www.cyberark.com/solutions/digital-transformation/cloud-virtualization-security/)

[パートナードキュメント](https://cyberark-customers.force.com/mplace/s/#a352J000000dZATQA2-a392J000001Z3eaQAC)

### Data Theorem – Data Theorem
<a name="integration-data-theorem"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/data-theorem/api-cloud-web-secure`

Data Theorem は、ウェブアプリケーション、API、クラウドリソースを継続的にスキャンしてセキュリティ上の欠陥やデータプライバシーのギャップを特定し、AppSec データの侵害を防止します。

[製品リンク](https://www.datatheorem.com/partners/aws/)

[パートナードキュメント](https://datatheorem.atlassian.net/wiki/spaces/PKB/pages/1730347009/AWS+Security+Hub+Integration)

### Drata
<a name="integration-drata"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/drata/drata-integration`

Drata はコンプライアンス自動化プラットフォームです。SOC2 や ISO、GDPR など、さまざまなフレームワークのコンプライアンスの達成および維持に貢献します。Drataと Security Hub CSPM を統合することで、セキュリティの検出結果を 1 か所にまとめることができます。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/pp/prodview-3ubrmmqkovucy)

[パートナードキュメント](https://drata.com/partner/aws)

### Forcepoint – Forcepoint CASB
<a name="integration-forcepoint-casb"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb`

Forcepoint CASB では、クラウドアプリケーションの使用を検出し、リスクを分析して、SaaS およびカスタムアプリケーションの適切なコントロールを実施できます。

[製品リンク](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[パートナードキュメント](https://frcpnt.com/casb-securityhub)

### Forcepoint – Forcepoint Cloud Security Gateway
<a name="integration-forcepoint-cloud-security-gateway"></a>

**統合タイプ:** 送信

製品 ARN: `arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-cloud-security-gateway`

Forcepoint Cloud Security Gateway は、ユーザーがどこにいるか、データがどこにあるかに関わらず、可視性、制御、脅威保護を提供する統合型クラウドセキュリティサービスです。

[製品リンク](https://www.forcepoint.com/product/cloud-security-gateway)

[パートナードキュメント](https://forcepoint.github.io/docs/csg_and_aws_security_hub/#forcepoint-cloud-security-gateway-and-aws-security-hub)

### Forcepoint – Forcepoint DLP
<a name="integration-forcepoint-dlp"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp`

Forcepoint DLP は、人間が主体のリスクに対処し、ユーザーが作業するすべての場所とデータが存在するすべての場所を可視化して制御します。

[製品リンク](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[パートナードキュメント](https://frcpnt.com/dlp-securityhub)

### Forcepoint – Forcepoint NGFW
<a name="integration-forcepoint-ngfw"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw`

Forcepoint NGFW では、ネットワークを管理し、脅威に対応するために必要なスケーラビリティ、保護、インサイトを使用して、 AWS 環境をエンタープライズネットワークに接続できます。

[製品リンク](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[パートナードキュメント](https://frcpnt.com/ngfw-securityhub)

### Fugue – Fugue
<a name="integration-fugue"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/fugue/fugue`

Fugue は、同一のポリシーを使用して、Infrastructure as Code とクラウドランタイム環境の継続的な検証を自動化する、エージェントレスかつスケーラブルなクラウドネイティブのプラットフォームです。

[製品リンク](https://www.fugue.co/aws-security-hub-integration)

[パートナードキュメント](https://docs.fugue.co/integrations-aws-security-hub.html)

### Guardicore – Centra 4.0
<a name="integration-guardicore-centra"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/guardicore/guardicore`

Guardicore Centra は、最新のデータセンターやクラウドにおけるワークロードのフローの可視化、マイクロセグメンテーション、および違反検出を行います。

[製品リンク](https://aws.amazon.com/marketplace/seller-profile?id=21127457-7622-49be-81a6-4cb5dd77a088)

[パートナードキュメント](https://customers.guardicore.com/login)

### HackerOne – Vulnerability Intelligence
<a name="integration-hackerone-vulnerability-intelligence"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/hackerone/vulnerability-intelligence`

HackerOne プラットフォームは、世界中のハッカーのコミュニティと提携して、最も関連性の高いセキュリティ問題を発見します。Vulnerability Intelligence を使用することで、組織では自動スキャンを上回る対策を講じることができます。HackerOne のホワイトハッカーによって検証され再現された脆弱性が共有されます。

[AWS マーケットプレイスリンク](https://aws.amazon.com/marketplace/seller-profile?id=10857e7c-011b-476d-b938-b587deba31cf)

[パートナードキュメント](https://docs.hackerone.com/en/articles/8562571-aws-security-hub-integration)

### JFrog – Xray
<a name="integration-jfrog-xray"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/jfrog/jfrog-xray`

JFrog Xray は、セキュアなソフトウェアサプライチェーンを実行できるように、ライセンスコンプライアンスとセキュリティの脆弱性についてバイナリを継続的にスキャンするユニバーサルアプリケーションセキュリティソフトウェア構成分析 (SCA) ツールです。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/seller-profile?id=68002c4f-c9d1-4fa7-b827-fd7204523fb7)

[パートナードキュメント](https://www.jfrog.com/confluence/display/JFROG/Xray+Integration+with+AWS+Security+Hub)

### Juniper Networks – vSRX Next Generation Firewall
<a name="integration-junipernetworks-vsrxnextgenerationfirewall"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/juniper-networks/vsrx-next-generation-firewall`

Juniper Networks' vSRX Virtual Next Generation Firewall は、高度なセキュリティ、セキュアな SD-WAN、堅牢なネットワーク、組み込みオートメーションを備えた完全なクラウドベースの仮想ファイアウォールを提供します。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/pp/prodview-z7jcugjx442hw)

[パートナードキュメント](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html#id-enable-and-configure-security-hub-on-vsrx)

[製品リンク](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html)

### k9 Security – Access Analyzer
<a name="integration-k9-security-access-analyzer"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/k9-security/access-analyzer`

k9 Security は、お客様の AWS Identity and Access Management アカウントで重要なアクセス変更が発生したときに通知します。を使用するとk9 Security、ユーザーと IAM ロールが重要な AWS のサービス とデータにアクセスできることを理解できます。

k9 Security は継続的デリバリー向けに構築され、 AWS CDK と Terraform 用のアクション可能なアクセス監査およびシンプルなポリシーオートメーションにより IAM の操作を可能にします。

[製品リンク](https://www.k9security.io/lp/operationalize-aws-iam-security-hub)

[パートナードキュメント](https://www.k9security.io/docs/how-to-configure-k9-access/)

### Lacework – Lacework
<a name="integration-lacework"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/lacework/lacework`

Lacework は、クラウド向けのデータ駆動型セキュリティプラットフォームです。Lacework Cloud Security Platform は、クラウドセキュリティを大規模に自動化し、スピードと安全性を備えたイノベーションの実現を可能にします。

[製品リンク](https://www.lacework.com/platform/aws/)

[パートナードキュメント](https://www.lacework.com/platform/aws/)

### McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)
<a name="integration-mcafee-mvision-cnapp"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`

McAfee MVISION Cloud Native Application Protection Platform (CNAPP) では、 AWS 環境に Cloud Security Posture Management (CSPM) と Cloud Workload Protection Platform (CWPP) を提供しています。

[製品リンク](https://aws.amazon.com/marketplace/pp/prodview-ol6txkzkdyacc)

[パートナードキュメント](https://success.myshn.net/Cloud_Native_Application_Protection_Platform_(IaaS)/Amazon_Web_Services_(AWS)/Integrate_MVISION_Cloud_with_AWS_Security_Hub)

### NETSCOUT – NETSCOUT Cyber Investigator
<a name="integration-netscout-cyber-investigator"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/netscout/netscout-cyber-investigator`

NETSCOUT Cyber Investigator は、企業全体のネットワーク脅威、リスク調査、フォレンジック分析プラットフォームで、サイバー脅威によるビジネスへの影響を軽減します。

[製品リンク](https://aws.amazon.com/marketplace/pp/prodview-reujxcu2cv3f4?qid=1608874215786&sr=0-1&ref_=srh_res_product_title)

[パートナードキュメント](https://www.netscout.com/solutions/cyber-investigator-aws)

### Orca Cloud Security Platform
<a name="integration-orca-cloud-security-platform"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/orca-security/orca-security`

Orca Cloud Security Platform は、クラウド資産全体のリスクとコンプライアンスの問題を特定、優先順位付け、修復します。Orca’s エージェントレスファーストの AI 駆動型プラットフォームは、脆弱性、設定ミス、側面移動、API リスク、機密データ、異常なイベントと動作、過度に寛容なアイデンティティを検出する包括的なカバレッジを提供します。

Orca は Security Hub CSPM と統合して、Security Hub CSPM に深層クラウドセキュリティテレメトリを導入します。Orca は、その SideScanning テクノロジーを使用して、クラウドインフラストラクチャ、ワークロード、アプリケーション、データ、APIs、アイデンティティなどのリスクに優先順位を付けます。

[製品リンク](https://orca.security/partners/technology/amazon-web-services-aws/)

[パートナードキュメント](https://docs.orcasecurity.io/docs/integrating-amazon-security-hub)

### Palo Alto Networks – Prisma Cloud Compute
<a name="integration-palo-alto-prisma-cloud-compute"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise`

Prisma Cloud Compute は、VM、コンテナ、およびサーバーレスプラットフォームを保護する、クラウドネイティブのサイバーセキュリティプラットフォームです。

[製品リンク](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[パートナードキュメント](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/alerts/aws_security_hub.html)

### Palo Alto Networks – Prisma Cloud Enterprise
<a name="integration-palo-alto-prisma-cloud-enterprise"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock`

クラウドセキュリティ分析、高度な脅威検出、コンプライアンスモニタリングにより、 AWS デプロイを保護します。

[製品リンク](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[パートナードキュメント](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin/configure-external-integrations-on-prisma-cloud/integrate-prisma-cloud-with-aws-security-hub)

### Plerion – Cloud Security Platform
<a name="integration-plerion"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/plerion/cloud-security-platform`

Plerion は、脅威・リスク主導型の独自のアプローチを採用したクラウドセキュリティプラットフォームであり、ワークロード全体にわたって予防、検出、是正措置を提供します。Plerion と Security Hub CSPM を統合することで、お客様はセキュリティの検出結果を 1 か所で一元管理し、それに基づいて行動することができます。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/seller-profile?id=464b7833-edb8-43ee-b083-d8a298b7ba08)

[パートナードキュメント](https://au.app.plerion.com/resource-center/platform-documentation/integrations/outbound/securityHub)

### Prowler – Prowler
<a name="integration-prowler"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/prowler/prowler`

Prowler は、セキュリティのベストプラクティス、強化、継続的モニタリングに関連する AWS チェックを実行するオープンソースのセキュリティツールです。

[製品リンク](https://github.com/prowler-cloud/prowler)

[パートナードキュメント](https://github.com/prowler-cloud/prowler#security-hub-integration)

### Qualys – Vulnerability Management
<a name="integration-qualys-vulnerability-management"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm`

Qualys Vulnerability Management (VM) は脆弱性を継続的にスキャンして識別し、アセットを保護します。

[製品リンク](https://www.qualys.com/public-cloud/#aws)

[パートナードキュメント](https://qualys-secure.force.com/discussions/s/article/000005831)

### Rapid7 – InsightVM
<a name="integration-rapid7-insightvm"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm`

Rapid7 InsightVM は、最新の環境のための脆弱性管理を提供し、脆弱性の検出、優先順位付け、および修復を効率化します。

[製品リンク](https://www.rapid7.com/products/insightvm/)

[パートナードキュメント](https://docs.rapid7.com/insightvm/aws-security-hub/)

#### SentinelOne – SentinelOne
<a name="integration-sentinelone"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/sentinelone/endpoint-protection`

SentinelOne は、自律型の Extended Detection and Response (XDR) プラットフォームで、エンドポイント、コンテナ、クラウドワークロード、および IoT デバイスにわたって、AI を使用した防止、検知、対応、ハンティングなどを行います。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/pp/prodview-2qxvr62fng6li?sr=0-2&ref_=beagle&applicationId=AWSMPContessa)

[製品リンク](https://www.sentinelone.com/press/sentinelone-announces-integration-with-aws-security-hub/)

### Snyk
<a name="integration-snyk"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/snyk/snyk`

Snyk には、 AWS で実行中のワークロードのセキュリティリスクについてアプリケーションコンポーネントをスキャンするセキュリティプラットフォームが用意されています。これらのリスクは検出結果として Security Hub CSPM に送信されるため、デベロッパーやセキュリティチームが AWS の他のセキュリティ検出結果とともにそれらを視覚化し、優先順位を付けるのに役立ちます。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/seller-profile?id=bb528b8d-079c-455e-95d4-e68438530f85)

[パートナードキュメント](https://docs.snyk.io/integrations/event-forwarding/aws-security-hub)

### Sonrai Security – Sonrai Dig
<a name="integration-sonrai-dig"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/sonrai-security/sonrai-dig`

Sonrai Dig は、クラウドの誤った構成とポリシー違反を監視および修正することで、セキュリティとコンプライアンス体制の改善を可能にします。

[製品リンク](https://sonraisecurity.com/solutions/amazon-web-services-aws-and-sonrai-security/)

[パートナードキュメント](https://sonraisecurity.com/blog/monitor-privilege-escalation-risk-of-identities-from-aws-security-hub-with-integration-from-sonrai/)

### Sophos – Server Protection
<a name="integration-sophos-server-protection"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection`

Sophos Server Protection は、包括的な多層防御テクノロジーを使用して、組織の中核となる重大なアプリケーションとデータを保護します。

[製品リンク](https://www.sophos.com/en-us/products/cloud-native-security/aws)

### StackRox – StackRox Kubernetes Security
<a name="integration-stackrox-kubernetes-security"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security`

StackRox により、ビルド、デプロイ、実行など、コンテナのライフサイクル全体にわたってコンプライアンスとセキュリティポリシーを適用することで、エンタープライズにおけるコンテナと Kubernetes のデプロイを大規模に保護できます。

[製品リンク](https://aws.amazon.com/marketplace/pp/B07RP4B4P1)

[パートナードキュメント](https://help.stackrox.com/docs/integrate-with-other-tools/integrate-with-aws-security-hub/)

### Sumo Logic – Machine Data Analytics
<a name="integration-sumologic-machine-data-analytics"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda`

Sumo Logic は、DevSecOps チームが AWS アプリケーションを構築、実行、および保護することができる、安全なマシンデータ分析プラットフォームです。

[製品リンク](https://www.sumologic.com/application/aws-security-hub/)

[パートナードキュメント](https://help.sumologic.com/07Sumo-Logic-Apps/01Amazon_and_AWS/AWS_Security_Hub)

### Symantec – Cloud Workload Protection
<a name="integration-symantec-cloud-workload-protection"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp`

Cloud Workload Protection は、マルウェア対策、侵入防止、およびファイルの整合性モニタリングにより、Amazon EC2 インスタンスを完全に保護します。

[製品リンク](https://www.broadcom.com/products/cyber-security/endpoint/hybrid-cloud/cloud-workload-protection)

[パートナードキュメント](https://help.symantec.com/cs/scwp/SCWP/v130271667_v111037498/Intergration-with-AWS-Security-Hub/?locale=EN_US&sku=CWP_COMPUTE)

### Tenable – Tenable.io
<a name="integration-tenable-tenableio"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io`

脆弱性を正確に特定し、調査し、優先順位を付けます。クラウドで管理されます。

[製品リンク](https://www.tenable.com/)

[パートナードキュメント](https://github.com/tenable/Security-Hub)

### Trend Micro – Cloud One
<a name="integration-trend-micro"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/trend-micro/cloud-one`

Trend Micro Cloud One は、適切なセキュリティ情報を適切なタイミングで適切な場所のチームに提供します。この統合により、Security Hub CSPM にセキュリティ検出結果がリアルタイムで送信され、Security Hub CSPM の AWS リソースとTrend Micro Cloud Oneイベントの詳細の可視性が向上します。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4)

[パートナードキュメント](https://cloudone.trendmicro.com/docs/integrations/aws-security-hub/)

### Vectra – Cognito Detect
<a name="integration-vectra-ai-cognito-detect"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>:978576646331:product/vectra-ai/cognito-detect`

Vectra は、高度な AI を適用してサイバーセキュリティを変革し、隠れたサイバー攻撃者による盗難や損害を事前に検出して対応します。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/pp/prodview-x2mabtjqsjb2w)

[パートナードキュメント](https://cognito-resource-guide.s3.us-west-2.amazonaws.com/Vectra_AWS_SecurityHub_Integration_Guide.pdf)

### Wiz – Wiz Security
<a name="integration-wiz"></a>

**統合タイプ:** 送信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/wiz-security/wiz-security`

Wiz は、設定、脆弱性、ネットワーク、IAM 設定、シークレットなどを継続的に分析し AWS アカウント、実際のリスクを表す重大な問題を検出します。Wiz と Security Hub CSPM を統合すると、Wiz が検出した問題を Security Hub CSPM コンソールから視覚化して対応できます。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/pp/prodview-wgtgfzwbk4ahy)

[パートナードキュメント](https://docs.wiz.io/wiz-docs/docs/security-hub-integration)

## Security Hub CSPM から検出結果を受信するサードパーティーの統合
<a name="integrations-third-party-receive"></a>

以下のサードパーティーパートナー製品の統合によって、検出結果が Security Hub CSPM から受信されるようになります。特に明記されている場合、製品は検出結果を更新する場合もあります。この場合、パートナー製品で行った検出結果の更新内容も、Security Hub CSPM に反映されます。

### Atlassian - Jira Service Management
<a name="integration-atlassian-jira-service-management"></a>

**統合タイプ:** 受信と更新

 AWS Service Management Connector の は、Security Hub CSPM から に検出結果Jiraを送信しますJira。 Jiraの問題は、検出結果に基づいて作成されます。Jira の課題が更新されると、Security Hub CSPM の対応する検出結果も更新されます。

統合では Jira サーバーと Jira データセンターのみがサポートされています。

統合の概要とその仕組みについては、「[AWS Security Hub CSPM – Atlassian Jira Service Management との双方向統合](https://www.youtube.com/watch?v=uEKwu0M8S3M)」の動画をご覧ください。

[製品リンク](https://www.atlassian.com/software/jira/service-management)

[パートナードキュメント](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-jiraservicedesk.html)

### Atlassian - Jira Service Management Cloud
<a name="integration-atlassian-jira-service-management-cloud"></a>

**統合タイプ:** 受信と更新

Jira Service Management Cloud は、Jira Service Management のクラウドコンポーネントです。

 AWS Service Management Connector の は、Security Hub CSPM から に検出結果Jiraを送信しますJira。検出結果は、Jira Service Management Cloud での問題の作成をトリガーします。Jira Service Management Cloud で問題を更新すると、対応する検出結果が Security Hub CSPM でも更新されます。

[製品リンク](https://marketplace.atlassian.com/apps/1221283/aws-service-management-connector-for-jsm?tab=overview&hosting=cloud)

[パートナードキュメント](https://docs.aws.amazon.com/smc/latest/ag/integrations-jsmcloud.html)

### Atlassian – Opsgenie
<a name="integration-atlassian-opsgenie"></a>

**統合タイプ:** 受信

Opsgenie は、常時稼働のサービスを運用するための最新のインシデント管理ソリューションであり、開発および運用チームがサービス中断の計画を立て、インシデント中の管理を維持できるようにします。

Security Hub CSPM と統合することで、ミッションクリティカルなセキュリティ関連のインシデントが適切なチームにルーティングされるため、即座の解決が可能となります。

[製品リンク](https://www.atlassian.com/software/opsgenie)

[パートナードキュメント](https://docs.opsgenie.com/docs/amazon-security-hub-integration-bidirectional)

### Dynatrace
<a name="integration-dynatrace"></a>

**統合タイプ:** 受信

Security Hub CSPM と Dynatrace の統合は、ツールと環境間のセキュリティ検出結果を統合、視覚化、自動化するのに役立ちます。セキュリティ検出結果に Dynatrace ランタイムコンテキストを追加すると、より賢明な優先順位付けが可能になり、アラートのノイズが軽減され、DevSecOps チームは本番環境やアプリケーションに影響を与える重要な問題を効率的に解決することに集中できます。

[製品リンク](https://www.dynatrace.com/solutions/application-security/)

[パートナードキュメント](https://docs.dynatrace.com/docs/secure/threat-observability/security-events-ingest/ingest-aws-security-hub)

### Elastic
<a name="integration-elastic"></a>

**統合タイプ:** 受信

Elastic は、セキュリティ、オブザーバビリティ、検索のための検索を活用したソリューションを構築します。Security Hub CSPM 統合により、Elastic は Security Hub CSPM から検出結果とインサイトをプログラムにより取り込み、相関と分析用に正規化し、統合されたダッシュボードと検出を Elastic Security に提示するため、エージェントをデプロイすることなく、より迅速な優先順位付けと調査が可能になります。

[製品リンク](https://www.elastic.co/blog/elastic-integrates-leading-cloud-security-vendors)

[パートナードキュメント](https://www.elastic.co/docs/reference/integrations/aws/securityhub)

### Fortinet – FortiCNP
<a name="integration-fortinet-forticnp"></a>

**統合タイプ:** 受信

FortiCNP は、セキュリティの検出結果を実用的なインサイトに集約し、リスクスコアに基づいてセキュリティの洞察に優先順位を付けてアラートの疲労を軽減し、修復を加速するクラウドネイティブ保護製品です。

[AWS Marketplace へのリンク](https://aws.amazon.com/marketplace/pp/prodview-vl24vc3mcb5ak)

[パートナードキュメント](https://docs.fortinet.com/document/forticnp/22.3.a/online-help/467775/aws-security-hub-configuration)

### IBM – QRadar
<a name="integration-ibm-qradar"></a>

**統合タイプ:** 受信

IBM QRadar SIEM は、迅速かつ正確に脅威を検出し、優先順位付けし、調査、および対応する機能をセキュリティチームに提供します。

[製品リンク](https://www.ibm.com/docs/en/qradar-common?topic=app-aws-security-hub-integration)

[パートナードキュメント](https://www.ibm.com/docs/en/qradar-common?topic=configuration-integrating-aws-security-hub)

### Logz.io Cloud SIEM
<a name="integration-logzio-cloud-siem"></a>

**統合タイプ:** 受信

Logz.io はログとイベントデータの高度な相関関係を提供し、セキュリティチームがセキュリティの脅威をリアルタイムで検出、分析、対応できるようにする Cloud SIEM のプロバイダです。

[製品リンク](https://logz.io/solutions/cloud-monitoring-aws/)

[パートナードキュメント](https://docs.logz.io/shipping/security-sources/aws-security-hub.html)

### MetricStream – CyberGRC
<a name="integration-metricstream"></a>

**統合タイプ:** 受信

MetricStream CyberGRC は、サイバーセキュリティリスクの管理、測定、軽減に役立ちます。Security Hub CSPM の検出結果を受け取ることで、CyberGRC はこれらのリスクをより詳細に把握できるため、サイバーセキュリティへの投資を優先して IT ポリシーを遵守することができます。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)

[製品リンク](https://www.metricstream.com/)

### MicroFocus – MicroFocus Arcsight
<a name="integration-microfocus-arcsight"></a>

**統合タイプ:** 受信

ArcSight はリアルタイムの効果的な脅威の検出と対応を加速し、レスポンスのオートメーションとオーケストレーションにより、イベントの相関と監視対象外の分析を統合します。

[製品リンク](https://aws.amazon.com/marketplace/pp/B07RM918H7)

[パートナードキュメント](https://community.microfocus.com/cyberres/productdocs/w/connector-documentation/2768/smartconnector-for-amazon-web-services-security-hub)

### New Relic Vulnerability Management
<a name="integration-new-relic-vulnerability-management"></a>

**統合タイプ:** 受信

New Relic Vulnerability Management は Security Hub CSPM からセキュリティに関する検出結果を受け取るので、スタック全体のコンテキストでセキュリティとパフォーマンステレメトリを一元的に把握できます。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/pp/prodview-yg3ykwh5tmolg)

[パートナードキュメント](https://docs.newrelic.com/docs/vulnerability-management/integrations/aws/)

### PagerDuty – PagerDuty
<a name="integration-pagerduty"></a>

**統合タイプ:** 受信

PagerDuty のデジタル運用管理プラットフォームを使用すると、あらゆるシグナルが自動的に適切なインサイトとアクションに変換されることで、顧客に影響を与える問題を事前に軽減できます。

AWS ユーザーは、PagerDuty一連の AWS 統合を使用して、 AWS およびハイブリッド環境を自信を持ってスケーリングできます。

PagerDuty を Security Hub CSPM の集約および整理されたセキュリティアラートと組み合わせれば、チームは脅威応答プロセスを自動化し、潜在的な問題を防ぐためのカスタムアクションを迅速に設定することが可能になります。

クラウド移行プロジェクトを実施している PagerDuty ユーザーは、移行のライフサイクルを通して発生する問題の影響を軽減しながら、迅速に移行することができます。

[製品リンク](https://aws.amazon.com/marketplace/pp/prodview-5sf6wkximaixc?ref_=srh_res_product_title)

[パートナードキュメント](https://support.pagerduty.com/docs/aws-security-hub-integration-guide-pagerduty)

### Palo Alto Networks – Cortex XSOAR
<a name="integration-palo-alto-cortex-xsoar"></a>

**統合タイプ:** 受信

Cortex XSOAR は、セキュリティ製品スタック全体と統合してインシデント対応とセキュリティ運用を迅速化する、Security Orchestration, Automation, and Response (SOAR) プラットフォームです。

[製品リンク](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[パートナードキュメント](https://xsoar.pan.dev/docs/reference/integrations/aws---security-hub)

### Palo Alto Networks – VM-Series
<a name="integration-palo-alto-vmseries"></a>

**統合タイプ:** 受信

Palo Alto VM-Series と Security Hub CSPM との統合により、脅威インテリジェンスを収集し、セキュリティポリシーの自動更新として VM-Series 次世代ファイアウォールに送信して、悪質な IP アドレスアクティビティをブロックします。

[製品リンク](https://github.com/PaloAltoNetworks/pan_aws_security_hub)

[パートナードキュメント](https://github.com/PaloAltoNetworks/pan_aws_security_hub)

### Rackspace Technology – Cloud Native Security
<a name="integration-rackspace-cloud-native-security"></a>

**統合タイプ:** 受信

ネイティブ AWS セキュリティ製品に加えて、Rackspace Technology  は Rackspace SOC による 24 時間 365 日のモニタリング、高度な分析、脅威の軽減によるマネージドセキュリティサービスを提供します。

[製品リンク](https://www.rackspace.com/managed-aws/capabilities/security)

### Rapid7 – InsightConnect
<a name="integration-rapid7-insightconnect"></a>

**統合タイプ:** 受信

Rapid7 InsightConnect は、セキュリティ上のオーケストレーションとオートメーションのソリューションであり、コードをほとんどまたは一切使用せずに SOC 操作を最適化することが可能です。

[製品リンク](https://www.rapid7.com/platform/)

[パートナードキュメント](https://docs.rapid7.com/insightconnect/aws-security-hub/)

### RSA – RSA Archer
<a name="integration-rsa-archer"></a>

**統合タイプ:** 受信

RSA Archer IT およびセキュリティリスク管理では、ビジネスにとって重要な資産を特定し、セキュリティポリシーと標準を確立して伝え、攻撃を検出して対応し、セキュリティ上の欠陥を特定して修正し、明確な IT リスク管理のベストプラクティスを確立できます。

[製品リンク](https://community.rsa.com/docs/DOC-111898)

[パートナードキュメント](https://community.rsa.com/docs/DOC-111898)

### ServiceNow – ITSM
<a name="integration-servicenow-itsm"></a>

**統合タイプ:** 受信と更新

ServiceNow と Security Hub CSPM との統合により、Security Hub CSPM からのセキュリティ検出結果を ServiceNow ITSM で表示することができます。また、Security Hub CSPM から結果を受信したときに、ServiceNow でインシデントまたは問題を自動的に作成するよう設定することもできます。

これらのインシデントや問題が更新されると、Security Hub CSPM の検出結果が更新されます。

統合の概要とその仕組みについては、「[AWS Security Hub CSPM –  ServiceNow ITSM との双方向統合](https://www.youtube.com/watch?v=OYTi0sjEggE)」の動画をご覧ください。

[製品リンク](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-servicenow.html)

[パートナードキュメント](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/securityhub-config.html)

### Slack – Slack
<a name="integration-slack"></a>

**統合タイプ:** 受信

Slack は、人、データ、およびアプリケーションを 1 か所に集約するビジネステクノロジースタックのレイヤーです。人々が効果的に協力し、重要な情報を見つけ、何十万もの重要なアプリケーションやサービスにアクセスして、最善の仕事ができるようにします。

[製品リンク](https://github.com/aws-samples/aws-securityhub-to-slack)

[パートナードキュメント](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html)

### Splunk – Splunk Enterprise
<a name="integration-splunk-enterprise"></a>

**統合タイプ:** 受信

Splunk では、Security Hub CSPM の検出結果のコンシューマーとして Amazon CloudWatch Events を使用します。データを Splunk に送信すると、高度なセキュリティ分析と SIEM を実行できます。

[製品リンク](https://splunkbase.splunk.com/app/5767)

[パートナードキュメント](https://github.com/splunk/splunk-for-securityHub)

### Splunk – Splunk Phantom
<a name="integration-splunk-phantom"></a>

**統合タイプ:** 受信

 AWS Security Hub CSPM のSplunk Phantomアプリケーションでは、検出結果は Phantom に送信され、追加の脅威インテリジェンス情報を含む自動コンテキストエンリッチメント、または自動応答アクションを実行します。

[製品リンク](https://splunkbase.splunk.com/app/5767)

[パートナードキュメント](https://splunkphantom.s3.amazonaws.com/phantom-sechub-setup.html)

### ThreatModeler
<a name="integration-threatmodeler"></a>

**統合タイプ:** 受信

ThreatModeler は、エンタープライズソフトウェアとクラウド開発のライフサイクルを保護し、スケールする自動化された脅威モデリングソリューションです。

[製品リンク](https://aws.amazon.com/marketplace/pp/B07S65ZLPQ)

[パートナードキュメント](https://threatmodeler-setup-quickstart.s3.amazonaws.com/ThreatModeler+Setup+Guide/ThreatModeler+Setup+%26+Deployment+Guide.pdf)

### Trellix – Trellix Helix
<a name="integration-fireeye-helix"></a>

**統合タイプ:** 受信

Trellix Helix は、クラウドホスト型のセキュリティ運用プラットフォームであり、組織は、アラートから修正までのあらゆるインシデントを制御できるようになります。

[製品リンク](https://www.trellix.com/en-us/products/helix.html)

[パートナードキュメント](https://docs.trellix.com/bundle/fe-helix-enterprise-landing/)

## Security Hub に検出結果を送信し、Security Hub CSPM から検出結果を受信するサードパーティーの統合
<a name="integrations-third-party-send-receive"></a>

以下のサードパーティーパートナー製品の統合によって、検出結果が Security Hub CSPM に送信され、検出結果が Security Hub CSPM から受信されるようになります。

### Caveonix – Caveonix Cloud
<a name="integration-caveonix-cloud"></a>

**統合タイプ:** 送信と受信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/caveonix/caveonix-cloud`

Caveonix AI 搭載プラットフォームは、クラウドネイティブのサービスや VM、コンテナを対象に、ハイブリッドクラウドの可視性、評価、緩和を自動化します。 AWS Security Hub CSPM と統合され、 AWS データと高度な分析をCaveonixマージして、セキュリティアラートとコンプライアンスに関するインサイトを提供します。

[AWS Marketplace リンク](https://aws.amazon.com/marketplace/pp/prodview-v6nlnxa5e67es)

[パートナードキュメント](https://support.caveonix.com/hc/en-us/articles/18171468832529-App-095-How-to-Integration-AWS-Security-Hub-with-Caveonix-Cloud-)

### Cloud Custodian – Cloud Custodian
<a name="integration-cloud-custodian"></a>

**統合タイプ:** 送信と受信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian`

Cloud Custodian により、ユーザーをクラウドで適切に管理できます。シンプルな YAML DSL を使用することでルールの定義が容易で、クラウドインフラストラクチャを適切に管理でき、セキュリティとコストの最適化の両方を実現することができます。

[製品リンク](https://cloudcustodian.io/docs/aws/topics/securityhub.html)

[パートナードキュメント](https://cloudcustodian.io/docs/aws/topics/securityhub.html)

### DisruptOps, Inc. – DisruptOPS
<a name="integration-disruptops"></a>

**統合タイプ:** 送信と受信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops`

DisruptOps の Security Operations Platform は、自動化されたガードレールを使用することにより、組織がクラウド内でベストプラクティスを維持するのに役立ちます。

[製品リンク](https://disruptops.com/ad/securityhub-isa/)

[パートナードキュメント](https://disruptops.com/securityhub/)

### Kion
<a name="integration-kion"></a>

**統合タイプ:** 送信と受信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio`

Kion (旧 cloudtamer.io) は、 AWSの包括的なクラウドガバナンスソリューションです。Kion は、ステークホルダーにクラウドオペレーションを可視化し、クラウドユーザーのアカウントの管理、予算とコストの管理、継続的なコンプライアンスの確保を支援します。

[製品リンク](https://kion.io/partners/aws)

[パートナードキュメント](https://support.kion.io/hc/en-us/articles/360046647551-AWS-Security-Hub)

### Turbot – Turbot
<a name="integration-turbot"></a>

**統合タイプ:** 送信と受信

**製品 ARN:** `arn:aws:securityhub:<REGION>::product/turbot/turbot`

Turbot は、クラウドインフラストラクチャの安全性、準拠性、スケーラブル性を保証し、そのコストを最適化します。

[製品リンク](https://turbot.com/features/)

[パートナードキュメント](https://turbot.com/blog/2018/11/aws-security-hub/)

# Security Hub CSPM とカスタム製品の統合
<a name="securityhub-custom-providers"></a>

統合された AWS サービスとサードパーティー製品によって生成された検出結果に加えて、 AWS Security Hub CSPM は他のカスタムセキュリティ製品によって生成された検出結果を消費できます。

[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) Security Hub CSPM API のオペレーションを使用して、これらの検出結果を Security Hub CSPM に送信することができます。同じオペレーションを使用して、Security Hub CSPM に既に送信したカスタム製品の検出結果を更新できます。

カスタム統合を設定する場合は、「*Security Hub CSPM パートナー統合ガイド*」で提供される「[ガイドラインとチェックリスト](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-guidelines-checklists.html)」を使用します。

## カスタム製品統合の要件と推奨事項
<a name="securityhub-custom-providers-bfi-reqs"></a>

[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) API オペレーションを正常に呼び出すには、あらかじめ Security Hub CSPM を有効にしておく必要があります。

また、[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md) を使用して検出結果の詳細を指定する必要があります。カスタム製品統合に関する以下の要件と推奨事項を確認してください。

**製品 ARN の設定**  
Security Hub CSPM を有効にすると、Security Hub CSPM 用のデフォルトの製品 Amazon リソースネーム (ARN) が現在のアカウントで生成されます。  
この製品 ARN の形式は、`arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default` です。例えば、`arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default`。  
`BatchImportFindings` API オペレーションを呼び出すときに、この製品 ARN を [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn) 属性の値として使用します。

**会社名と製品名の設定**  
`BatchImportFindings` を使用して、Security Hub CSPM に検出結果を送信するカスタム統合の優先会社名と製品名を設定します。  
事前設定された会社名と製品名 (個人名とデフォルト名) のそれぞれが指定した名前で置き換えられ、Security Hub CSPM コンソールと各結果の JSON に表示されます。「[検出結果プロバイダーの BatchImportFindings](finding-update-batchimportfindings.md)」を参照してください。

**結果 ID の設定**  
[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id) 属性を使用して、独自の結果の ID を提供、管理、および増分する必要があります。  
それぞれの新しい検出結果には、一意の検出結果 ID が必要です。カスタム製品が同じ検出結果 ID で複数の検出結果を送信する場合、Security Hub CSPM は最初の検出結果のみを処理します。

**アカウント ID の設定**  
[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId) 属性を使用して、自分のアカウント ID を指定する必要があります。

**作成日と更新日の設定**  
[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt) および [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt) 属性に独自のタイムスタンプを渡す必要があります。

## カスタム製品からの検出結果の更新
<a name="securityhub-custom-providers-update-findings"></a>

カスタム製品から新しい検出結果を送信するだけでなく、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) API オペレーションを使用して、カスタム製品から既存の検出結果を更新することもできます。

既存の検出結果を更新するには、既存の検出結果 ID を ([https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id) 属性を介して) 使用します。リクエストで更新された適切な情報 (変更された [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt) タイムスタンプを含む) を使用して、完全な結果を再送信します。

## カスタム統合の例
<a name="securityhub-custom-providers-examples"></a>

次のカスタム製品の統合例をガイドとして使用して、独自のカスタムソリューションを作成できます。

**Chef InSpec スキャンからの検出結果を Security Hub CSPM に送信する**  
[Chef InSpec](https://www.chef.io/products/chef-inspec/) コンプライアンススキャンを実行し、結果を Security Hub CSPM に送信する CloudFormation テンプレートを作成できます。  
詳細については、「[Continuous compliance monitoring with Chef InSpec and AWS Security Hub CSPM](https://aws.amazon.com/blogs/security/continuous-compliance-monitoring-with-chef-inspec-and-aws-security-hub/)」を参照してください。

**Trivy によって検出されたコンテナの脆弱性を Security Hub CSPM へ送信する**  
を使用してコンテナ[AquaSecurity Trivy](https://github.com/aquasecurity/trivy)の脆弱性をスキャンし、それらの脆弱性の検出結果を Security Hub CSPM に送信する CloudFormation テンプレートを作成できます。  
詳細については、「 [を使用してコンテナ脆弱性スキャン用の CI/CD パイプラインを構築する方法Trivy」およびAWS 「Security Hub CSPM](https://aws.amazon.com/blogs/security/how-to-build-ci-cd-pipeline-container-vulnerability-scanning-trivy-and-aws-security-hub/)」を参照してください。

# Security Hub CSPM の検出結果を作成および更新する
<a name="securityhub-findings"></a>

 AWS Security Hub CSPM では、*検出*結果はセキュリティチェックまたはセキュリティ関連の検出の観測可能なレコードです。検出結果は、次のいずれかのソースから取得できます。
+ Security Hub CSPM のコントロールのセキュリティチェック。
+ 別の との統合 AWS のサービス。
+ サードパーティー製品との統合。
+ カスタム統合。

Security Hub CSPM は、すべてのソースからの検出結果を *AWS Security Finding 形式 (ASFF)* と呼ばれる標準構文と形式に正規化します。個々の ASFF フィールドの説明など、この形式の詳細については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。クロスリージョン集約を有効にすると、Security Hub CSPM は、すべてのリンクされたリージョンから特定した集約リージョンに新しい検出結果と更新された検出結果を自動的に集約します。詳細については、「[Security Hub CSPM でのクロスリージョン集約について](finding-aggregation.md)」を参照してください。

検出結果を作成したら、次のように更新できます。
+ 検出結果プロバイダーは、Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションを使用して、検出結果に関する一般情報を更新します。検出結果プロバイダーは、自身が作成した検出結果のみを更新できます。
+ お客様は、Security Hub CSPM コンソールまたは Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)オペレーションを使用して、検出結果の調査のステータスを更新できます。`BatchUpdateFindings` オペレーションは、SIEM、チケット発行、インシデント管理、SOAR、またはその他のタイプのツールがお客様に代わって使用することもできます。

検出結果のノイズを減らし、個々の検出結果の追跡と分析を合理化するために、Security Hub CSPM は最近更新されていない検出結果を自動的に削除します。Security Hub CSPM がこれを行うタイミングは、検出結果がアクティブかアーカイブかによって異なります。
+ *アクティブな検出結果*は、レコードのステータス (`RecordState`) が `ACTIVE` である検出結果です。Security Hub CSPM はアクティブな検出結果を 90 日間保存します。アクティブな検出結果が 90 日間更新されていない場合、有効期限が切れ、Security Hub CSPM によって完全に削除されます。
+ *アーカイブされた検出結果*は、レコード状態 (`RecordState`) が `ARCHIVED` である検出結果です。Security Hub CSPM は、アーカイブされた検出結果を 30 日間保存します。アーカイブされた検出結果が 30 日間更新されていない場合、有効期限が切れ、Security Hub CSPM によって完全に削除されます。

Security Hub CSPM がコントロールのセキュリティチェックから生成する検出結果であるコントロール検出結果の場合、Security Hub CSPM は検出結果の `UpdatedAt` フィールドの値に基づいて検出結果の有効期限が切れたかどうかを判断します。アクティブな検出結果に対してこの値が 90 日以上前である場合、Security Hub CSPM は検出結果を完全に削除します。アーカイブされた検出結果に対してこの値が 30 日以上前である場合、Security Hub CSPM は検出結果を完全に削除します。

他のすべてのタイプの検出結果について、Security Hub CSPM は、検出結果の `ProcessedAt` フィールドと `UpdatedAt` フィールドの値に基づいて、検出結果の有効期限が切れたかどうかを判断します。Security Hub CSPM は、これらのフィールドの値を比較し、どちらが最新かを判断します。アクティブな検出結果の最新の値が 90 日以上前である場合、Security Hub CSPM は検出結果を完全に削除します。アーカイブされた検出結果の最新の値が 30 日以上前である場合、Security Hub CSPM は検出結果を完全に削除します。検出結果プロバイダーは、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションを使用して検出結果を更新することで、1 つ以上の `UpdatedAt` フィールドの値を変更することができます。

検出結果を長期間保持するには、検出結果を S3 バケットにエクスポートできます。これを行うには、Amazon EventBridge ルールでカスタムアクションを使用します。詳細については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。

**Topics**
+ [検出結果プロバイダーの BatchImportFindings](finding-update-batchimportfindings.md)
+ [お客様の BatchUpdateFindings](finding-update-batchupdatefindings.md)
+ [Security Hub CSPM での検出結果詳細と検出結果履歴のレビュー](securityhub-findings-viewing.md)
+ [Security Hub CSPM での検出結果のフィルタリング](securityhub-findings-manage.md)
+ [Security Hub CSPM の検出結果のグループ化](finding-list-grouping.md)
+ [Security Hub CSPM 検出結果のワークフローステータスの設定](findings-workflow-status.md)
+ [Security Hub CSPM の検出結果をカスタム Security Hub CSPM アクションに送信する](findings-custom-action.md)
+ [AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)

# 検出結果プロバイダーの BatchImportFindings
<a name="finding-update-batchimportfindings"></a>

検出結果プロバイダーは、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションを使用して、 AWS Security Hub CSPM に新しい検出結果を作成できます。また、このオペレーションを使用して、作成した検出結果を更新することもできます。検出結果プロバイダーは、自身が作成していない検出結果は更新できます。

お客様、SIEM、チケット発行ツール、SOAR ツールおよびツールの他のタイプは、検出結果プロバイダーからの検出結果の調査に関連する更新を行うために [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) を使用します。詳細については、「[お客様の BatchUpdateFindings](finding-update-batchupdatefindings.md)」を参照してください。

Security Hub CSPM が検出結果を作成または更新する `BatchImportFindings` リクエストを受信すると、Amazon EventBridge で **Security Hub Findings - Imported** イベントが自動的に生成されます。そのイベントに対して自動アクションを実行できます。詳細については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。

## `BatchImportFindings` を使用するための前提条件
<a name="batchimportfindings-accounts-batch-size"></a>

`BatchImportFindings` を、次のいずれかで呼び出す必要があります。
+ 検出結果に関連付けられているアカウント。関連付けられたアカウントの識別子は、検出結果の `AwsAccountId` 属性の値に一致している必要があります。
+ 公式の Security Hub CSPM パートナー統合として許可リストに載っているアカウント。

Security Hub CSPM は、Security Hub CSPM が有効になっているアカウントの結果更新のみを受け入れます。検出結果プロバイダーも有効にする必要があります。Security Hub CSPM が無効になっているが、検出結果プロバイダーとの統合が有効になっていない場合は、検出結果は `FailedFindings` リストで返され、`InvalidAccess` エラーが表示されます。

## 結果を作成するか更新するかの決定
<a name="batchimportfindings-create-or-update"></a>

検出結果を作成するか更新するかを決定するために、Security Hub CSPM は `ID` フィールドをチェックします。`ID` の値が既存の検出結果と一致しない場合は、Security Hub CSPM は、新しい検出結果を作成します。

`ID` が既存の検出結果と一致する場合、Security Hub CSPM は `UpdatedAt` フィールドに更新がないかをチェックし、次のように処理を進めます。
+ 更新上の `UpdatedAt` が一致するか、既存の検出結果の `UpdatedAt` より前に発生した場合、Security Hub CSPM は更新を無視します。
+ 更新上の `UpdatedAt` が既存の検出結果の `UpdatedAt` の後に発生している場合、Security Hub CSPM は既存の検出結果を更新します。

## `BatchImportFindings` による検出結果の更新の制限
<a name="batchimportfindings-restricted-fields"></a>

検出結果プロバイダーは `BatchImportFindings` を使用して既存の検出結果の次の属性を更新することはできません。
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Security Hub CSPM は、これらの属性の `BatchImportFindings` リクエストで提供されたコンテンツを無視します。お客様、またはお客様に代わって行動するエンティティ (チケット発行ツールなど) は、 `BatchUpdateFindings` を使用してこれらの属性を更新できます。

## FindingProviderFields での検出結果の更新
<a name="batchimportfindings-findingproviderfields"></a>

また、検出結果プロバイダーは、 `BatchImportFindings`を使用して AWS Security Finding Format (ASFF) の以下の最上位属性を更新しないでください。
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

代わりに、検出結果プロバイダーは [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) オブジェクトを使用して、これらの属性の値を提供する必要があります。

**例**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

`BatchImportFindings` リクエストの場合、Security Hub CSPM はトップレベル属性内および [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) 内の値を以下のとおり処理します。

**(推奨) `BatchImportFindings` は [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) 内の属性の値を提供しますが、対応するトップレベル属性には値を提供しません。**  
例えば、`BatchImportFindings` は `FindingProviderFields.Confidence` を提供しますが、`Confidence` は提供しません。これは、`BatchImportFindings` リクエストに推奨されるオプションです。  
Security Hub CSPM は、`FindingProviderFields` 内の属性の値を更新します。  
これは、属性が `BatchUpdateFindings` によってまだ更新されていない場合にのみ、値をトップレベル属性にレプリケートします。

**`BatchImportFindings` は、トップレベル属性の値を提供しますが、`FindingProviderFields` 内の対応する属性には値を提供しません。**  
例えば、`BatchImportFindings` は `Confidence` を提供しますが、`FindingProviderFields.Confidence` は提供しません。  
Security Hub CSPM は、値を使用して `FindingProviderFields` の属性を更新します。既存の値はすべて上書きされます。  
Security Hub CSPM は、属性が `BatchUpdateFindings` によってまだ更新されていない場合にのみ、トップレベルの属性を更新します。

**`BatchImportFindings` は、`FindingProviderFields` のトップレベル属性と対応する属性の両方の値を提供します。**  
例えば、`BatchImportFindings` は `Confidence` と `FindingProviderFields.Confidence` の両方を提供します。  
新しい結果を得るために、Security Hub CSPM では `FindingProviderFields` 内の値を使用して、`FindingProviderFields` 内のトップレベル属性と対応する属性の両方を入力します。指定されたトップレベルの属性値は使用しません。  
既存の結果の場合、Security Hub CSPM は両方の値を使用します。ただし、トップレベルの属性値が更新されるのは、`BatchUpdateFindings` により属性がまだ更新されていない場合のみです。

# お客様の BatchUpdateFindings
<a name="finding-update-batchupdatefindings"></a>

AWS Security Hub CSPM のお客様およびお客様に代わって行動するエンティティは、[BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) オペレーションを使用して、検出結果プロバイダーからの Security Hub CSPM の検出結果の処理に関連する情報を更新できます。お客様は、このオペレーションを直接使用できます。SIEM、チケット発行、インシデント管理、SOAR ツールも、このオペレーションをお客様に代わって使用できます。

`BatchUpdateFindings` オペレーションを使用して、新しい検出結果を作成することはできません。ただし、これを使用すると、一度に 100 件までの検出結果を更新できます。`BatchUpdateFindings` リクエストでは、更新する検出結果、検出結果に対して更新する AWS Security Finding Format (ASFF) フィールド、およびフィールドの新しい値を指定します。次に、Security Hub CSPM はリクエストで指定されたとおりに検出結果を更新します。この処理には数分かかることもあります。`BatchUpdateFindings` オペレーションを使用して検出結果を更新しても、更新は検出結果の `UpdatedAt` フィールドの既存の値には影響しません。

Security Hub CSPM が検出結果を更新する `BatchUpdateFindings` リクエストを受信すると、Amazon EventBridge で **Security Hub Findings – Imported** イベントが自動的に生成されます。オプションで、このイベントを使用して、指定された検出結果に対して自動アクションを実行できます。詳細については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。

## BatchUpdateFindings の使用可能なフィールド
<a name="batchupdatefindings-fields"></a>

Security Hub CSPM 管理者アカウントにサインインしている場合は、`BatchUpdateFindings` を使用して、管理者アカウントまたはメンバーアカウントによって生成された検出結果を更新できます。メンバーアカウントは、`BatchUpdateFindings` を使用して、自分のアカウントのみの検出結果を更新できます。

お客様は `BatchUpdateFindings` を使用して、以下のフィールドとオブジェクトを更新できます。
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

## BatchUpdateFindings へのアクセスの設定
<a name="batchupdatefindings-configure-access"></a>

 AWS Identity and Access Management (IAM) ポリシーを設定して、 を使用して検出結果フィールドとフィールド値`BatchUpdateFindings`を更新するアクセスを制限できます。

`BatchUpdateFindings` へのアクセスを制限するステートメントで、以下の値を使用します：
+ `Action` は `securityhub:BatchUpdateFindings`
+ `Effect` は `Deny`。
+ `Condition` では、以下に基づいて `BatchUpdateFindings` リクエストを拒否できます。
  + 結果に特定のフィールドが含まれる。
  + 結果に特定のフィールド値が含まれる。

### 条件キー
<a name="batchupdatefindings-configure-access-context-keys"></a>

これらは、`BatchUpdateFindings` へのアクセスを制限するための条件キーです。

**ASFF フィールド**  
ASFF フィールドの条件キーは以下のとおりです：  

```
securityhub:ASFFSyntaxPath/<fieldName>
```
`<fieldName>` を ASFF フィールドで置き換えます。`BatchUpdateFindings` へのアクセスを設定する場合は、1 つの親レベルのフィールドではなく、IAM ポリシーに 1 つ以上の特定の ASFF フィールドを含めます。例えば、`Workflow.Status` フィールドへのアクセスを制限するには、`Workflow` 親レベルフィールドの代わりに ` securityhub:ASFFSyntaxPath/Workflow.Status` をポリシーに含める必要があります。

### フィールドに対するすべての更新を禁止する
<a name="batchupdatefindings-configure-access-block-field"></a>

ユーザーが特定のフィールドを更新できないようにするには、以下のような条件を使用します。

```
 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}
```

例えば、以下のステートメントは、`BatchUpdateFindings` を使用して検出結果の `Workflow.Status` フィールドを更新できないことを示しています。

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}
```

### 特定のフィールド値の許可を禁止する
<a name="batchupdatefindings-configure-access-block-field-values"></a>

ユーザーがフィールドを特定の値に設定できないようにするには、以下のような条件を使用します:

```
"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}
```

例えば、以下のステートメントは、`BatchUpdateFindings` を使用して `Workflow.Status` に `SUPPRESSED` を設定できないことを示しています。

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}
```

許可されていない値のリストを提供することもできます。

```
 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}
```

例えば、以下のステートメントは、`BatchUpdateFindings` を使用して `Workflow.Status` を `RESOLVED` または `SUPPRESSED` に設定できないことを示しています。

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}
```

# Security Hub CSPM での検出結果詳細と検出結果履歴のレビュー
<a name="securityhub-findings-viewing"></a>

 AWS Security Hub CSPM では、*検出*結果はセキュリティチェックまたはセキュリティ関連の検出の観測可能なレコードです。Security Hub CSPM は、コントロールのセキュリティチェックを完了し、統合された AWS のサービス やサードパーティー製品から検出結果を取り込むときに検出結果を生成します。各検出結果には、変更の履歴や、重要度の評価や影響を受けるリソースに関する情報など、その他の詳細が含まれます。

個々の検出結果の履歴やその他の詳細は、Security Hub CSPM コンソールで確認できるほか、Security Hub CSPM API または AWS CLIを使用してプログラムで確認できます。

分析を効率化するために、特定の検出結果を選択すると、Security Hub CSPM コンソールで検出結果パネルが表示されます。このパネルには、検出結果の特定の詳細を確認するための複数のメニューやタブが含まれています。

**アクションメニュー**  
このメニューから、検出結果の完全な JSON を確認したり、メモを追加したりできます。検出結果には、一度に 1 つのみメモをアタッチすることができます。このメニューには、[検出結果のワークフローステータスを設定](findings-workflow-status.md)したり、Amazon EventBridge の[カスタムアクションに検出結果を送信](findings-custom-action.md)したりするためのオプションもあります。

**調査メニュー**  
このメニューから、Amazon Detective で検出結果を調査できます。Detective は、検出結果から IP アドレスや AWS ユーザーなどのエンティティを抽出し、そのアクティビティを視覚化します。エンティティアクティビティを出発点として使用して、検出結果の原因と影響を調べることができます。

**[Overview (概要)] タブ**  
このタブには、検出結果の概要が表示されます。たとえば、検出結果がいつ作成され、最後に更新されたか、そのアカウントが存在するか、検出結果のソースを判断できます。コントロールの検出結果については、このタブには、関連する AWS Config ルールの名前と、Security Hub CSPM ドキュメントの修復ガイダンスへのリンクも表示されます。  
**[概要]** タブの **[リソース]** スナップショットでは、検出結果に関連するリソースの概要を確認できます。一部のリソースでは、関連する AWS のサービス コンソールの影響を受けるリソースに直接リンクする **Open** resource オプションが含まれます。**履歴**スナップショットには、履歴が追跡されている最新の日付に検出結果に加えられた最大 2 つの変更が表示されます。例えば、昨日 1 つの変更と今日 1 つの変更を行った場合、スナップショットには今日の変更が表示されます。以前のエントリを確認するには、**[履歴]** タブに切り替えます。  
**コンプライアンス**行が展開され、詳細が表示されます。例えば、パラメータを含むコントロールの場合、コントロールのセキュリティチェックを実行するときに Security Hub CSPM が使用する現在のパラメータ値を確認できます。

**[リソース] タブ**  
このタブには、検出結果に関連するリソースの詳細が表示されます。リソースを所有するアカウントにサインインしている場合は、該当する AWS のサービス コンソールでリソースを確認できます。リソースの所有者でない場合、このタブには所有者の AWS アカウント ID が表示されます。  
**[詳細]** の行には、検出結果のリソース固有の詳細が表示されます。検出結果 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html) のセクションが JSON 形式で表示されます。  
**[タグ]** 行には、検出結果に関連するリソースに割り当てられたタグキーと値が表示されます。 AWS Resource Groups タグ付け API の [GetResources オペレーションでサポートされている](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html)リソースはタグ付けできます。Security Hub CSPM は、新規または更新された検出結果を処理する時に、[サービスにリンクされたロール](using-service-linked-roles.md)を使用してこの操作を呼び出し、 AWS Security Finding 形式 (ASFF) の `Resource.Id` フィールドにリソースの ARN が入力されている場合は、そのリソースタグを取得します。Security Hub CSPM は無効なリソース ID を無視します。検出結果にリソースタグを含める方法の詳細については、「[タグ](asff-resources-attributes.md#asff-resources-tags)」を参照してください。

**履歴タブ**  
このタブは、検出結果の履歴を追跡します。検出結果履歴は、アクティブな検出結果とアーカイブされた検出結果に利用できます。これは、ASFF フィールドのどのフィールドが変更されたか、いつ変更が行われたか、どのユーザーによって行われたかなど、時間の経過に伴う検出結果に対して加えられた変更の履歴を改変不能な形で記録します。タブの各ページには、最大 20 個の変更が表示されます。最新の変更が最初に表示されます。  
アクティブな検出結果の場合、検出結果履歴は最大 90 日間使用できます。アーカイブされた検出結果の場合、検出結果履歴は最大 30 日間使用できます。検出結果履歴には、[Security Hub CSPM 自動化ルール](automation-rules.md)を通じてユーザーが手動でまたは自動的に行った変更が含まれます。`CreatedAt` および `UpdatedAt` フィールドなどの最上位のタイムスタンプフィールドへの変更は含まれません。  
Security Hub CSPM 管理者アカウントにサインインしている場合、検出結果の履歴は、管理者アカウントとすべてのメンバーアカウントのためのものです。

**[脅威] タブ**  
このタブには、脅威のタイプやリソースがターゲットかアクターかなど、ASFF の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html)、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html)、および [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html) オブジェクトのデータが含まれます。これらの詳細は、通常、Amazon GuardDuty で発生した検出結果に適用されます。

**[脆弱性] タブ**  
このタブには、検出結果に関連するエクスプロイトや利用可能な修正があるかどうかなど、ASFF の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html) オブジェクトからのデータが表示されます。これらの詳細は、通常、Amazon Inspector で発生した検出結果に適用されます。

各タブの行には、コピーまたはフィルターオプションが含まれます。例えば、ワークフローステータスが **[通知済み]** である検出結果のパネルにいる場合は、**[ワークフローステータス]** 行の横にあるフィルターオプションを選択できます。**[この値ですべての検出結果を表示する]** を選択すると、Security Hub CSPM によって検出結果リストがフィルタリングされ、同じワークフローステータスの検出結果のみが表示されます。

## 検出結果の詳細と履歴の確認
<a name="finding-view-details-console"></a>

ご希望の方法を選択し、手順に従って Security Hub CSPM で検出結果の詳細を確認します。

クロスリージョン集約を有効にし、集約リージョンにサイインすると、集約リージョンとリンクされたリージョンからの検出結果が含まれます。他のリージョンでは、検出結果はそのリージョンにのみ固有です。クロスリージョン集約の詳細については、「[Security Hub CSPM でのクロスリージョン集約について](finding-aggregation.md)」を参照してください。

------
#### [ Security Hub CSPM console ]

**検出結果の詳細と履歴の確認**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. 結果リストを表示するには、以下のいずれかを実行します。
   + ナビゲーションペインで **調査検出結果** を選択します。必要に応じて検索フィルターを追加して、検出結果リストを絞ります。
   + ナビゲーションペインで、[**Insights**] を選択します。インサイトを選択します。次に、結果リストで、インサイトの結果を選択します。
   + ナビゲーションペインで、**[統合]** を選択します。統合の **[検出結果を表示]** を選択します。
   + ナビゲーションペインで **[コントロール]** を選択します。

1. 検出結果を選択します。検出結果の詳細パネルに、結果の詳細が表示されます。

1. 検出結果パネルで、次のいずれかの操作を実行します。
   + 検出結果の詳細を確認するには、タブを選択します。
   + **[アクション]** メニューからオプションを選択して、検出結果に対してアクションを実行します。
   + Amazon Detective で検出結果を調査するには、**[調査]** メニューを選択します。

**注記**  
と統合 AWS Organizations し、メンバーアカウントにサインインしている場合、検出結果パネルにはアカウント名が含まれます。組織経由ではなく手動で招待されたメンバーアカウントの場合、検出結果パネルにはアカウント ID のみが表示されます。

------
#### [ Security Hub CSPM API ]

Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)オペレーションを使用するか、 を使用している場合は AWS CLIコマンドを実行します[https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html)。`Filters` パラメータに 1 つ以上の値を指定して、取得する検出結果を絞り込むことができます。

結果の量が多すぎる場合は、`MaxResults` パラメータを使用して検出結果を指定された数に制限し、`NextToken` パラメータを使用して検出結果をページ分割できます。`SortCriteria` パラメータを使用して、特定のフィールドで検出結果を並べ替えます。

たとえば、次の AWS CLI コマンドは、指定されたフィルター条件に一致する検出結果を取得し、 `LastObservedAt`フィールドで結果を降順でソートします。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
```

検出結果の履歴を確認するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html) オペレーションを使用します。を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html) コマンドを実行します。`ProductArn` および `Id` フィールドを使用して、履歴を取得する検出結果を特定します。これらのフィールドの詳細については、「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html)」を参照してください。各リクエストは、1 つの結果のみの履歴を取得できます。

たとえば、次の AWS CLI コマンドは、指定された結果の履歴を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
```

------
#### [ PowerShell ]

`Get-SHUBFinding` コマンドレットを使用します。オプションで、`Filter` パラメータを入力して、取得する検出結果を絞り込むこともできます。

たとえば、次のコマンドレットは、指定したフィルターに一致する検出結果を取得します。

```
Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
```

------

**注記**  
なお、`CompanyName` または `ProductName` でフィルタリングする場合、Security Hub CSPM は `ProductFields` ASFF　プロジェクトの一部である値を使用します。Security Hub CSPM は、トップレベルの `CompanyName` および `ProductName` フィールドを使用しません。

# Security Hub CSPM での検出結果のフィルタリング
<a name="securityhub-findings-manage"></a>

AWS Security Hub CSPM は、セキュリティチェックから独自の検出結果を生成し、統合製品から検出結果を受け取ります。検出結果のリストは、Security Hub CSPM コンソールページの **[検出結果]** ページ、**[統合]** ページ、および **[インサイト]** ページに表示できます。フィルターを追加して、リストが組織またはユースケースに関連しているように検出結果リストを絞り込むことができます。

特定のセキュリティコントロールの検出結果をフィルタリングする方法については、「[コントロール検出結果のフィルタリングとソート](control-finding-list.md)」を参照してください。このページの情報は、**[検出結果]**、**[インサイト]**、および **[統合]** ページの検出結果リストに適用されます。

## 検出結果リストのデフォルトフィルター
<a name="finding-list-default-filters"></a>

デフォルトでは、Security Hub CSPM コンソールの検出結果リストは、 AWS Security Finding 形式 (ASFF) の `RecordState` および `Workflow.Status` フィールドに基づいてフィルタリングされます。これは、特定のインサイトまたは統合のフィルターに加えて追加されるフィルターです。

レコードの状態は、その検出結果がアクティブかアーカイブされているかを示します。デフォルトでは、検出結果リストにはアクティブな検出結果のみが表示されます。検出結果プロバイダーは、検出結果がアクティブでなくなった場合や重要でなくなった場合は、その検出結果をアーカイブできます。また、関連するリソースが削除されると、Security Hub CSPM はコントロールの検出結果も自動的にアーカイブします。

ワークフローステータスは、検出結果に対する調査のステータスを示します。デフォルトでは、検出結果リストには、ワークフローステータスが `NEW` または `NOTIFIED` の検出結果のみが表示されます。検出結果のワークフローステータスを更新することができます。

## フィルターを追加する手順
<a name="finding-list-filters"></a>

検出結果リストは、最大 10 個の属性でフィルタリングできます。各属性に対して、最大 20 個のフィルター値を提供できます。

結果リストをフィルタリングする場合、Security Hub CSPM は `AND` ロジックをフィルターセットに適用します。検出結果は、指定されたすべてのフィルターに一致する場合にのみ一致となります。たとえば、**[製品名]** のフィルターとして GuardDuty を追加し、**[リソースタイプ]** のフィルターとして `AwsS3Bucket` を追加した場合、Security Hub CSPM はこれら両方の条件に一致する検出結果を表示します。

同じ属性に異なる値を使用するフィルターの場合、Security Hub CSPM は `OR` ロジックを適用します。たとえば、GuardDuty と Amazon Inspector の両方を **[製品名]** のフィルター値として追加すると、Security Hub CSPM は GuardDuty または Amazon Inspector によって生成された検出結果を表示します。

**検出結果リストにフィルターを追加するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. 検出結果リストを表示するには、以下のナビゲーションペインからいずれかのアクションを実行します。
   + **[検出結果]** を選択します。
   + **[Insights]** を選択します。インサイトを選択します。次に、結果リストで、インサイトの結果を選択します。
   + [**統合**] を選択します。統合の **[検出結果を表示]** を選択します。

1. **[フィルターの追加]** ボックスで、フィルタリングする 1 つ以上のファイルを選択します。

   **会社名**または**製品名**でフィルタリングする場合、コンソールは AWS Security Finding Format (ASFF) の最上位の フィールド`CompanyName`と `ProductName`フィールドを使用します。API は、`ProductFields` でネストされた値を使用します。

1. フィルターの一致タイプを選択します。

   文字列フィルターの場合、次のオプションの中から選択できます。
   + **is** - フィルター値と完全に一致する値を検索します。
   + **starts with** - フィルター値で始まる値を検索します。
   + **is not** - フィルター値と一致しない値を検索します。
   + **does not start with** - フィルター値で始まらない値を検索します。

   **[リソースタグ]** フィールドでは、特定のキーまたは値に基づいてフィルタリングできます。

   数値フィルターの場合、単一の数値 (**[Simple]** (シンプル)) を指定するか、数値の範囲 (**[Range]** (範囲)) を指定するかを選択できます。

   日時フィルターの場合、現在の日時からの時間の長さ (**[Rolling window]** (ローリングウィンドウ)) を指定するか、特定の日付範囲 (**[Fixed range]** (固定範囲)) を指定するかを選択できます。

   複数のフィルターを追加した場合、以下のように相互作用します。
   + **is** および **starts with** フィルターは OR で結合されます。フィルター値のいずれかが含まれている場合に、値が一致となります。例えば、**[Severity label is CRITICAL]** (重要度ラベルは重大) および **[Severity label is HIGH]** (重要度ラベルは高)と指定している場合、結果には重要度が重大な検出結果と重要度の高い検出結果の両方が含まれます。
   + **is not** および **does not start with** フィルターは AND で結合されます。値は、これらのフィルター値を一切含まなかった場合にのみ一致となります。例えば、**[Severity label is not LOW]** (重要度ラベルが低ではない) および **[Severity label is not MEDIUM]** (重要度ラベルは中ではない) と指定した場合、結果に重要度が低または中の検出結果は含まれません。

   フィールドに **is** フィルターを適用した場合、同じフィールドに **is not** または **does not start with** フィルターを使用することはできません。

1. フィルター値を指定します。文字列フィルターの場合、フィルター値では大文字と小文字が区別されます。

1. **[Apply]** (適用) を選択します。

   既存のフィルターの場合、フィルター一致タイプまたは値を変更することができます。フィルタリングされた検出結果リストで、フィルターを選択します。**[フィルターの編集]**ボックスで、新しい一致タイプまたは値を選択し、**[適用]** を選択します。

   フィルターを削除するには、[**x**] アイコンを選択します。リストが自動的に更新され、変更が反映されます。

# Security Hub CSPM の検出結果のグループ化
<a name="finding-list-grouping"></a>

選択した属性の値に基づいて、 AWS Security Hub CSPM で結果をグループ化できます。

検出結果をグループ化すると、検出結果のリストが、一致する検出結果内の選択した属性の値のリストに置き換えられます。各値に対して、一致する検出結果の数が一覧に表示されます。

例えば、検出結果を AWS アカウント ID でグループ化すると、アカウント識別子のリストと、各アカウントの一致する検出結果の数が表示されます。

Security Hub CSPM は、選択した属性に対して最大 100 個の値を表示できます。値の数が 100 を超える場合、最初の 100 個のみが表示されます。

属性値を選択すると、Security Hub CSPM によってその値と一致した検出結果のリストが表示されます。

**検出結果リスト内の検出結果をグループ化するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. 検出結果リストを表示するには、以下のナビゲーションペインからいずれかのアクションを実行します。
   + **[検出結果]** を選択します。
   + **[Insights]** を選択します。インサイトを選択します。次に、結果リストで、インサイトの結果を選択します。
   + [**統合**] を選択します。統合の **[検出結果を表示]** を選択します。

1. **グループ化**ドロップダウンで、グループ化に使用する属性を選択します。

   グループ化属性を削除するには、**x** アイコンを選択します。グループ化属性を削除すると、リストがフィールド値のリストから検出結果のリストへと戻ります。

# Security Hub CSPM 検出結果のワークフローステータスの設定
<a name="findings-workflow-status"></a>

ワークフローステータスは、検出結果に対する調査の進行状況を追跡します。ワークフローステータスは個々の検出結果に固有であり、新しい検出結果の生成には影響しません。例えば、ワークフローステータスを `SUPPRESSED` または `RESOLVED` に変更しても、Security Hub CSPM による同じ問題に対する新しい検出結果の生成が妨げられることはありません。

検出結果のワークフローステータスは次のいずれかの値になります。

**新規**  
レビューする前の結果の初期の状態です。  
統合から取り込まれた AWS のサービスなどの検出結果は AWS Config、初期ステータス`NEW`として を持ちます。  
また、Security Hub CSPM は以下の場合に、ワークフローステータス `NOTIFIED` または `RESOLVED` を `NEW` にリセットします。  
+ `RecordState` が `ARCHIVED` から `ACTIVE` に変更した場合。
+ `Compliance.Status` が `PASSED` から `FAILED` 、`WARNING`、または `NOT_AVAILABLE` に変更した場合。
これらの変更は、追加の調査が必要であることを意味します。

**通知済み**  
セキュリティ問題についてリソース所有者に通知したことを示しています。このステータスは、自分がリソース所有者ではなく、セキュリティ問題を解決するためにリソース所有者からの介入が必要な場合に使用できます。  
次のいずれかが発生すると、ワークフローステータスは `NOTIFIED` から `NEW` に自動的に変更されます。  
+ `RecordState` が `ARCHIVED` から `ACTIVE` に変更した場合。
+ `Compliance.Status` が `PASSED` から `FAILED` 、`WARNING`、または `NOT_AVAILABLE` に変更した場合。

**[抑制]**  
結果をレビューし、アクションが必要だとは判断しなかったことを示しています。  
`RecordState` が `ARCHIVED` から `ACTIVE` に変更されても、`SUPPRESSED` 結果のワークフローステータスは変わりません。

**[解決済み]**  
この結果はレビューおよび修正され、現在は解決済みと見なされていることを示しています。  
以下のいずれかが発生しない限り、結果は `RESOLVED` を維持します。  
+ `RecordState` が `ARCHIVED` から `ACTIVE` に変更した場合。
+ `Compliance.Status` が `PASSED` から `FAILED` 、`WARNING`、または `NOT_AVAILABLE` に変更した場合。
こういったケースでは、ワークフローステータスは自動的に `NEW` にリセットされます。  
コントロールからの検出結果については、`Compliance.Status` が `PASSED` の場合には、Security Hub CSPM がワークフローのステータスを自動的に `RESOLVED` に設定します。

## 検出結果のワークフローステータスを設定する
<a name="setting-workflow-status"></a>

1 つ以上の検出結果のワークフローステータスを変更するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用できます。検出結果のワークフローステータスを変更する場合、Security Hub CSPM がリクエストを処理して検出結果を更新するまでに数分かかる場合があることに注意してください。

**ヒント**  
自動化ルールを使用して、検出結果のワークフローステータスを自動的に変更することもできます。自動化ルールでは、指定した基準に基づいて検出結果のワークフローステータスを自動的に更新するように Security Hub CSPM を設定します。詳細については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。

1 つ以上の検出結果のワークフローステータスを変更するには、希望する方法を選択し、その手順に従ってください。

------
#### [ Security Hub CSPM console ]

**検出結果のワークフローステータスを変更するには、以下を実行します。**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、次のいずれかを実行して検出結果のテーブルを表示します。
   + **[検出結果]** を選択します。
   + **[Insights]** を選択します。次にインサイトを選択します。インサイト結果で、結果を選択します。
   + [**統合**] を選択します。次に、統合のセクションで、**[検出結果を表示]** を選択します。
   + **[セキュリティ標準]** を選択します。次に、標準のセクションで、**[結果の表示]** を選択します。コントロールの表で、コントロールを選択してコントロールの検出結果を表示します。

1. 検出結果テーブルで、ワークフローステータスを変更する各検出結果のチェックボックスをオンにします。

1. ページの上部で、**[ワークフローステータス]** を選択し、選択した検出結果の新しいワークフローステータスを選択します。

1. **[ワークフローステータスの設定]** ダイアログボックスで、ワークフローステータスを変更する理由の詳細を示すオプションのメモを指定します。その後、**[ステータスの設定]** を選択します。

------
#### [ Security Hub CSPM API ]

[BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) オペレーションを使用します。検出結果を生成した製品の検出結果 ID と ARN の両方を提供します。これらの詳細は、[GetFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html) オペレーションを使用して取得できます。

------
#### [ AWS CLI ]

[batch-update-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-findings.html) コマンドを実行します。検出結果を生成した製品の検出結果 ID と ARN の両方を提供します。これらの詳細は、[get-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html) コマンドを実行することで取得できます。

```
batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"
```

**例**

```
aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"
```

------

# Security Hub CSPM の検出結果をカスタム Security Hub CSPM アクションに送信する
<a name="findings-custom-action"></a>

 AWS Security Hub CSPM カスタムアクションを作成して、Amazon EventBridge で Security Hub CSPM を自動化できます。カスタムアクションの場合、イベントタイプは **Security Hub Findings - Custom Action** になります。カスタムアクションを設定したら、そのアクションに検出結果を送信できます。カスタムアクションの作成に関する情報と詳細な手順については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。

**カスタムアクション (コンソール) に検出結果を送信するには、以下を実行します。**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. 結果リストを表示するには、以下のいずれかを実行します。
   + Security Hub CSPM ナビゲーションペインで、**[検出結果]** を選択します。
   + Security Hub CSPM ナビゲーションペインで、**[インサイト]** を選択します。インサイトを選択します。次に、結果リストで、インサイトの結果を選択します。
   + Security Hub CSPM ナビゲーションペインで、**[統合]** を選択します。統合の **[検出結果を表示]** を選択します。
   + Security Hub CSPM ナビゲーションペインで、**[セキュリティ標準]** を選択します。**[結果を表示する]** を選択して、コントロールのリストを表示します。次に、コントロール名を選択します。

1. 結果リストで、カスタムアクションに送信する各結果のチェックボックスを選択します。

   一度に最大 20 件の検出結果を送信できます。

1. **[Actions]** (アクション) から、カスタムアクションを選択します。

# AWS Security Finding 形式 (ASFF)
<a name="securityhub-findings-format"></a>

AWS Security Hub CSPM は、統合された およびサードパーティー製品の結果を消費 AWS のサービス および集計します。Security Hub CSPM は、これらの検出結果を、*AWS Security Finding 形式 (ASFF)* と呼ばれる標準の検出結果形式を使用して処理します。これにより、時間のかかるデータ変換作業の必要がなくなります。

このページでは、 AWS Security Finding 形式 (ASFF) の結果の JSON の完全な概要を示します。この形式は [JSON スキーマ](https://json-schema.org/)から派生しています。リンクされたオブジェクト名をクリックすると、そのオブジェクトの検出結果例が表示されます。Security Hub CSPM の検出結果をここに示すリソースや例と比較することで、検出結果の解釈に役立てることができます。

個々の ASFF 属性の詳細については、「[必須の ASFF 最上位属性](asff-required-attributes.md)」および「[オプションの最上位 ASFF 属性](asff-top-level-attributes.md)」を参照してください。

```
"Findings": [ 
    {
    	"Action": {
    		"ActionType": "string",
    		"AwsApiCallAction": {
    			"AffectedResources": {
    				"string": "string"
    			},
    			"Api": "string",
    			"CallerType": "string",
    			"DomainDetails": {
    				"Domain": "string"
    			},
    			"FirstSeen": "string",
    			"LastSeen": "string",
    			"RemoteIpDetails": {
    				"City": {
    					"CityName": "string"
    				},
    				"Country": {
    					"CountryCode": "string",
    					"CountryName": "string"
    				},
    				"IpAddressV4": "string",
    				"Geolocation": {
    					"Lat": number,
    					"Lon": number
    				},
    				"Organization": {
    					"Asn": number,
    					"AsnOrg": "string",
    					"Isp": "string",
    					"Org": "string"
    				}
    			},
    			"ServiceName": "string"
    		},
    		"DnsRequestAction": {
    			"Blocked": boolean,
    			"Domain": "string",
    			"Protocol": "string"
    		},
    		"NetworkConnectionAction": {
    			"Blocked": boolean,
    			"ConnectionDirection": "string",
    			"LocalPortDetails": {
    				"Port": number,
    				"PortName": "string"
    			},
    			"Protocol": "string",
    			"RemoteIpDetails": {
    				"City": {
    					"CityName": "string"
    				},
    				"Country": {
    					"CountryCode": "string",
    					"CountryName": "string"
    				},
    				"IpAddressV4": "string",
    				"Geolocation": {
    					"Lat": number,
    					"Lon": number
    				},
    				"Organization": {
    					"Asn": number,
    					"AsnOrg": "string",
    					"Isp": "string",
    					"Org": "string"
    				}
    			},
    			"RemotePortDetails": {
    				"Port": number,
    				"PortName": "string"
    			}
    		},
    		"PortProbeAction": {
    			"Blocked": boolean,
    			"PortProbeDetails": [{
    				"LocalIpDetails": {
    					"IpAddressV4": "string"
    				},
    				"LocalPortDetails": {
    					"Port": number,
    					"PortName": "string"
    				},
    				"RemoteIpDetails": {
    					"City": {
    						"CityName": "string"
    					},
    					"Country": {
    						"CountryCode": "string",
    						"CountryName": "string"
    					},
    					"GeoLocation": {
    						"Lat": number,
    						"Lon": number
    					},
    					"IpAddressV4": "string",
    					"Organization": {
    						"Asn": number,
    						"AsnOrg": "string",
    						"Isp": "string",
    						"Org": "string"
    					}
    				}
    			}]
    		}
    	},
    	"AwsAccountId": "string",
    	"AwsAccountName": "string",
    	"CompanyName": "string",
    	"Compliance": {
    		"AssociatedStandards": [{
    			"StandardsId": "string"
    		}],
    		"RelatedRequirements": ["string"],
    		"SecurityControlId": "string",
    		"SecurityControlParameters": [
    			{
    				"Name": "string",
    				"Value": ["string"]
    			}
   		],
    		"Status": "string",
    		"StatusReasons": [
    			{
    				"Description": "string",
    				"ReasonCode": "string"
    			}
    		]
    	},
    	"Confidence": number,
    	"CreatedAt": "string",
    	"Criticality": number,
    	"Description": "string",
    	"Detection": {
    		"Sequence": {
    			"Uid": "string",
    			"Actors": [{
    				"Id": "string",
    				"Session": {
    					"Uid": "string",
    					"MfAStatus": "string",
    					"CreatedTime": "string",
    					"Issuer": "string"
    				},
    				"User": {
    					"CredentialUid": "string",
    					"Name": "string",
    					"Type": "string",
    					"Uid": "string",
    					"Account": {
    						"Uid": "string",
    						"Name": "string"
    					}
    				}
    			}],
    			"Endpoints": [{
    				"Id": "string",
    				"Ip": "string",
    				"Domain": "string",
    				"Port": number,
    				"Location": {
    					"City": "string",
    					"Country": "string",
    					"Lat": number,
    					"Lon": number
    				},
    				"AutonomousSystem": {
    					"Name": "string",
    					"Number": number
    				},
    				"Connection": {
    					"Direction": "string"
    				}
    			}],
    			"Signals": [{
    				"Id": "string",
    				"Title": "string",
    				"ActorIds": ["string"],
    				"Count": number,
    				"FirstSeenAt": number,
    				"SignalIndicators": [
    					{
    						"Key": "string",
    						"Title": "string",
    						"Values": ["string"]
    					},
    					{
    						"Key": "string",
    						"Title": "string",
    						"Values": ["string"]
    					}
    				],
    				"LastSeenAt": number,
    				"Name": "string",
    				"ResourceIds": ["string"],
    				"Type": "string"
    			}],
    			"SequenceIndicators": [
    				{
    					"Key": "string",
    					"Title": "string",
    					"Values": ["string"]
    				},
    				{
    					"Key": "string",
    					"Title": "string",
    					"Values": ["string"]
    				}
    			]
    		}
    	},
    	"FindingProviderFields": {
    		"Confidence": number,
    		"Criticality": number,
    		"RelatedFindings": [{
    			"ProductArn": "string",
    			"Id": "string"
    		}],
    		"Severity": {
    			"Label": "string",
    			"Normalized": number,
    			"Original": "string"
    		},
    		"Types": ["string"]
    	},
    	"FirstObservedAt": "string",
    	"GeneratorId": "string",
    	"Id": "string",
    	"LastObservedAt": "string",
    	"Malware": [{
    		"Name": "string",
    		"Path": "string",
    		"State": "string",
    		"Type": "string"
    	}],
    	"Network": {
    		"DestinationDomain": "string",
    		"DestinationIpV4": "string",
    		"DestinationIpV6": "string",
    		"DestinationPort": number,
    		"Direction": "string",
    		"OpenPortRange": {
    			"Begin": integer,
    			"End": integer
    		},
    		"Protocol": "string",
    		"SourceDomain": "string",
    		"SourceIpV4": "string",
    		"SourceIpV6": "string",
    		"SourceMac": "string",
    		"SourcePort": number
    	},
    	"NetworkPath": [{
    		"ComponentId": "string",
    		"ComponentType": "string",
    		"Egress": {
    			"Destination": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			},
    			"Protocol": "string",
    			"Source": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			}
    		},
    		"Ingress": {
    			"Destination": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			},
    			"Protocol": "string",
    			"Source": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			}
    		}
    	}],
    	"Note": {
    		"Text": "string",
    		"UpdatedAt": "string",
    		"UpdatedBy": "string"
    	},
    	"PatchSummary": {
    		"FailedCount": number,
    		"Id": "string",
    		"InstalledCount": number,
    		"InstalledOtherCount": number,
    		"InstalledPendingReboot": number,
    		"InstalledRejectedCount": number,
    		"MissingCount": number,
    		"Operation": "string",
    		"OperationEndTime": "string",
    		"OperationStartTime": "string",
    		"RebootOption": "string"
    	},
    	"Process": {
    		"LaunchedAt": "string",
    		"Name": "string",
    		"ParentPid": number,
    		"Path": "string",
    		"Pid": number,
    		"TerminatedAt": "string"
    	},
    	"ProductArn": "string",
    	"ProductFields": {
    		"string": "string"
    	},
    	"ProductName": "string",
    	"RecordState": "string",
    	"Region": "string",
    	"RelatedFindings": [{
    		"Id": "string",
    		"ProductArn": "string"
    	}],
    	"Remediation": {
    		"Recommendation": {
    			"Text": "string",
    			"Url": "string"
    		}
    	},
    	"Resources": [{
    		"ApplicationArn": "string",
    		"ApplicationName": "string",
    		"DataClassification": {
    			"DetailedResultsLocation": "string",
    			"Result": {
    				"AdditionalOccurrences": boolean,
    				"CustomDataIdentifiers": {
    					"Detections": [{
    						"Arn": "string",
    						"Count": integer,
    						"Name": "string",
    						"Occurrences": {
    							"Cells": [{
    								"CellReference": "string",
    								"Column": integer,
    								"ColumnName": "string",
    								"Row": integer
    							}],
    							"LineRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"OffsetRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"Pages": [{
    								"LineRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"OffsetRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"PageNumber": integer
    							}],
    							"Records": [{
    								"JsonPath": "string",
    								"RecordIndex": integer
    							}]
    						}
    					}],
    					"TotalCount": integer
    				},
    				"MimeType": "string",
    				"SensitiveData": [{
    					"Category": "string",
    					"Detections": [{
    						"Count": integer,
    						"Occurrences": {
    							"Cells": [{
    								"CellReference": "string",
    								"Column": integer,
    								"ColumnName": "string",
    								"Row": integer
    							}],
    							"LineRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"OffsetRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"Pages": [{
    								"LineRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"OffsetRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"PageNumber": integer
    							}],
    							"Records": [{
    								"JsonPath": "string",
    								"RecordIndex": integer
    							}]
    						},
    						"Type": "string"
    					}],
    					"TotalCount": integer
    				}],
    				"SizeClassified": integer,
    				"Status": {
    					"Code": "string",
    					"Reason": "string"
    				}
    			}
    		},
    		"Details": {
    			"AwsAmazonMQBroker": {
    				"AutoMinorVersionUpgrade": boolean,
    				"BrokerArn": "string",
    				"BrokerId": "string",
    				"BrokerName": "string",
    				"Configuration": {
    					"Id": "string",
    					"Revision": integer
    				},
    				"DeploymentMode": "string",
    				"EncryptionOptions": {
    					"UseAwsOwnedKey": boolean
    				},
    				"EngineType": "string",
    				"EngineVersion": "string",
    				"HostInstanceType": "string",
    				"Logs": {
    					"Audit": boolean,
    					"AuditLogGroup": "string",
    					"General": boolean,
    					"GeneralLogGroup": "string"
    				},
    				"MaintenanceWindowStartTime": {
    					"DayOfWeek": "string",
    					"TimeOfDay": "string",
    					"TimeZone": "string"
    				},
    				"PubliclyAccessible": boolean,
    				"SecurityGroups": [
    					"string"
    				],
    				"StorageType": "string",
    				"SubnetIds": [
    					"string",
    					"string"
    				],
    				"Users": [{
    					"Username": "string"
    				}]
    			},
    			"AwsApiGatewayRestApi": {
    				"ApiKeySource": "string",
    				"BinaryMediaTypes": [" string"],
    				"CreatedDate": "string",
    				"Description": "string",
    				"EndpointConfiguration": {
    					"Types": ["string"]
    				},
    				"Id": "string",
    				"MinimumCompressionSize": number,
    				"Name": "string",
    				"Version": "string"
    			},
    			"AwsApiGatewayStage": {
    				"AccessLogSettings": {
    					"DestinationArn": "string",
    					"Format": "string"
    				},
    				"CacheClusterEnabled": boolean,
    				"CacheClusterSize": "string",
    				"CacheClusterStatus": "string",
    				"CanarySettings": {
    					"DeploymentId": "string",
    					"PercentTraffic": number,
    					"StageVariableOverrides": [{
    						"string": "string"
    					}],
    					"UseStageCache": boolean
    				},
    				"ClientCertificateId": "string",
    				"CreatedDate": "string",
    				"DeploymentId": "string",
    				"Description": "string",
    				"DocumentationVersion": "string",
    				"LastUpdatedDate": "string",
    				"MethodSettings": [{
    					"CacheDataEncrypted": boolean,
    					"CachingEnabled": boolean,
    					"CacheTtlInSeconds": number,
    					"DataTraceEnabled": boolean,
    					"HttpMethod": "string",
    					"LoggingLevel": "string",
    					"MetricsEnabled": boolean,
    					"RequireAuthorizationForCacheControl": boolean,
    					"ResourcePath": "string",
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number,
    					"UnauthorizedCacheControlHeaderStrategy": "string"
    				}],
    				"StageName": "string",
    				"TracingEnabled": boolean,
    				"Variables": {
    					"string": "string"
    				},
    				"WebAclArn": "string"
    			},
    			"AwsApiGatewayV2Api": {
    				"ApiEndpoint": "string",
    				"ApiId": "string",
    				"ApiKeySelectionExpression": "string",
    				"CorsConfiguration": {
    					"AllowCredentials": boolean,
    					"AllowHeaders": ["string"],
    					"AllowMethods": ["string"],
    					"AllowOrigins": ["string"],
    					"ExposeHeaders": ["string"],
    					"MaxAge": number
    				},
    				"CreatedDate": "string",
    				"Description": "string",
    				"Name": "string",
    				"ProtocolType": "string",
    				"RouteSelectionExpression": "string",
    				"Version": "string"
    			},
    			"AwsApiGatewayV2Stage": {
    				"AccessLogSettings": {
    					"DestinationArn": "string",
    					"Format": "string"
    				},
    				"ApiGatewayManaged": boolean,
    				"AutoDeploy": boolean,
    				"ClientCertificateId": "string",
    				"CreatedDate": "string",
    				"DefaultRouteSettings": {
    					"DataTraceEnabled": boolean,
    					"DetailedMetricsEnabled": boolean,
    					"LoggingLevel": "string",
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number
    				},
    				"DeploymentId": "string",
    				"Description": "string",
    				"LastDeploymentStatusMessage": "string",
    				"LastUpdatedDate": "string",
    				"RouteSettings": {
    					"DetailedMetricsEnabled": boolean,
    					"LoggingLevel": "string",
    					"DataTraceEnabled": boolean,
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number
    				},
    				"StageName": "string",
    				"StageVariables": [{
    					"string": "string"
    				}]
    			},
    			"AwsAppSyncGraphQLApi": {
    				"AwsAppSyncGraphQlApi": {
    					"AdditionalAuthenticationProviders": [
    					{
    						"AuthenticationType": "string",
    						"LambdaAuthorizerConfig": {
    							"AuthorizerResultTtlInSeconds": integer,
    							"AuthorizerUri": "string"
    						}
    					},
    					{
    						"AuthenticationType": "string"
    					}
    					],
    					"ApiId": "string",
    					"Arn": "string",
    					"AuthenticationType": "string",
    					"Id": "string",
    					"LogConfig": {
    						"CloudWatchLogsRoleArn": "string",
    						"ExcludeVerboseContent": boolean,
    						"FieldLogLevel": "string"
    					},
    					"Name": "string",
    					"XrayEnabled": boolean
    				}
    			},
    			"AwsAthenaWorkGroup": {
    				"Description": "string",
    				"Name": "string",
    				"WorkgroupConfiguration": {
    					"ResultConfiguration": {
    						"EncryptionConfiguration": {
    							"EncryptionOption": "string",
    							"KmsKey": "string"
    						}
    					}
    				},
    				"State": "string"
    			},
    			"AwsAutoScalingAutoScalingGroup": {
    				"AvailabilityZones": [{
    					"Value": "string"
    				}],
    				"CreatedTime": "string",
    				"HealthCheckGracePeriod": integer,
    				"HealthCheckType": "string",
    				"LaunchConfigurationName": "string",
    				"LoadBalancerNames": ["string"],
    				"LaunchTemplate": {                            
                        "LaunchTemplateId": "string",
                        "LaunchTemplateName": "string",
                        "Version": "string"
                    },
    				"MixedInstancesPolicy": {
    					"InstancesDistribution": {
    						"OnDemandAllocationStrategy": "string",
    						"OnDemandBaseCapacity": number,
    						"OnDemandPercentageAboveBaseCapacity": number,
    						"SpotAllocationStrategy": "string",
    						"SpotInstancePools": number,
    						"SpotMaxPrice": "string"
    					},
    					"LaunchTemplate": {
    						"LaunchTemplateSpecification": {
    							"LaunchTemplateId": "string",
    							"LaunchTemplateName": "string",
    							"Version": "string"
    						},
    						"CapacityRebalance": boolean,
    						"Overrides": [{
    							"InstanceType": "string",
    							"WeightedCapacity": "string"
    						}]
    					}
    				}
    			},
    			"AwsAutoScalingLaunchConfiguration": {
    				"AssociatePublicIpAddress": boolean,
    				"BlockDeviceMappings": [{
    					"DeviceName": "string",
    					"Ebs": {
    						"DeleteOnTermination": boolean,
    						"Encrypted": boolean,
    						"Iops": number,
    						"SnapshotId": "string",
    						"VolumeSize": number,
    						"VolumeType": "string"
    					},
    					"NoDevice": boolean,
    					"VirtualName": "string"
    				}],
    				"ClassicLinkVpcId": "string",
    				"ClassicLinkVpcSecurityGroups": ["string"],
    				"CreatedTime": "string",
    				"EbsOptimized": boolean,
    				"IamInstanceProfile": "string"
    			},
    			"ImageId": "string",
    			"InstanceMonitoring": {
    				"Enabled": boolean
    			},
    			"InstanceType": "string",
    			"KernelId": "string",
    			"KeyName": "string",
    			"LaunchConfigurationName": "string",
    			"MetadataOptions": {
    				"HttpEndPoint": "string",
    				"HttpPutReponseHopLimit": number,
    				"HttpTokens": "string"
    			},
    			"PlacementTenancy": "string",
    			"RamdiskId": "string",
    			"SecurityGroups": ["string"],
    			"SpotPrice": "string",
    			"UserData": "string"
    		},
    		"AwsBackupBackupPlan": {
    			"BackupPlan": {
    				"AdvancedBackupSettings": [{
    					"BackupOptions": {
    						"WindowsVSS":"string"
    					},
    					"ResourceType":"string"
    				}],
    				"BackupPlanName": "string",
    				"BackupPlanRule": [{
    					"CompletionWindowMinutes": integer,
    					"CopyActions": [{
    						"DestinationBackupVaultArn": "string",
    						"Lifecycle": {
    							"DeleteAfterDays": integer,
    							"MoveToColdStorageAfterDays": integer
    						}
    					}],
    					"Lifecycle": {
    						"DeleteAfterDays": integer
    					},
    					"RuleName": "string",
    					"ScheduleExpression": "string",
    					"StartWindowMinutes": integer,
    					"TargetBackupVault": "string"
    				}]
    			},
    			"BackupPlanArn": "string",
    			"BackupPlanId": "string",
    			"VersionId": "string"
    	},
    		"AwsBackupBackupVault": {
    			"AccessPolicy": {
    				"Statement": [{
    					"Action": ["string"],
    					"Effect": "string",
    					"Principal": {
    						"AWS": "string"
    					},
    					"Resource": "string"
    				}],
    				"Version": "string"
    			},
    			"BackupVaultArn": "string",
    			"BackupVaultName": "string",
    			"EncryptionKeyArn": "string",
    			"Notifications": {
    				"BackupVaultEvents": ["string"],
    				"SNSTopicArn": "string"
    			}
    		},
    		"AwsBackupRecoveryPoint": {
    			"BackupSizeInBytes": integer,
    			"BackupVaultName": "string",
    			"BackupVaultArn": "string",
    			"CalculatedLifecycle": {
    				"DeleteAt": "string",
    				"MoveToColdStorageAt": "string"
    			},
    			"CompletionDate": "string",
    			"CreatedBy": {
    				"BackupPlanArn": "string",
    				"BackupPlanId": "string",
    				"BackupPlanVersion": "string",
    				"BackupRuleId": "string"
    			},
    			"CreationDate": "string",
    			"EncryptionKeyArn": "string",
    			"IamRoleArn": "string",
    			"IsEncrypted": boolean,
    			"LastRestoreTime": "string",
    			"Lifecycle": {
    				"DeleteAfterDays": integer,
    				"MoveToColdStorageAfterDays": integer
    			},
    			"RecoveryPointArn": "string",
    			"ResourceArn": "string",
    			"ResourceType": "string",
    			"SourceBackupVaultArn": "string",
    			"Status": "string",
    			"StatusMessage": "string",
    			"StorageClass": "string"
    		},
    		"AwsCertificateManagerCertificate": {
    			"CertificateAuthorityArn": "string",
    			"CreatedAt": "string",
    			"DomainName": "string",
    			"DomainValidationOptions": [{
    				"DomainName": "string",
    				"ResourceRecord": {
    					"Name": "string",
    					"Type": "string",
    					"Value": "string"
    				},
    				"ValidationDomain": "string",
    				"ValidationEmails": ["string"],
    				"ValidationMethod": "string",
    				"ValidationStatus": "string"
    			}],
    			"ExtendedKeyUsages": [{
    				"Name": "string",
    				"OId": "string"
    			}],
    			"FailureReason": "string",
    			"ImportedAt": "string",
    			"InUseBy": ["string"],
    			"IssuedAt": "string",
    			"Issuer": "string",
    			"KeyAlgorithm": "string",
    			"KeyUsages": [{
    				"Name": "string"
    			}],
    			"NotAfter": "string",
    			"NotBefore": "string",
    			"Options": {
    				"CertificateTransparencyLoggingPreference": "string"
    			},
    			"RenewalEligibility": "string",
    			"RenewalSummary": {
    				"DomainValidationOptions": [{
    					"DomainName": "string",
    					"ResourceRecord": {
    						"Name": "string",
    						"Type": "string",
    						"Value": "string"
    					},
    					"ValidationDomain": "string",
    					"ValidationEmails": ["string"],
    					"ValidationMethod": "string",
    					"ValidationStatus": "string"
    				}],
    				"RenewalStatus": "string",
    				"RenewalStatusReason": "string",
    				"UpdatedAt": "string"
    			},
    			"Serial": "string",
    			"SignatureAlgorithm": "string",
    			"Status": "string",
    			"Subject": "string",
    			"SubjectAlternativeNames": ["string"],
    			"Type": "string"
    		},
    		"AwsCloudFormationStack": {
    			"Capabilities": ["string"],
    			"CreationTime": "string",
    			"Description": "string",
    			"DisableRollback": boolean,
    			"DriftInformation": {
    				"StackDriftStatus": "string"
    			},
    			"EnableTerminationProtection": boolean,
    			"LastUpdatedTime": "string",
    			"NotificationArns": ["string"],
    			"Outputs": [{
    				"Description": "string",
    				"OutputKey": "string",
    				"OutputValue": "string"
    			}],
    			"RoleArn": "string",
    			"StackId": "string",
    			"StackName": "string",
    			"StackStatus": "string",
    			"StackStatusReason": "string",
    			"TimeoutInMinutes": number 
    		},
    		"AwsCloudFrontDistribution": {
    			"CacheBehaviors": {
    				"Items": [{
    					"ViewerProtocolPolicy": "string"
    				}]
    			},
    			"DefaultCacheBehavior": {
    				"ViewerProtocolPolicy": "string"
    			},
    			"DefaultRootObject": "string",
    			"DomainName": "string",
    			"Etag": "string",
    			"LastModifiedTime": "string",
    			"Logging": {
    				"Bucket": "string",
    				"Enabled": boolean,
    				"IncludeCookies": boolean,
    				"Prefix": "string"
    			},
    			"OriginGroups": {
    				"Items": [{
    					"FailoverCriteria": {
    						"StatusCodes": {
    							"Items": [number],
    							"Quantity": number
    						}
    					}
    				}]
    			},
    			"Origins": {
    				"Items": [{
    					"CustomOriginConfig": {
    						"HttpPort": number,
    						"HttpsPort": number,
    						"OriginKeepaliveTimeout": number,
    						"OriginProtocolPolicy": "string",
    						"OriginReadTimeout": number,
    						"OriginSslProtocols": {
    							"Items": ["string"],
    							"Quantity": number
    						} 
    					},		
    					"DomainName": "string",
    					"Id": "string",
    					"OriginPath": "string",
    					"S3OriginConfig": {
    						"OriginAccessIdentity": "string"
    					}
    				}]
    			},
    			"Status": "string",
    			"ViewerCertificate": {
    				"AcmCertificateArn": "string",
    				"Certificate": "string",
    				"CertificateSource": "string",
    				"CloudFrontDefaultCertificate": boolean,
    				"IamCertificateId": "string",
    				"MinimumProtocolVersion": "string",
    				"SslSupportMethod": "string"
    			},
    			"WebAclId": "string"
    		},
    		"AwsCloudTrailTrail": {
    			"CloudWatchLogsLogGroupArn": "string",
    			"CloudWatchLogsRoleArn": "string",
    			"HasCustomEventSelectors": boolean,
    			"HomeRegion": "string",
    			"IncludeGlobalServiceEvents": boolean,
    			"IsMultiRegionTrail": boolean,
    			"IsOrganizationTrail": boolean,
    			"KmsKeyId": "string",
    			"LogFileValidationEnabled": boolean,
    			"Name": "string",
    			"S3BucketName": "string",
    			"S3KeyPrefix": "string",
    			"SnsTopicArn": "string",
    			"SnsTopicName": "string",
    			"TrailArn": "string"
    		},
    		"AwsCloudWatchAlarm": {
    			"ActionsEnabled": boolean,
    			"AlarmActions": ["string"],
    			"AlarmArn": "string",
    			"AlarmConfigurationUpdatedTimestamp": "string",
    			"AlarmDescription": "string",
    			"AlarmName": "string",
    			"ComparisonOperator": "string",
    			"DatapointsToAlarm": number,
    			"Dimensions": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"EvaluateLowSampleCountPercentile": "string",
    			"EvaluationPeriods": number,
    			"ExtendedStatistic": "string",
    			"InsufficientDataActions": ["string"],
    			"MetricName": "string",
    			"Namespace": "string",
    			"OkActions": ["string"],
    			"Period": number,
    			"Statistic": "string",
    			"Threshold": number,
    			"ThresholdMetricId": "string",
    			"TreatMissingData": "string",
    			"Unit": "string"
    		},
    		"AwsCodeBuildProject": {
    			"Artifacts": [{
    				"ArtifactIdentifier": "string",
    				"EncryptionDisabled": boolean,
    				"Location": "string",
    				"Name": "string",
    				"NamespaceType": "string",
    				"OverrideArtifactName": boolean,
    				"Packaging": "string",
    				"Path": "string",
    				"Type": "string"
    			}],
    			"SecondaryArtifacts": [{
                    "ArtifactIdentifier": "string",
                    "Type": "string",
                    "Location": "string",
                    "Name": "string",
                    "NamespaceType": "string",
                    "Packaging": "string",
                    "Path": "string",
                    "EncryptionDisabled": boolean,
                    "OverrideArtifactName": boolean
                }],
    			"EncryptionKey": "string",
    			"Certificate": "string",
    			"Environment": {
    				"Certificate": "string",
    				"EnvironmentVariables": [{
    					"Name": "string",
    					"Type": "string",
    					"Value": "string"
    				}],
    				"ImagePullCredentialsType": "string",
    				"PrivilegedMode": boolean,
    				"RegistryCredential": {
    					"Credential": "string",
    					"CredentialProvider": "string"
    				},
    				"Type": "string"
    			},
    			"LogsConfig": {
    				"CloudWatchLogs": {
    					"GroupName": "string",
    					"Status": "string",
    					"StreamName": "string"
    				},
    				"S3Logs": {
    					"EncryptionDisabled": boolean,
    					"Location": "string",
    					"Status": "string"
    				}
    			},
    			"Name": "string",
    			"ServiceRole": "string",
    			"Source": {
    				"Type": "string",
    				"Location": "string",
    				"GitCloneDepth": integer
    			},
    			"VpcConfig": {
    				"VpcId": "string",
    				"Subnets": ["string"],
    				"SecurityGroupIds": ["string"]
    			}
    		},
    		"AwsDmsEndpoint": {
    			"CertificateArn": "string",
    			"DatabaseName": "string",
    			"EndpointArn": "string",
    			"EndpointIdentifier": "string",
    			"EndpointType": "string", 
    			"EngineName": "string",
    			"KmsKeyId": "string",
    			"Port": integer,
    			"ServerName": "string",
    			"SslMode": "string",
    			"Username": "string"
    		},
    		"AwsDmsReplicationInstance": {
    			"AllocatedStorage": integer,
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZone": "string",
    			"EngineVersion": "string",
    			"KmsKeyId": "string",
    			"MultiAZ": boolean,
    			"PreferredMaintenanceWindow": "string",
    			"PubliclyAccessible": boolean,
    			"ReplicationInstanceClass": "string",
    			"ReplicationInstanceIdentifier": "string",
    			"ReplicationSubnetGroup": {
        			"ReplicationSubnetGroupIdentifier": "string"
    			},
    			"VpcSecurityGroups": [
        			{
            			"VpcSecurityGroupId": "string"
        			}
    			]
    		},
    		"AwsDmsReplicationTask": {
    			"CdcStartPosition": "string",
    			"Id": "string",
    			"MigrationType": "string",
    			"ReplicationInstanceArn": "string",
    			"ReplicationTaskIdentifier": "string",
    			"ReplicationTaskSettings": {
    				"string": "string"
    			},
    			"SourceEndpointArn": "string",
    			"TableMappings": {
    				"string": "string"
    			},
    			"TargetEndpointArn": "string"
    		},
    		"AwsDynamoDbTable": {
    			"AttributeDefinitions": [{
    				"AttributeName": "string",
    				"AttributeType": "string"
    			}],
    			"BillingModeSummary": {
    				"BillingMode": "string",
    				"LastUpdateToPayPerRequestDateTime": "string"
    			},
    			"CreationDateTime": "string",
    			"DeletionProtectionEnabled": boolean,
    			"GlobalSecondaryIndexes": [{
    				"Backfilling": boolean,
    				"IndexArn": "string",
    				"IndexName": "string",
    				"IndexSizeBytes": number,
    				"IndexStatus": "string",
    				"ItemCount": number,
    				"KeySchema": [{
    					"AttributeName": "string",
    					"KeyType": "string"
    				}],
    				"Projection": {
    					"NonKeyAttributes": ["string"],
    					"ProjectionType": "string"
    				},
    				"ProvisionedThroughput": {
    					"LastDecreaseDateTime": "string",
    					"LastIncreaseDateTime": "string",
    					"NumberOfDecreasesToday": number,
    					"ReadCapacityUnits": number,
    					"WriteCapacityUnits": number
    				}
    			}],
    			"GlobalTableVersion": "string",
    			"ItemCount": number,
    			"KeySchema": [{
    				"AttributeName": "string",
    				"KeyType": "string"
    			}],
    			"LatestStreamArn": "string",
    			"LatestStreamLabel": "string",
    			"LocalSecondaryIndexes": [{
    				"IndexArn": "string",
    				"IndexName": "string",
    				"KeySchema": [{
    					"AttributeName": "string",
    					"KeyType": "string"
    				}],
    				"Projection": {
    					"NonKeyAttributes": ["string"],
    					"ProjectionType": "string"
    				}
    			}],
    			"ProvisionedThroughput": {
    				"LastDecreaseDateTime": "string",
    				"LastIncreaseDateTime": "string",
    				"NumberOfDecreasesToday": number,
    				"ReadCapacityUnits": number,
    				"WriteCapacityUnits": number
    			},
    			"Replicas": [{
    				"GlobalSecondaryIndexes": [{
    					"IndexName": "string",
    					"ProvisionedThroughputOverride": {
    						"ReadCapacityUnits": number
    					}
    				}],
    				"KmsMasterKeyId": "string",
    				"ProvisionedThroughputOverride": {
    					"ReadCapacityUnits": number
    				},
    				"RegionName": "string",
    				"ReplicaStatus": "string",
    				"ReplicaStatusDescription": "string"
    			}],
    			"RestoreSummary": {
    				"RestoreDateTime": "string",
    				"RestoreInProgress": boolean,
    				"SourceBackupArn": "string",
    				"SourceTableArn": "string"
    			},
    			"SseDescription": {
    				"InaccessibleEncryptionDateTime": "string",
    				"KmsMasterKeyArn": "string",
    				"SseType": "string",
    				"Status": "string"
    			},
    			"StreamSpecification": {
    				"StreamEnabled": boolean,
    				"StreamViewType": "string"
    			},
    			"TableId": "string",
    			"TableName": "string",
    			"TableSizeBytes": number,
    			"TableStatus": "string"
    		},
    		"AwsEc2ClientVpnEndpoint": {
    			"AuthenticationOptions": [
    				{
    					"MutualAuthentication": {
    						"ClientRootCertificateChainArn": "string"
    					},
    					"Type": "string"
    				}
    			],
    			"ClientCidrBlock": "string",
    			"ClientConnectOptions": {
    				"Enabled": boolean
    			},
    			"ClientLoginBannerOptions": {
    				"Enabled": boolean
    			},
    			"ClientVpnEndpointId": "string",
    			"ConnectionLogOptions": {
    				"Enabled": boolean
    			},
    			"Description": "string",
    			"DnsServer": ["string"],
    			"ServerCertificateArn": "string",
    			"SecurityGroupIdSet": [
    				"string"
    			],
    			"SelfServicePortalUrl": "string",
    			"SessionTimeoutHours": "integer",
    			"SplitTunnel": boolean,
    			"TransportProtocol": "string",
    			"VpcId": "string",
    			"VpnPort": integer
    		},
    		"AwsEc2Eip": {
    			"AllocationId": "string",
    			"AssociationId": "string",
    			"Domain": "string",
    			"InstanceId": "string",
    			"NetworkBorderGroup": "string",
    			"NetworkInterfaceId": "string",
    			"NetworkInterfaceOwnerId": "string",
    			"PrivateIpAddress": "string",
    			"PublicIp": "string",
    			"PublicIpv4Pool": "string"
    		},
    		"AwsEc2Instance": {
    			"IamInstanceProfileArn": "string",
    			"ImageId": "string",
    			"IpV4Addresses": ["string"],
    			"IpV6Addresses": ["string"],
    			"KeyName": "string",
    			"LaunchedAt": "string",
    			"MetadataOptions": {
    				"HttpEndpoint": "string",
    				"HttpProtocolIpv6": "string",
    				"HttpPutResponseHopLimit": number,
    				"HttpTokens": "string",
    				"InstanceMetadataTags": "string"
    			},
    			"Monitoring": {
    				"State": "string"
    			},
    			"NetworkInterfaces": [{                
    				"NetworkInterfaceId": "string"
    			}],
    			"SubnetId": "string",
    			"Type": "string",    			
    			"VirtualizationType": "string",
    			"VpcId": "string"
    		},   
    		"AwsEc2LaunchTemplate": {
    			"DefaultVersionNumber": "string",
    			"ElasticGpuSpecifications": ["string"],
    			"ElasticInferenceAccelerators": ["string"],
    			"Id": "string",
    			"ImageId": "string",
    			"LatestVersionNumber": "string",
    			"LaunchTemplateData": {
    				"BlockDeviceMappings": [{
    					"DeviceName": "string",
    					"Ebs": {
    						"DeleteonTermination": boolean,
    						"Encrypted": boolean,
    						"SnapshotId": "string",
    						"VolumeSize": number,
    						"VolumeType": "string"
    					}
    				}],
    				"MetadataOptions": {
    					"HttpTokens": "string",
    					"HttpPutResponseHopLimit" : number
    				},
    				"Monitoring": {
    					"Enabled": boolean
    				},
    				"NetworkInterfaces": [{
    					"AssociatePublicIpAddress" : boolean
    				}]
    			},
    			"LaunchTemplateName": "string",
    			"LicenseSpecifications": ["string"],
    			"SecurityGroupIds": ["string"],
    			"SecurityGroups": ["string"],
    			"TagSpecifications": ["string"]
    		},
    		"AwsEc2NetworkAcl": {
    			"Associations": [{
    				"NetworkAclAssociationId": "string",
    				"NetworkAclId": "string",
    				"SubnetId": "string"
    			}],
    			"Entries": [{
    				"CidrBlock": "string",
    				"Egress": boolean,
    				"IcmpTypeCode": {
    					"Code": number,
    					"Type": number
    				},
    				"Ipv6CidrBlock": "string",
    				"PortRange": {
    					"From": number,
    					"To": number
    				},
    				"Protocol": "string",
    				"RuleAction": "string",
    				"RuleNumber": number
    			}],
    			"IsDefault": boolean,
    			"NetworkAclId": "string",
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2NetworkInterface": {
    			"Attachment": {
    				"AttachmentId": "string",
    				"AttachTime": "string",
    				"DeleteOnTermination": boolean,
    				"DeviceIndex": number,
    				"InstanceId": "string",
    				"InstanceOwnerId": "string",
    				"Status": "string"
    			},
    			"Ipv6Addresses": [{
    				"Ipv6Address": "string"
    			}],
    			"NetworkInterfaceId": "string",
    			"PrivateIpAddresses": [{
    				"PrivateDnsName": "string",
    				"PrivateIpAddress": "string"
    			}],
    			"PublicDnsName": "string",
    			"PublicIp": "string",
    			"SecurityGroups": [{
    				"GroupId": "string",
    				"GroupName": "string"
    			}],
    			"SourceDestCheck": boolean
    		},
    		"AwsEc2RouteTable": {
    			"AssociationSet": [{
    				"AssociationState": {
    					"State": "string"
    				},
    				"Main": boolean,
    				"RouteTableAssociationId": "string",
    				"RouteTableId": "string"
    			}],
    			"PropogatingVgwSet": [],
    			"RouteTableId": "string",
    			"RouteSet": [
    				{
    					"DestinationCidrBlock": "string",
    					"GatewayId": "string",
    					"Origin": "string",
    					"State": "string"
    				},
    				{
    					"DestinationCidrBlock": "string",
    					"GatewayId": "string",
    					"Origin": "string",
    					"State": "string"
    				}
    			],
    			"VpcId": "string"
    		},
    		"AwsEc2SecurityGroup": {
    			"GroupId": "string",
    			"GroupName": "string",
    			"IpPermissions": [{
    				"FromPort": number,
    				"IpProtocol": "string",
    				"IpRanges": [{
    					"CidrIp": "string"
    				}],
    				"Ipv6Ranges": [{
    					"CidrIpv6": "string"
    				}],
    				"PrefixListIds": [{
    					"PrefixListId": "string"
    				}],
    				"ToPort": number,
    				"UserIdGroupPairs": [{
    					"GroupId": "string",
    					"GroupName": "string",
    					"PeeringStatus": "string",
    					"UserId": "string",
    					"VpcId": "string",
    					"VpcPeeringConnectionId": "string"
    				}]
    			}],
    			"IpPermissionsEgress": [{
    				"FromPort": number,
    				"IpProtocol": "string",
    				"IpRanges": [{
    					"CidrIp": "string"
    				}],
    				"Ipv6Ranges": [{
    					"CidrIpv6": "string"
    				}],
    				"PrefixListIds": [{
    					"PrefixListId": "string"
    				}],
    				"ToPort": number,
    				"UserIdGroupPairs": [{
    					"GroupId": "string",
    					"GroupName": "string",
    					"PeeringStatus": "string",
    					"UserId": "string",
    					"VpcId": "string",
    					"VpcPeeringConnectionId": "string"
    				}]
    			}],
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2Subnet": {
    			"AssignIpv6AddressOnCreation": boolean,
    			"AvailabilityZone": "string",
    			"AvailabilityZoneId": "string",
    			"AvailableIpAddressCount": number,
    			"CidrBlock": "string",
    			"DefaultForAz": boolean,
    			"Ipv6CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"Ipv6CidrBlock": "string",
    				"CidrBlockState": "string"
    			}],
    			"MapPublicIpOnLaunch": boolean,
    			"OwnerId": "string",
    			"State": "string",
    			"SubnetArn": "string",
    			"SubnetId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2TransitGateway": {
    			"AmazonSideAsn": number,
    			"AssociationDefaultRouteTableId": "string",
    			"AutoAcceptSharedAttachments": "string",
    			"DefaultRouteTableAssociation": "string",
    			"DefaultRouteTablePropagation": "string",
    			"Description": "string",
    			"DnsSupport": "string",
    			"Id": "string",
    			"MulticastSupport": "string",
    			"PropagationDefaultRouteTableId": "string",
    			"TransitGatewayCidrBlocks": ["string"],
    			"VpnEcmpSupport": "string"
    		},
    		"AwsEc2Volume": {
    			"Attachments": [{
    				"AttachTime": "string",
    				"DeleteOnTermination": boolean,
    				"InstanceId": "string",
    				"Status": "string"
    			}],
    			"CreateTime": "string",
    			"DeviceName": "string",
    			"Encrypted": boolean,
    			"KmsKeyId": "string",
    			"Size": number,
    			"SnapshotId": "string",
    			"Status": "string",
    			"VolumeId": "string",
    			"VolumeScanStatus": "string",
    			"VolumeType": "string"
    		},
    		"AwsEc2Vpc": {
    			"CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"CidrBlock": "string",
    				"CidrBlockState": "string"
    			}],
    			"DhcpOptionsId": "string",
    			"Ipv6CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"CidrBlockState": "string",
    				"Ipv6CidrBlock": "string"
    			}],
    			"State": "string"
    		},
    		"AwsEc2VpcEndpointService": {
    			"AcceptanceRequired": boolean,
    			"AvailabilityZones": ["string"],
    			"BaseEndpointDnsNames": ["string"],
    			"ManagesVpcEndpoints": boolean,
    			"GatewayLoadBalancerArns": ["string"],
    			"NetworkLoadBalancerArns": ["string"],
    			"PrivateDnsName": "string",
    			"ServiceId": "string",
    			"ServiceName": "string",
    			"ServiceState": "string",
    			"ServiceType": [{
    				"ServiceType": "string"
    			}]
    		},
    		"AwsEc2VpcPeeringConnection": {
    			"AccepterVpcInfo": {
    				"CidrBlock": "string",
    				"CidrBlockSet": [{
    					"CidrBlock": "string"
    				}],
    				"Ipv6CidrBlockSet": [{
    					"Ipv6CidrBlock": "string"
    				}],
    				"OwnerId": "string",
    				"PeeringOptions": {
    					"AllowDnsResolutionFromRemoteVpc": boolean,
    					"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
    					"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
    				},
    				"Region": "string",
    				"VpcId": "string"
    			},
    			"ExpirationTime": "string",
    			"RequesterVpcInfo": {
    				"CidrBlock": "string",
    				"CidrBlockSet": [{
    					"CidrBlock": "string"
    				}],
    				"Ipv6CidrBlockSet": [{
    					"Ipv6CidrBlock": "string"
    				}],
    				"OwnerId": "string",
    				"PeeringOptions": {
    					"AllowDnsResolutionFromRemoteVpc": boolean,
    					"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
    					"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
    				},
    				"Region": "string",
    				"VpcId": "string"
    			},
    			"Status": {
    				"Code": "string",
    				"Message": "string"
    			},
    			"VpcPeeringConnectionId": "string"
    		},
    		"AwsEcrContainerImage": {
    			"Architecture": "string",
    			"ImageDigest": "string",
    			"ImagePublishedAt": "string",
    			"ImageTags": ["string"],
    			"RegistryId": "string",
    			"RepositoryName": "string"
    		},
    		"AwsEcrRepository": {
    			"Arn": "string",
    			"ImageScanningConfiguration": {
    				"ScanOnPush": boolean
    			},
    			"ImageTagMutability": "string",
    			"LifecyclePolicy": {
    				"LifecyclePolicyText": "string",
    				"RegistryId": "string"
    			},
    			"RepositoryName": "string",
    			"RepositoryPolicyText": "string"
    		},
    		"AwsEcsCluster": {
    			"ActiveServicesCount": number,
    			"CapacityProviders": ["string"],
    			"ClusterArn": "string",
    			"ClusterName": "string",
    			"ClusterSettings": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"Configuration": {
    				"ExecuteCommandConfiguration": {
    					"KmsKeyId": "string",
    					"LogConfiguration": {
    						"CloudWatchEncryptionEnabled": boolean,
    						"CloudWatchLogGroupName": "string",
    						"S3BucketName": "string",
    						"S3EncryptionEnabled": boolean,
    						"S3KeyPrefix": "string"
    					},
    					"Logging": "string"
    				}
    			},
    			"DefaultCapacityProviderStrategy": [{
    				"Base": number,
    				"CapacityProvider": "string",
    				"Weight": number
    			}],
    			"RegisteredContainerInstancesCount": number,
    			"RunningTasksCount": number,
    			"Status": "string"
    		},
    		"AwsEcsContainer": {
    			"Image": "string",
    			"MountPoints": [{
    				"ContainerPath": "string",
    				"SourceVolume": "string"
    			}],
    			"Name": "string",
    			"Privileged": boolean
    		},
    		"AwsEcsService": {
    			"CapacityProviderStrategy": [{
    				"Base": number,
    				"CapacityProvider": "string",
    				"Weight": number
    			}],
    			"Cluster": "string",
    			"DeploymentConfiguration": {
    				"DeploymentCircuitBreaker": {
    					"Enable": boolean,
    					"Rollback": boolean
    				},
    				"MaximumPercent": number,
    				"MinimumHealthyPercent": number
    			},
    			"DeploymentController": {
    				"Type": "string"
    			},
    			"DesiredCount": number,
    			"EnableEcsManagedTags": boolean,
    			"EnableExecuteCommand": boolean,
    			"HealthCheckGracePeriodSeconds": number,
    			"LaunchType": "string",
    			"LoadBalancers": [{
    				"ContainerName": "string",
    				"ContainerPort": number,
    				"LoadBalancerName": "string",
    				"TargetGroupArn": "string"
    			}],
    			"Name": "string",
    			"NetworkConfiguration": {
    				"AwsVpcConfiguration": {
    					"AssignPublicIp": "string",
    					"SecurityGroups": ["string"],
    					"Subnets": ["string"]
    				}
    			},
    			"PlacementConstraints": [{
    				"Expression": "string",
    				"Type": "string"
    			}],
    			"PlacementStrategies": [{
    				"Field": "string",
    				"Type": "string"
    			}],
    			"PlatformVersion": "string",
    			"PropagateTags": "string",
    			"Role": "string",
    			"SchedulingStrategy": "string",
    			"ServiceArn": "string",
    			"ServiceName": "string",
    			"ServiceRegistries": [{
    				"ContainerName": "string",
    				"ContainerPort": number,
    				"Port": number,
    				"RegistryArn": "string"
    			}],
    			"TaskDefinition": "string"
    		},
    		"AwsEcsTask": {
    			"CreatedAt": "string",
    			"ClusterArn": "string",
    			"Group": "string",
    			"StartedAt": "string",
    			"StartedBy": "string",
    			"TaskDefinitionArn": "string",
    			"Version": number,
    			"Volumes": [{
    				"Name": "string",
    				"Host": {
    					"SourcePath": "string"
    				}
    			}],
    			"Containers": [{
    				"Image": "string",
    				"MountPoints": [{
    					"ContainerPath": "string",
    					"SourceVolume": "string"
    				}],
    				"Name": "string",
    				"Privileged": boolean
    			}]
    		},
    		"AwsEcsTaskDefinition": {
    			"ContainerDefinitions": [{
    				"Command": ["string"],
    				"Cpu": number,
    				"DependsOn": [{
    					"Condition": "string",
    					"ContainerName": "string"
    				}],
    				"DisableNetworking": boolean,
    				"DnsSearchDomains": ["string"],
    				"DnsServers": ["string"],
    				"DockerLabels": {
    					"string": "string"
    				},
    				"DockerSecurityOptions": ["string"],
    				"EntryPoint": ["string"],
    				"Environment": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"EnvironmentFiles": [{
    					"Type": "string",
    					"Value": "string"
    				}],
    				"Essential": boolean,
    				"ExtraHosts": [{
    					"Hostname": "string",
    					"IpAddress": "string"
    				}],
    				"FirelensConfiguration": {
    					"Options": {
    						"string": "string"
    					},
    					"Type": "string"
    				},
    				"HealthCheck": {
    					"Command": ["string"],
    					"Interval": number,
    					"Retries": number,
    					"StartPeriod": number,
    					"Timeout": number
    				},
    				"Hostname": "string",
    				"Image": "string",
    				"Interactive": boolean,
    				"Links": ["string"],
    				"LinuxParameters": {
    					"Capabilities": {
    						"Add": ["string"],
    						"Drop": ["string"]
    					},
    					"Devices": [{
    						"ContainerPath": "string",
    						"HostPath": "string",
    						"Permissions": ["string"]
    					}],
    					"InitProcessEnabled": boolean,
    					"MaxSwap": number,
    					"SharedMemorySize": number,
    					"Swappiness": number,
    					"Tmpfs": [{
    						"ContainerPath": "string",
    						"MountOptions": ["string"],
    						"Size": number
    					}]
    				},
    				"LogConfiguration": {
    					"LogDriver": "string",
    					"Options": {
    						"string": "string"
    					},
    					"SecretOptions": [{
    						"Name": "string",
    						"ValueFrom": "string"
    					}]
    				},
    				"Memory": number,
    				"MemoryReservation": number,
    				"MountPoints": [{
    					"ContainerPath": "string",
    					"ReadOnly": boolean,
    					"SourceVolume": "string"
    				}],
    				"Name": "string",
    				"PortMappings": [{
    					"ContainerPort": number,
    					"HostPort": number,
    					"Protocol": "string"
    				}],
    				"Privileged": boolean,
    				"PseudoTerminal": boolean,
    				"ReadonlyRootFilesystem": boolean,
    				"RepositoryCredentials": {
    					"CredentialsParameter": "string"
    				},
    				"ResourceRequirements": [{
    					"Type": "string",
    					"Value": "string"
    				}],
    				"Secrets": [{
    					"Name": "string",
    					"ValueFrom": "string"
    				}],
    				"StartTimeout": number,
    				"StopTimeout": number,
    				"SystemControls": [{
    					"Namespace": "string",
    					"Value": "string"
    				}],
    				"Ulimits": [{
    					"HardLimit": number,
    					"Name": "string",
    					"SoftLimit": number
    				}],
    				"User": "string",
    				"VolumesFrom": [{
    					"ReadOnly": boolean,
    					"SourceContainer": "string"
    				}],
    				"WorkingDirectory": "string"
    			}],
    			"Cpu": "string",
    			"ExecutionRoleArn": "string",
    			"Family": "string",
    			"InferenceAccelerators": [{
    				"DeviceName": "string",
    				"DeviceType": "string"
    			}],
    			"IpcMode": "string",
    			"Memory": "string",
    			"NetworkMode": "string",
    			"PidMode": "string",
    			"PlacementConstraints": [{
    				"Expression": "string",
    				"Type": "string"
    			}],
    			"ProxyConfiguration": {
    				"ContainerName": "string",
    				"ProxyConfigurationProperties": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"Type": "string"
    			},
    			"RequiresCompatibilities": ["string"],
    			"Status": "string",
    			"TaskRoleArn": "string",
    			"Volumes": [{
    				"DockerVolumeConfiguration": {
    					"Autoprovision": boolean,
    					"Driver": "string",
    					"DriverOpts": {
    						"string": "string"
    					},
    					"Labels": {
    						"string": "string"
    					},
    					"Scope": "string"
    				},
    				"EfsVolumeConfiguration": {
    					"AuthorizationConfig": {
    						"AccessPointId": "string",
    						"Iam": "string"
    					},
    					"FilesystemId": "string",
    					"RootDirectory": "string",
    					"TransitEncryption": "string",
    					"TransitEncryptionPort": number
    				},
    				"Host": {
    					"SourcePath": "string"
    				},
    				"Name": "string"
    			}]
    		},
    		"AwsEfsAccessPoint": {
    			"AccessPointId": "string",
    			"Arn": "string",
    			"ClientToken": "string",
    			"FileSystemId": "string",
    			"PosixUser": {
    				"Gid": "string",
    				"SecondaryGids": ["string"],
    				"Uid": "string"
    			},
    			"RootDirectory": {
    				"CreationInfo": {
    					"OwnerGid": "string",
    					"OwnerUid": "string",
    					"Permissions": "string"
    				},
    				"Path": "string"
    			}
    		},
    		"AwsEksCluster": {
    			"Arn": "string",
    			"CertificateAuthorityData": "string",
    			"ClusterStatus": "string",
    			"Endpoint": "string",
    			"Logging": {
    				"ClusterLogging": [{
    					"Enabled": boolean,
    					"Types": ["string"]
    				}]
    			},
    			"Name": "string",
    			"ResourcesVpcConfig": {
    				"EndpointPublicAccess": boolean,
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			},
    			"RoleArn": "string",
    			"Version": "string"
    		},
    		"AwsElasticBeanstalkEnvironment": {
    			"ApplicationName": "string",
    			"Cname": "string",
    			"DateCreated": "string",
    			"DateUpdated": "string",
    			"Description": "string",
    			"EndpointUrl": "string",
    			"EnvironmentArn": "string",
    			"EnvironmentId": "string",
    			"EnvironmentLinks": [{
    				"EnvironmentName": "string",
    				"LinkName": "string"
    			}],
    			"EnvironmentName": "string",
    			"OptionSettings": [{
    				"Namespace": "string",
    				"OptionName": "string",
    				"ResourceName": "string",
    				"Value": "string"
    			}],
    			"PlatformArn": "string",
    			"SolutionStackName": "string",
    			"Status": "string",
    			"Tier": {
    				"Name": "string",
    				"Type": "string",
    				"Version": "string"
    			},
    			"VersionLabel": "string"
    		},
    		"AwsElasticSearchDomain": {
    			"AccessPolicies": "string",
    			"DomainStatus": {
    				"DomainId": "string",
    				"DomainName": "string",
    				"Endpoint": "string",
    				"Endpoints": {
    					"string": "string"
    				}
    			},
    			"DomainEndpointOptions": {
    				"EnforceHTTPS": boolean,
    				"TLSSecurityPolicy": "string"
    			},
    			"ElasticsearchClusterConfig": {
    				"DedicatedMasterCount": number,
    				"DedicatedMasterEnabled": boolean,
    				"DedicatedMasterType": "string",
    				"InstanceCount": number,
    				"InstanceType": "string",
    				"ZoneAwarenessConfig": {
    					"AvailabilityZoneCount": number
    				},
    				"ZoneAwarenessEnabled": boolean
    			},
    			"ElasticsearchVersion": "string",
    			"EncryptionAtRestOptions": {
    				"Enabled": boolean,
    				"KmsKeyId": "string"
    			},
    			"LogPublishingOptions": {
    				"AuditLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"IndexSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"SearchSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				}
    			},
    			"NodeToNodeEncryptionOptions": {
    				"Enabled": boolean
    			},
    			"ServiceSoftwareOptions": {
    				"AutomatedUpdateDate": "string",
    				"Cancellable": boolean,
    				"CurrentVersion": "string",
    				"Description": "string",
    				"NewVersion": "string",
    				"UpdateAvailable": boolean,
    				"UpdateStatus": "string"
    			},
    			"VPCOptions": {
    				"AvailabilityZones": [
    					"string"
    				],
    				"SecurityGroupIds": [
    					"string"
    				],
    				"SubnetIds": [
    					"string"
    				],
    				"VPCId": "string"
    			}
    		},
    		"AwsElbLoadBalancer": {
    			"AvailabilityZones": ["string"],
    			"BackendServerDescriptions": [{
    				"InstancePort": number,
    				"PolicyNames": ["string"]
    			}],
    			"CanonicalHostedZoneName": "string",
    			"CanonicalHostedZoneNameID": "string",
    			"CreatedTime": "string",
    			"DnsName": "string",
    			"HealthCheck": {
    				"HealthyThreshold": number,
    				"Interval": number,
    				"Target": "string",
    				"Timeout": number,
    				"UnhealthyThreshold": number
    			},
    			"Instances": [{
    				"InstanceId": "string"
    			}],
    			"ListenerDescriptions": [{
    				"Listener": {
    					"InstancePort": number,
    					"InstanceProtocol": "string",
    					"LoadBalancerPort": number,
    					"Protocol": "string",
    					"SslCertificateId": "string"
    				},
    				"PolicyNames": ["string"]
    			}],
    			"LoadBalancerAttributes": {
    				"AccessLog": {
    					"EmitInterval": number,
    					"Enabled": boolean,
    					"S3BucketName": "string",
    					"S3BucketPrefix": "string"
    				},
    				"ConnectionDraining": {
    					"Enabled": boolean,
    					"Timeout": number
    				},
    				"ConnectionSettings": {
    					"IdleTimeout": number
    				},
    				"CrossZoneLoadBalancing": {
    					"Enabled": boolean
    				},
    				"AdditionalAttributes": [{
                        "Key": "string",
                        "Value": "string"
                    }]
    			},
    			"LoadBalancerName": "string",
    			"Policies": {
    				"AppCookieStickinessPolicies": [{
    					"CookieName": "string",
    					"PolicyName": "string"
    				}],
    				"LbCookieStickinessPolicies": [{
    					"CookieExpirationPeriod": number,
    					"PolicyName": "string"
    				}],
    				"OtherPolicies": ["string"]
    			},
    			"Scheme": "string",
    			"SecurityGroups": ["string"],
    			"SourceSecurityGroup": {
    				"GroupName": "string",
    				"OwnerAlias": "string"
    			},
    			"Subnets": ["string"],
    			"VpcId": "string"
    		},
    		"AwsElbv2LoadBalancer": {
    			"AvailabilityZones": {
    				"SubnetId": "string",
    				"ZoneName": "string"
    			},
    			"CanonicalHostedZoneId": "string",
    			"CreatedTime": "string",
    			"DNSName": "string",
    			"IpAddressType": "string",
    			"LoadBalancerAttributes": [{
    				"Key": "string",
    				"Value": "string"
    			}],
    			"Scheme": "string",
    			"SecurityGroups": ["string"],
    			"State": {
    				"Code": "string",
    				"Reason": "string"
    			},
    			"Type": "string",
    			"VpcId": "string"
    		},
    		"AwsEventSchemasRegistry": {
    			"Description": "string",
    			"RegistryArn": "string",
    			"RegistryName": "string"
    		},
    		"AwsEventsEndpoint": {
    			"Arn": "string",
    			"Description": "string",
    			"EndpointId": "string",
    			"EndpointUrl": "string",
    			"EventBuses": [
        			{
            			"EventBusArn": "string"
        			},
        			{
            			"EventBusArn": "string"
        			}
    			],
    			"Name": "string",
    			"ReplicationConfig": {
        			"State": "string"
    			},
    			"RoleArn": "string",
    			"RoutingConfig": {
        			"FailoverConfig": {
            			"Primary": {
                			"HealthCheck": "string"
            			},
            			"Secondary": {
                			"Route": "string"
            			}
        			}
    			},
    			"State": "string"
    		},
    		"AwsEventsEventBus": {
    			"Arn": "string",
    			"Name": "string",
    			"Policy": "string"
    		},
    		"AwsGuardDutyDetector": {
    			"FindingPublishingFrequency": "string",
    			"ServiceRole": "string",
    			"Status": "string",
    			"DataSources": {
    				"CloudTrail": {
    					"Status": "string"
    				},
    				"DnsLogs": {
    					"Status": "string"
    				},
    				"FlowLogs": {
    					"Status": "string"
    				},
    				"S3Logs": {
    					"Status": "string"
    				},
    				"Kubernetes": {
    					"AuditLogs": {
    						"Status": "string"
    					}
    				},
    				"MalwareProtection": {
    					"ScanEc2InstanceWithFindings": {
    						"EbsVolumes": {
    							"Status": "string"
    						}
    					},
    					"ServiceRole": "string"
    				}
    			}
    		},
    		"AwsIamAccessKey": {
    			"AccessKeyId": "string",
    			"AccountId": "string",
    			"CreatedAt": "string",
    			"PrincipalId": "string",
    			"PrincipalName": "string",
    			"PrincipalType": "string",
    			"SessionContext": {
    				"Attributes": {
    					"CreationDate": "string",
    					"MfaAuthenticated": boolean
    				},
    				"SessionIssuer": {
    					"AccountId": "string",
    					"Arn": "string",
    					"PrincipalId": "string",
    					"Type": "string",
    					"UserName": "string"
    				}
    			},
    			"Status": "string"
    		},
    		"AwsIamGroup": {
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"GroupId": "string",
    			"GroupName": "string",
    			"GroupPolicyList": [{
    				"PolicyName": "string"
    			}],
    			"Path": "string"
    		},
    		"AwsIamPolicy": {
    			"AttachmentCount": number,
    			"CreateDate": "string",
    			"DefaultVersionId": "string",
    			"Description": "string",
    			"IsAttachable": boolean,
    			"Path": "string",
    			"PermissionsBoundaryUsageCount": number,
    			"PolicyId": "string",
    			"PolicyName": "string",
    			"PolicyVersionList": [{
    				"CreateDate": "string",
    				"IsDefaultVersion": boolean,
    				"VersionId": "string"
    			}],
    			"UpdateDate": "string"
    		},
    		"AwsIamRole": {
    			"AssumeRolePolicyDocument": "string",
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"InstanceProfileList": [{
    				"Arn": "string",
    				"CreateDate": "string",
    				"InstanceProfileId": "string",
    				"InstanceProfileName": "string",
    				"Path": "string",
    				"Roles": [{
    					"Arn": "string",
    					"AssumeRolePolicyDocument": "string",
    					"CreateDate": "string",
    					"Path": "string",
    					"RoleId": "string",
    					"RoleName": "string"
    				}]
    			}],
    			"MaxSessionDuration": number,
    			"Path": "string",
    			"PermissionsBoundary": {
    				"PermissionsBoundaryArn": "string",
    				"PermissionsBoundaryType": "string"
    			},
    			"RoleId": "string",
    			"RoleName": "string",
    			"RolePolicyList": [{
    				"PolicyName": "string"
    			}]
    		},
    		"AwsIamUser": {
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"GroupList": ["string"],
    			"Path": "string",
    			"PermissionsBoundary": {
    				"PermissionsBoundaryArn": "string",
    				"PermissionsBoundaryType": "string"
    			},
    			"UserId": "string",
    			"UserName": "string",
    			"UserPolicyList": [{
    				"PolicyName": "string"
    			}]
    		},
    		"AwsKinesisStream": {
    			"Arn": "string",
    			"Name": "string",
    			"RetentionPeriodHours": number,
    			"ShardCount": number,
    			"StreamEncryption": {
    				"EncryptionType": "string",
    				"KeyId": "string"
    			}
    		},
    		"AwsKmsKey": {
    			"AWSAccountId": "string",
    			"CreationDate": "string",
    			"Description": "string",
    			"KeyId": "string",
    			"KeyManager": "string",
    			"KeyRotationStatus": boolean,
    			"KeyState": "string",
    			"Origin": "string"
    		},
    		"AwsLambdaFunction": {
    			"Architectures": [
    				"string"
    			],
    			"Code": {
    				"S3Bucket": "string",
    				"S3Key": "string",
    				"S3ObjectVersion": "string",
    				"ZipFile": "string"
    			},
    			"CodeSha256": "string",
    			"DeadLetterConfig": {
    				"TargetArn": "string"
    			},
    			"Environment": {
    				"Variables": {
    					"Stage": "string"
    				},
    				"Error": {
    					"ErrorCode": "string",
    					"Message": "string"
    				}
    			},
    			"FunctionName": "string",
    			"Handler": "string",
    			"KmsKeyArn": "string",
    			"LastModified": "string",
    			"Layers": {
    				"Arn": "string",
    				"CodeSize": number
    			},
    			"PackageType": "string",
    			"RevisionId": "string",
    			"Role": "string",
    			"Runtime": "string",
    			"Timeout": integer,
    			"TracingConfig": {
    				"Mode": "string"
    			},
    			"Version": "string",
    			"VpcConfig": {
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			},
    			"MasterArn": "string",
    			"MemorySize": number
    		},
    		"AwsLambdaLayerVersion": {
    			"CompatibleRuntimes": [
    				"string"
    			],
    			"CreatedDate": "string",
    			"Version": number
    		},
    		"AwsMskCluster": {
    			"ClusterInfo": {
    				"ClientAuthentication": {
    					"Sasl": {
    						"Scram": {
    							"Enabled": boolean
    						},
    						"Iam": {
    							"Enabled": boolean
    						}
    					},
    					"Tls": {
    						"CertificateAuthorityArnList": [],
    						"Enabled": boolean
    					},
    					"Unauthenticated": {
    						"Enabled": boolean
    					}
    				},
    				"ClusterName": "string",
    				"CurrentVersion": "string",
    				"EncryptionInfo": {
    					"EncryptionAtRest": {
    						"DataVolumeKMSKeyId": "string"
    					},
    					"EncryptionInTransit": {
    						"ClientBroker": "string",
    						"InCluster": boolean
    					}
    				},
    				"EnhancedMonitoring": "string",
    				"NumberOfBrokerNodes": integer
    			}
    		},
    		"AwsNetworkFirewallFirewall": {
    			"DeleteProtection": boolean,
    			"Description": "string",
    			"FirewallArn": "string",
    			"FirewallId": "string",
    			"FirewallName": "string",
    			"FirewallPolicyArn": "string",
    			"FirewallPolicyChangeProtection": boolean,
    			"SubnetChangeProtection": boolean,
    			"SubnetMappings": [{
    				"SubnetId": "string"
    			}],
    			"VpcId": "string"
    		},
    		"AwsNetworkFirewallFirewallPolicy": {
    			"Description": "string",
    			"FirewallPolicy": {
    				"StatefulRuleGroupReferences": [{
    					"ResourceArn": "string"
    				}],
    				"StatelessCustomActions": [{
    					"ActionDefinition": {
    						"PublishMetricAction": {
    							"Dimensions": [{
    								"Value": "string"
    							}]
    						}
    					},
    					"ActionName": "string"
    				}],
    				"StatelessDefaultActions": ["string"],
    				"StatelessFragmentDefaultActions": ["string"],
    				"StatelessRuleGroupReferences": [{
    					"Priority": number,
    					"ResourceArn": "string"
    				}]
    			},
    			"FirewallPolicyArn": "string",
    			"FirewallPolicyId": "string",
    			"FirewallPolicyName": "string"
    		},
    		"AwsNetworkFirewallRuleGroup": {
    			"Capacity": number,
    			"Description": "string",
    			"RuleGroup": {
    				"RulesSource": {
    					"RulesSourceList": {
    						"GeneratedRulesType": "string",
    						"Targets": ["string"],
    						"TargetTypes": ["string"]
    					},
    					"RulesString": "string",
    					"StatefulRules": [{
    						"Action": "string",
    						"Header": {
    							"Destination": "string",
    							"DestinationPort": "string",
    							"Direction": "string",
    							"Protocol": "string",
    							"Source": "string",
    							"SourcePort": "string"
    						},
    						"RuleOptions": [{
    							"Keyword": "string",
    							"Settings": ["string"]
    						}]
    					}],
    					"StatelessRulesAndCustomActions": {
    						"CustomActions": [{
    							"ActionDefinition": {
    								"PublishMetricAction": {
    									"Dimensions": [{
    										"Value": "string"
    									}]
    								}
    							},
    							"ActionName": "string"
    						}],
    						"StatelessRules": [{
    							"Priority": number,
    							"RuleDefinition": {
    								"Actions": ["string"],
    								"MatchAttributes": {
    									"DestinationPorts": [{
    										"FromPort": number,
    										"ToPort": number
    									}],
    									"Destinations": [{
    										"AddressDefinition": "string"
    									}],
    									"Protocols": [number],
    									"SourcePorts": [{
    										"FromPort": number,
    										"ToPort": number
    									}],
    									"Sources": [{
    										"AddressDefinition": "string"
    									}],
    									"TcpFlags": [{
    										"Flags": ["string"],
    										"Masks": ["string"]
    									}]
    								}
    							}
    						}]
    					}
    				},
    				"RuleVariables": {
    					"IpSets": {
    						"Definition": ["string"]
    					},
    					"PortSets": {
    						"Definition": ["string"]
    					}
    				}
    			},
    			"RuleGroupArn": "string",
    			"RuleGroupId": "string",
    			"RuleGroupName": "string",
    			"Type": "string"
    		},
    		"AwsOpenSearchServiceDomain": {
    			"AccessPolicies": "string",
    			"AdvancedSecurityOptions": {
    				"Enabled": boolean,
    				"InternalUserDatabaseEnabled": boolean,
    				"MasterUserOptions": {
    					"MasterUserArn": "string",
    					"MasterUserName": "string",
    					"MasterUserPassword": "string"
    				}
    			},
    			"Arn": "string",
    			"ClusterConfig": {
    				"DedicatedMasterCount": number,
    				"DedicatedMasterEnabled": boolean,
    				"DedicatedMasterType": "string",
    				"InstanceCount": number,
    				"InstanceType": "string",
    				"WarmCount": number,
    				"WarmEnabled": boolean,
    				"WarmType": "string",
    				"ZoneAwarenessConfig": {
    					"AvailabilityZoneCount": number
    				},
    				"ZoneAwarenessEnabled": boolean
    			},
    			"DomainEndpoint": "string",
    			"DomainEndpointOptions": {
    				"CustomEndpoint": "string",
    				"CustomEndpointCertificateArn": "string",
    				"CustomEndpointEnabled": boolean,
    				"EnforceHTTPS": boolean,
    				"TLSSecurityPolicy": "string"
    			},
    			"DomainEndpoints": {
    				"string": "string"
    			},
    			"DomainName": "string",
    			"EncryptionAtRestOptions": {
    				"Enabled": boolean,
    				"KmsKeyId": "string"
    			},
    			"EngineVersion": "string",
    			"Id": "string",
    			"LogPublishingOptions": {
    				"AuditLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"IndexSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"SearchSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				}
    			},
    			"NodeToNodeEncryptionOptions": {
    				"Enabled": boolean
    			},
    			"ServiceSoftwareOptions": {
    				"AutomatedUpdateDate": "string",
    				"Cancellable": boolean,
    				"CurrentVersion": "string",
    				"Description": "string",
    				"NewVersion": "string",
    				"OptionalDeployment": boolean,
    				"UpdateAvailable": boolean,
    				"UpdateStatus": "string"
    			},
    			"VpcOptions": {
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			}
    		},
    		"AwsRdsDbCluster": {
    			"ActivityStreamStatus": "string",
    			"AllocatedStorage": number,
    			"AssociatedRoles": [{
    				"RoleArn": "string",
    				"Status": "string"
    			}],
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZones": ["string"],
    			"BackupRetentionPeriod": integer,
    			"ClusterCreateTime": "string",
    			"CopyTagsToSnapshot": boolean,
    			"CrossAccountClone": boolean,
    			"CustomEndpoints": ["string"],
    			"DatabaseName": "string",
    			"DbClusterIdentifier": "string",
    			"DbClusterMembers": [{
    				"DbClusterParameterGroupStatus": "string",
    				"DbInstanceIdentifier": "string",
    				"IsClusterWriter": boolean,
    				"PromotionTier": integer
    			}],
    			"DbClusterOptionGroupMemberships": [{
    				"DbClusterOptionGroupName": "string",
    				"Status": "string"
    			}],
    			"DbClusterParameterGroup": "string",
    			"DbClusterResourceId": "string",
    			"DbSubnetGroup": "string",
    			"DeletionProtection": boolean,
    			"DomainMemberships": [{
    				"Domain": "string",
    				"Fqdn": "string",
    				"IamRoleName": "string",
    				"Status": "string"
    			}],
    			"EnabledCloudwatchLogsExports": ["string"],
    			"Endpoint": "string",
    			"Engine": "string",
    			"EngineMode": "string",
    			"EngineVersion": "string",
    			"HostedZoneId": "string",
    			"HttpEndpointEnabled": boolean,
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"KmsKeyId": "string",
    			"MasterUsername": "string",
    			"MultiAz": boolean,
    			"Port": integer,
    			"PreferredBackupWindow": "string",
    			"PreferredMaintenanceWindow": "string",
    			"ReaderEndpoint": "string",
    			"ReadReplicaIdentifiers": ["string"],
    			"Status": "string",
    			"StorageEncrypted": boolean,
    			"VpcSecurityGroups": [{
    				"Status": "string",
    				"VpcSecurityGroupId": "string"
    			}]
    		},
    		"AwsRdsDbClusterSnapshot": {
    			"AllocatedStorage": integer,
    			"AvailabilityZones": ["string"],
    			"ClusterCreateTime": "string",
    			"DbClusterIdentifier": "string",
    			"DbClusterSnapshotAttributes": [{
    				"AttributeName": "string",
    				"AttributeValues": ["string"]
    			}],
    			"DbClusterSnapshotIdentifier": "string",
    			"Engine": "string",
    			"EngineVersion": "string",
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"KmsKeyId": "string",
    			"LicenseModel": "string",
    			"MasterUsername": "string",
    			"PercentProgress": integer,
    			"Port": integer,
    			"SnapshotCreateTime": "string",
    			"SnapshotType": "string",
    			"Status": "string",
    			"StorageEncrypted": boolean,
    			"VpcId": "string"
    		},
    		"AwsRdsDbInstance": {
    			"AllocatedStorage": number,
    			"AssociatedRoles": [{
    				"RoleArn": "string",
    				"FeatureName": "string",
    				"Status": "string"
    			}],
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZone": "string",
    			"BackupRetentionPeriod": number,
    			"CACertificateIdentifier": "string",
    			"CharacterSetName": "string",
    			"CopyTagsToSnapshot": boolean,
    			"DBClusterIdentifier": "string",
    			"DBInstanceClass": "string",
    			"DBInstanceIdentifier": "string",
    			"DbInstancePort": number,
    			"DbInstanceStatus": "string",
    			"DbiResourceId": "string",
    			"DBName": "string",
    			"DbParameterGroups": [{
    				"DbParameterGroupName": "string",
    				"ParameterApplyStatus": "string"
    			}],
    			"DbSecurityGroups": ["string"],
    			"DbSubnetGroup": {
    				"DbSubnetGroupArn": "string",
    				"DbSubnetGroupDescription": "string",
    				"DbSubnetGroupName": "string",
    				"SubnetGroupStatus": "string",
    				"Subnets": [{
    					"SubnetAvailabilityZone": {
    						"Name": "string"
    					},
    					"SubnetIdentifier": "string",
    					"SubnetStatus": "string"
    				}],
    				"VpcId": "string"
    			},
    			"DeletionProtection": boolean,
    			"Endpoint": {
    				"Address": "string",
    				"Port": number,
    				"HostedZoneId": "string"
    			},
    			"DomainMemberships": [{
    				"Domain": "string",
    				"Fqdn": "string",
    				"IamRoleName": "string",
    				"Status": "string"
    			}],
    			"EnabledCloudwatchLogsExports": ["string"],
    			"Engine": "string",
    			"EngineVersion": "string",
    			"EnhancedMonitoringResourceArn": "string",
    			"IAMDatabaseAuthenticationEnabled": boolean,
    			"InstanceCreateTime": "string",
    			"Iops": number,
    			"KmsKeyId": "string",
    			"LatestRestorableTime": "string",
    			"LicenseModel": "string",
    			"ListenerEndpoint": {
    				"Address": "string",
    				"HostedZoneId": "string",
    				"Port": number
    			},
    			"MasterUsername": "admin",
    			"MaxAllocatedStorage": number,
    			"MonitoringInterval": number,
    			"MonitoringRoleArn": "string",
    			"MultiAz": boolean,
    			"OptionGroupMemberships": [{
    				"OptionGroupName": "string",
    				"Status": "string"
    			}],
    			"PendingModifiedValues": {
    				"AllocatedStorage": number,
    				"BackupRetentionPeriod": number,
    				"CaCertificateIdentifier": "string",
    				"DbInstanceClass": "string",
    				"DbInstanceIdentifier": "string",
    				"DbSubnetGroupName": "string",
    				"EngineVersion": "string",
    				"Iops": number,
    				"LicenseModel": "string",
    				"MasterUserPassword": "string",
    				"MultiAZ": boolean,
    				"PendingCloudWatchLogsExports": {
    					"LogTypesToDisable": ["string"],
    					"LogTypesToEnable": ["string"]
    				},
    				"Port": number,
    				"ProcessorFeatures": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"StorageType": "string"
    			},
    			"PerformanceInsightsEnabled": boolean,
    			"PerformanceInsightsKmsKeyId": "string",
    			"PerformanceInsightsRetentionPeriod": number,
    			"PreferredBackupWindow": "string",
    			"PreferredMaintenanceWindow": "string",
    			"ProcessorFeatures": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"PromotionTier": number,
    			"PubliclyAccessible": boolean,
    			"ReadReplicaDBClusterIdentifiers": ["string"],
    			"ReadReplicaDBInstanceIdentifiers": ["string"],
    			"ReadReplicaSourceDBInstanceIdentifier": "string",
    			"SecondaryAvailabilityZone": "string",
    			"StatusInfos": [{
    				"Message": "string",
    				"Normal": boolean,
    				"Status": "string",
    				"StatusType": "string"
    			}],
    			"StorageEncrypted": boolean,
    			"TdeCredentialArn": "string",
    			"Timezone": "string",
    			"VpcSecurityGroups": [{
    				"VpcSecurityGroupId": "string",
    				"Status": "string"
    			}]
    		},
    		"AwsRdsDbSecurityGroup": {
    			"DbSecurityGroupArn": "string",
    			"DbSecurityGroupDescription": "string",
    			"DbSecurityGroupName": "string",
    			"Ec2SecurityGroups": [{
    				"Ec2SecurityGroupuId": "string",
    				"Ec2SecurityGroupName": "string",
    				"Ec2SecurityGroupOwnerId": "string",
    				"Status": "string"
    			}],
    			"IpRanges": [{
    				"CidrIp": "string",
    				"Status": "string"
    			}],
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsRdsDbSnapshot": {
    			"AllocatedStorage": integer,
    			"AvailabilityZone": "string",
    			"DbInstanceIdentifier": "string",
    			"DbiResourceId": "string",
    			"DbSnapshotIdentifier": "string",
    			"Encrypted": boolean,
    			"Engine": "string",
    			"EngineVersion": "string",
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"InstanceCreateTime": "string",
    			"Iops": number,
    			"KmsKeyId": "string",
    			"LicenseModel": "string",
    			"MasterUsername": "string",
    			"OptionGroupName": "string",
    			"PercentProgress": integer,
    			"Port": integer,
    			"ProcessorFeatures": [],
    			"SnapshotCreateTime": "string",
    			"SnapshotType": "string",
    			"SourceDbSnapshotIdentifier": "string",
    			"SourceRegion": "string",
    			"Status": "string",
    			"StorageType": "string",
    			"TdeCredentialArn": "string",
    			"Timezone": "string",
    			"VpcId": "string"
    		},
    		"AwsRdsEventSubscription": {
    			"CustomerAwsId": "string",
    			"CustSubscriptionId": "string",
    			"Enabled": boolean,
    			"EventCategoriesList": ["string"],
    			"EventSubscriptionArn": "string",
    			"SnsTopicArn": "string",
    			"SourceIdsList": ["string"],
    			"SourceType": "string",
    			"Status": "string",
    			"SubscriptionCreationTime": "string"
    		},
    		"AwsRedshiftCluster": {
    			"AllowVersionUpgrade": boolean,
    			"AutomatedSnapshotRetentionPeriod": number,
    			"AvailabilityZone": "string",
    			"ClusterAvailabilityStatus": "string",
    			"ClusterCreateTime": "string",
    			"ClusterIdentifier": "string",
    			"ClusterNodes": [{
    				"NodeRole": "string",
    				"PrivateIPAddress": "string",
    				"PublicIPAddress": "string"
    			}],
    			"ClusterParameterGroups": [{
    				"ClusterParameterStatusList": [{
    					"ParameterApplyErrorDescription": "string",
    					"ParameterApplyStatus": "string",
    					"ParameterName": "string"
    				}],
    				"ParameterApplyStatus": "string",
    				"ParameterGroupName": "string"
    			}],
    			"ClusterPublicKey": "string",
    			"ClusterRevisionNumber": "string",
    			"ClusterSecurityGroups": [{
    				"ClusterSecurityGroupName": "string",
    				"Status": "string"
    			}],
    			"ClusterSnapshotCopyStatus": {
    				"DestinationRegion": "string",
    				"ManualSnapshotRetentionPeriod": number,
    				"RetentionPeriod": number,
    				"SnapshotCopyGrantName": "string"
    			},
    			"ClusterStatus": "string",
    			"ClusterSubnetGroupName": "string",
    			"ClusterVersion": "string",
    			"DBName": "string",
    			"DeferredMaintenanceWindows": [{
    				"DeferMaintenanceEndTime": "string",
    				"DeferMaintenanceIdentifier": "string",
    				"DeferMaintenanceStartTime": "string"
    			}],
    			"ElasticIpStatus": {
    				"ElasticIp": "string",
    				"Status": "string"
    			},
    			"ElasticResizeNumberOfNodeOptions": "string",
    			"Encrypted": boolean,
    			"Endpoint": {
    				"Address": "string",
    				"Port": number
    			},
    			"EnhancedVpcRouting": boolean,
    			"ExpectedNextSnapshotScheduleTime": "string",
    			"ExpectedNextSnapshotScheduleTimeStatus": "string",
    			"HsmStatus": {
    				"HsmClientCertificateIdentifier": "string",
    				"HsmConfigurationIdentifier": "string",
    				"Status": "string"
    			},
    			"IamRoles": [{
    				"ApplyStatus": "string",
    				"IamRoleArn": "string"
    			}],
    			"KmsKeyId": "string",
    			"LoggingStatus":{
                    "BucketName": "string",
                    "LastFailureMessage": "string",
                    "LastFailureTime": "string",
                    "LastSuccessfulDeliveryTime": "string",
                    "LoggingEnabled": boolean,
                    "S3KeyPrefix": "string"
                },
    			"MaintenanceTrackName": "string",
    			"ManualSnapshotRetentionPeriod": number,
    			"MasterUsername": "string",
    			"NextMaintenanceWindowStartTime": "string",
    			"NodeType": "string",
    			"NumberOfNodes": number,
    			"PendingActions": ["string"],
    			"PendingModifiedValues": {
    				"AutomatedSnapshotRetentionPeriod": number,
    				"ClusterIdentifier": "string",
    				"ClusterType": "string",
    				"ClusterVersion": "string",
    				"EncryptionType": "string",
    				"EnhancedVpcRouting": boolean,
    				"MaintenanceTrackName": "string",
    				"MasterUserPassword": "string",
    				"NodeType": "string",
    				"NumberOfNodes": number,
    				"PubliclyAccessible": "string"
    			},
    			"PreferredMaintenanceWindow": "string",
    			"PubliclyAccessible": boolean,
    			"ResizeInfo": {
    				"AllowCancelResize": boolean,
    				"ResizeType": "string"
    			},
    			"RestoreStatus": {
    				"CurrentRestoreRateInMegaBytesPerSecond": number,
    				"ElapsedTimeInSeconds": number,
    				"EstimatedTimeToCompletionInSeconds": number,
    				"ProgressInMegaBytes": number,
    				"SnapshotSizeInMegaBytes": number,
    				"Status": "string"
    			},
    			"SnapshotScheduleIdentifier": "string",
    			"SnapshotScheduleState": "string",
    			"VpcId": "string",
    			"VpcSecurityGroups": [{
    				"Status": "string",
    				"VpcSecurityGroupId": "string"
    			}]
    		},
    		"AwsRoute53HostedZone": {
    			"HostedZone": {
    				"Id": "string",
    				"Name": "string",
    				"Config": {
    					"Comment": "string"
    				}
    			},
    			"NameServers": ["string"],
    			"QueryLoggingConfig": {
    				"CloudWatchLogsLogGroupArn": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Id": "string",
    					"HostedZoneId": "string"
    				}
    			},
    			"Vpcs": [
    				{
    					"Id": "string",
    					"Region": "string"
    				}
    			]
    		},
    		"AwsS3AccessPoint": {
    			"AccessPointArn": "string",
    			"Alias": "string",
    			"Bucket": "string",
    			"BucketAccountId": "string",
    			"Name": "string",
    			"NetworkOrigin": "string",
    			"PublicAccessBlockConfiguration": {
    				"BlockPublicAcls": boolean,
    				"BlockPublicPolicy": boolean,
    				"IgnorePublicAcls": boolean,
    				"RestrictPublicBuckets": boolean
    			},
    			"VpcConfiguration": {
    				"VpcId": "string"
    			}
    		},
    		"AwsS3AccountPublicAccessBlock": {
    			"BlockPublicAcls": boolean,
    			"BlockPublicPolicy": boolean,
    			"IgnorePublicAcls": boolean,
    			"RestrictPublicBuckets": boolean
    		},
    		"AwsS3Bucket": {
    			"AccessControlList": "string",
    			"BucketLifecycleConfiguration": {
    				"Rules": [{
    					"AbortIncompleteMultipartUpload": {
    						"DaysAfterInitiation": number
    					},
    					"ExpirationDate": "string",
    					"ExpirationInDays": number,
    					"ExpiredObjectDeleteMarker": boolean,
    					"Filter": {
    						"Predicate": {
    							"Operands": [{
    									"Prefix": "string",
    									"Type": "string"
    								},
    								{
    									"Tag": {
    										"Key": "string",
    										"Value": "string"
    									},
    									"Type": "string"
    								}
    							],
    							"Type": "string"
    						}
    					},
    					"Id": "string",
    					"NoncurrentVersionExpirationInDays": number,
    					"NoncurrentVersionTransitions": [{
    						"Days": number,
    						"StorageClass": "string"
    					}],
    					"Prefix": "string",
    					"Status": "string",
    					"Transitions": [{
    						"Date": "string",
    						"Days": number,
    						"StorageClass": "string"
    					}]
    				}]
    			},
    			"BucketLoggingConfiguration": {
    				"DestinationBucketName": "string",
    				"LogFilePrefix": "string"
    			},
    			"BucketName": "string",
    			"BucketNotificationConfiguration": {
    				"Configurations": [{
    					"Destination": "string",
    					"Events": ["string"],
    					"Filter": {
    						"S3KeyFilter": {
    							"FilterRules": [{
    								"Name": "string",
    								"Value": "string"
    							}]
    						}
    					},
    					"Type": "string"
    				}]
    			},
    			"BucketVersioningConfiguration": {
    				"IsMfaDeleteEnabled": boolean,
    				"Status": "string"
    			},
    			"BucketWebsiteConfiguration": {
    				"ErrorDocument": "string",
    				"IndexDocumentSuffix": "string",
    				"RedirectAllRequestsTo": {
    					"HostName": "string",
    					"Protocol": "string"
    				},
    				"RoutingRules": [{
    					"Condition": {
    						"HttpErrorCodeReturnedEquals": "string",
    						"KeyPrefixEquals": "string"
    					},
    					"Redirect": {
    						"HostName": "string",
    						"HttpRedirectCode": "string",
    						"Protocol": "string",
    						"ReplaceKeyPrefixWith": "string",
    						"ReplaceKeyWith": "string"
    					}
    				}]
    			},
    			"CreatedAt": "string",
    			"ObjectLockConfiguration": {
    				"ObjectLockEnabled": "string",
    				"Rule": {
    					"DefaultRetention": {
    						"Days": integer,
    						"Mode": "string",
    						"Years": integer
    					}
    				}
    			},
    			"OwnerAccountId": "string",
    			"OwnerId": "string",
    			"OwnerName": "string",
    			"PublicAccessBlockConfiguration": {
    				"BlockPublicAcls": boolean,
    				"BlockPublicPolicy": boolean,
    				"IgnorePublicAcls": boolean,
    				"RestrictPublicBuckets": boolean
    			},
    			"ServerSideEncryptionConfiguration": {
    				"Rules": [{
    					"ApplyServerSideEncryptionByDefault": {
    						"KMSMasterKeyID": "string",
    						"SSEAlgorithm": "string"
    					}
    				}]
    			}
    		},
    		"AwsS3Object": {
    			"ContentType": "string",
    			"ETag": "string",
    			"LastModified": "string",
    			"ServerSideEncryption": "string",
    			"SSEKMSKeyId": "string",
    			"VersionId": "string"
    		},
    		"AwsSagemakerNotebookInstance": {
    			"DirectInternetAccess": "string",
    			"InstanceMetadataServiceConfiguration": {
    				"MinimumInstanceMetadataServiceVersion": "string"
    			},
    			"InstanceType": "string",
    			"LastModifiedTime": "string",
    			"NetworkInterfaceId": "string",
    			"NotebookInstanceArn": "string",
    			"NotebookInstanceName": "string",
    			"NotebookInstanceStatus": "string",
    			"PlatformIdentifier": "string",
    			"RoleArn": "string",
    			"RootAccess": "string",
    			"SecurityGroups": ["string"],
    			"SubnetId": "string",
    			"Url": "string",
    			"VolumeSizeInGB": number
    		},
    		"AwsSecretsManagerSecret": {
    			"Deleted": boolean,
    			"Description": "string",
    			"KmsKeyId": "string",
    			"Name": "string",
    			"RotationEnabled": boolean,
    			"RotationLambdaArn": "string",
    			"RotationOccurredWithinFrequency": boolean,
    			"RotationRules": {
    				"AutomaticallyAfterDays": integer
    			}
    		},
    		"AwsSnsTopic": {
    			"ApplicationSuccessFeedbackRoleArn": "string",		
    			"FirehoseFailureFeedbackRoleArn": "string",
    			"FirehoseSuccessFeedbackRoleArn": "string",
    			"HttpFailureFeedbackRoleArn": "string",
    			"HttpSuccessFeedbackRoleArn": "string",
    			"KmsMasterKeyId": "string",                 
    			"Owner": "string",
    			"SqsFailureFeedbackRoleArn": "string",
    			"SqsSuccessFeedbackRoleArn": "string",	
    			"Subscription": {
    				"Endpoint": "string",
    				"Protocol": "string"
    			},
    			"TopicName": "string"   			              
    		},
    		"AwsSqsQueue": {
    			"DeadLetterTargetArn": "string",
    			"KmsDataKeyReusePeriodSeconds": number,
    			"KmsMasterKeyId": "string",
    			"QueueName": "string"
    		},
    		"AwsSsmPatchCompliance": {
    			"Patch": {
    				"ComplianceSummary": {
    					"ComplianceType": "string",
    					"CompliantCriticalCount": integer,
    					"CompliantHighCount": integer,
    					"CompliantInformationalCount": integer,
    					"CompliantLowCount": integer,
    					"CompliantMediumCount": integer,
    					"CompliantUnspecifiedCount": integer,
    					"ExecutionType": "string",
    					"NonCompliantCriticalCount": integer,
    					"NonCompliantHighCount": integer,
    					"NonCompliantInformationalCount": integer,
    					"NonCompliantLowCount": integer,
    					"NonCompliantMediumCount": integer,
    					"NonCompliantUnspecifiedCount": integer,
    					"OverallSeverity": "string",
    					"PatchBaselineId": "string",
    					"PatchGroup": "string",
    					"Status": "string"
    				}
    			}
    		},
    		"AwsStepFunctionStateMachine": {
    			"StateMachineArn": "string",
    			"Name": "string",
    			"Status": "string",
    			"RoleArn": "string",
    			"Type": "string",
    			"LoggingConfiguration": {
    				"Level": "string",
    				"IncludeExecutionData": boolean
    			},
    			"TracingConfiguration": {
    				"Enabled": boolean
    			}
    		},
    		"AwsWafRateBasedRule": {
    			"MatchPredicates": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"MetricName": "string",
    			"Name": "string",
    			"RateKey": "string",
    			"RateLimit": number,
    			"RuleId": "string"
    		},
    		"AwsWafRegionalRateBasedRule": {
    			"MatchPredicates": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"MetricName": "string",
    			"Name": "string",
    			"RateKey": "string",
    			"RateLimit": number,
    			"RuleId": "string"
    		},
    		"AwsWafRegionalRule": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleId": "string",
    			"PredicateList": [{
        			"DataId": "string",
        			"Negated": boolean,
        			"Type": "string"
    			}]
    		},
    		"AwsWafRegionalRuleGroup": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleGroupId": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}]
    		},
    		"AwsWafRegionalWebAcl": {
    			"DefaultAction": "string",
    			"MetricName" : "string",
    			"Name": "string",
    			"RulesList" : [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string",
    				"ExcludedRules": [{
    					"ExclusionType": "string",
    					"RuleId": "string"
    				}],
    				"OverrideAction": {
    					"Type": "string"
    				}
    			}],
    			"WebAclId": "string"
    		},
    		"AwsWafRule": {
    			"MetricName": "string",
    			"Name": "string",
    			"PredicateList": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"RuleId": "string"
    		},
    		"AwsWafRuleGroup": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleGroupId": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}]
    		},
    		"AwsWafv2RuleGroup": {
    			"Arn": "string",
    			"Capacity": number,
    			"Description": "string",
    			"Id": "string",
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    				"Allow": {
    					"CustomRequestHandling": {
    						"InsertHeaders": [
    							{
    							"Name": "string",
    							"Value": "string"
    							},
    							{
    							"Name": "string",
    							"Value": "string"
    							}
    						]
    					}
    				}
    				},
    				"Name": "string",
    				"Priority": number,
    				"VisibilityConfig": {
    					"CloudWatchMetricsEnabled": boolean,
    					"MetricName": "string",
    					"SampledRequestsEnabled": boolean
    				}
    			}],
    			"VisibilityConfig": {
    				"CloudWatchMetricsEnabled": boolean,
    				"MetricName": "string",
    				"SampledRequestsEnabled": boolean
    			}
    		},
    		"AwsWafWebAcl": {
    			"DefaultAction": "string",
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"ExcludedRules": [{
    					"RuleId": "string"
    				}],
    				"OverrideAction": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}],
    			"WebAclId": "string"
    		},
    		"AwsWafv2WebAcl": {
    			"Arn": "string",
    			"Capacity": number,
    			"CaptchaConfig": {
    				"ImmunityTimeProperty": {
    					"ImmunityTime": number
    				}
    			},
    			"DefaultAction": {
    				"Block": {}
    			},
    			"Description": "string",
    			"ManagedbyFirewallManager": boolean,
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    					"RuleAction": {
    						"Block": {}
    					}
    				},
    				"Name": "string",
    				"Priority": number,
    				"VisibilityConfig": {
    					"SampledRequestsEnabled": boolean,
    					"CloudWatchMetricsEnabled": boolean,
    					"MetricName": "string"
    				}
    			}],
    			"VisibilityConfig": {
    				"SampledRequestsEnabled": boolean,
    				"CloudWatchMetricsEnabled": boolean,
    				"MetricName": "string"
    			}
    		},
    		"AwsXrayEncryptionConfig": {
    			"KeyId": "string",
    			"Status": "string",
    			"Type": "string"
    		},
    		"CodeRepository": {
    			"CodeSecurityIntegrationArn": "string",
    			"ProjectName": "string",
    			"ProviderType": "string"
    		},
    		"Container": {
    			"ContainerRuntime": "string",
    			"ImageId": "string",
    			"ImageName": "string",
    			"LaunchedAt": "string",
    			"Name": "string",
    			"Privileged": boolean,
    			"VolumeMounts": [{
    				"Name": "string",
    				"MountPath": "string"
    			}]
    		}, 
    		"Other": {
    			"string": "string"
    		},
    		"Id": "string",
    		"Partition": "string",
    		"Region": "string",
    		"ResourceRole": "string",
    		"Tags": {
    			"string": "string"
    		},
    		"Type": "string"
    	}],
    	"SchemaVersion": "string",
    	"Severity": {
    		"Label": "string",
    		"Normalized": number,
    		"Original": "string"
    	},
    	"Sample": boolean,
    	"SourceUrl": "string",
    	"Threats": [{
    		"FilePaths": [{
    			"FileName": "string",
    			"FilePath": "string",
    			"Hash": "string",
    			"ResourceId": "string"
    		}],
    		"ItemCount": number,
    		"Name": "string",
    		"Severity": "string"
    	}],
    	"ThreatIntelIndicators": [{
    		"Category": "string",
    		"LastObservedAt": "string",
    		"Source": "string",
    		"SourceUrl": "string",
    		"Type": "string",
    		"Value": "string"
    	}],
    	"Title": "string",
    	"Types": ["string"],
    	"UpdatedAt": "string",
    	"UserDefinedFields": {
    		"string": "string"
    	},
    	"VerificationState": "string",
    	"Vulnerabilities": [{
    		"CodeVulnerabilities": [{
    			"Cwes": [
    				"string",
    				"string"
    			],
    			"FilePath": {
    				"EndLine": integer,
    				"FileName": "string",
    				"FilePath": "string",
    				"StartLine": integer
    			},
    			"SourceArn":"string"
    		}],
    		"Cvss": [{
    			"Adjustments": [{
    				"Metric": "string",
    				"Reason": "string"
    			}],
    			"BaseScore": number,
    			"BaseVector": "string",
    			"Source": "string",
    			"Version": "string"
    		}],
    		"EpssScore": number,
    		"ExploitAvailable": "string",
    		"FixAvailable": "string",
    		"Id": "string",
    		"LastKnownExploitAt": "string",
    		"ReferenceUrls": ["string"],
    		"RelatedVulnerabilities": ["string"],
    		"Vendor": {
    			"Name": "string",
    			"Url": "string",
    			"VendorCreatedAt": "string",
    			"VendorSeverity": "string",
    			"VendorUpdatedAt": "string"
    		},
    		"VulnerablePackages": [{
    			"Architecture": "string",
    			"Epoch": "string",
    			"FilePath": "string",
    			"FixedInVersion": "string",
    			"Name": "string",
    			"PackageManager": "string",
    			"Release": "string",
    			"Remediation": "string",
    			"SourceLayerArn": "string",
    			"SourceLayerHash": "string",
    			"Version": "string"
    		}]
    	}],
    	"Workflow": {
    		"Status": "string"
    	},
    	"WorkflowState": "string"
    }
]
```

# ASFF フィールドと値への統合の影響
<a name="asff-changes-consolidation"></a>

AWS Security Hub CSPM は、コントロールに 2 種類の統合を提供します。
+ **統合コントロールビュー** – このタイプの統合では、各コントロールにはすべての標準で単一の識別子があります。Security Hub CSPM コンソールの**[コントロール]** ページには、すべての標準にわたるすべてのコントロールが表示されます。
+ **統合されたコントロールの検出結果** – このタイプの統合では、コントロールが複数の有効な標準に適用されていても、Security Hub CSPM はコントロールに対して 1 つの検出結果を生成します。これにより、検出結果のノイズを減らすことができます。

統合コントロールビューを有効または無効にすることはできません。Security Hub CSPM を有効にした場合、[統合されたコントロールの検出結果] はデフォルトで [有効] になっています。また、2023 年 2 月 23 日以降も同様に有効になっています。それ以外の場合は、デフォルトで無効になっています。ただし、組織の場合、Security Hub CSPM メンバーアカウントで統合コントロールの検出結果は、管理者アカウントで有効になっている場合にのみ有効になります。統合コントロールの検出結果の詳細については、「[コントロールの結果を生成および更新する](controls-findings-create-update.md)」を参照してください。

どちらのタイプの統合も、[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md) のコントロール検出結果のフィールドと値に影響します。

**Topics**
+ [統合コントロールビュー — ASFF の変更](#securityhub-findings-format-consolidated-controls-view)
+ [統合されたコントロールの検出結果 – ASFF の変更](#securityhub-findings-format-consolidated-control-findings)
+ [[統合されたコントロールの検出結果] を有効にする前と後のジェネレーター ID](#securityhub-findings-format-changes-generator-ids)
+ [統合がコントロール ID とタイトルに与える影響](#securityhub-findings-format-changes-ids-titles)
+ [統合に向けたワークフローの更新](#securityhub-findings-format-changes-prepare)

## 統合コントロールビュー — ASFF の変更
<a name="securityhub-findings-format-consolidated-controls-view"></a>

統合コントロールビュー機能により、ASFF のコントロール検出結果フィールドと値に対し、以下の変更が導入されました。ワークフローがこれらの ASFF フィールドの値に依存していない場合は、何もする必要はありません。これらのフィールドに存在する特定の値に依存するワークフローがある場合は、現在の値を使用するようにワークフローを更新してください。


| ASFF フィールド  | 統合コントロールビューのリリース前のサンプル値  | 統合コントロールビューのリリース後のサンプル値および変更の説明  | 
| --- | --- | --- | 
|  Compliance.SecurityControlId  |  該当なし (新しいフィールド)  |  EC2.2 標準全体で単一のコントロール ID を導入します。`ProductFields.RuleId` は、CIS v1.2.0 コントロールに引き続き標準ベースのコントロール ID を提供します。`ProductFields.ControlId` は、他の標準のコントロールについて、引き続き標準ベースのコントロール ID を提供します。  | 
|  Compliance.AssociatedStandards  |  該当なし (新しいフィールド)  |  [\$1「StandardsId」:「standards/aws-foundational-security-best-practices/v/1.0.0」\$1] コントロールが有効になっている標準を示します。  | 
|  ProductFields.ArchivalReasons:0/Description  |  該当なし (新しいフィールド)  |  「統合されたコントロールの検出結果がオンまたはオフになっているため、検出結果はアーカイブ済み状態になっています。これにより、新しい検出結果が生成されるときに、以前の状態の検出結果がアーカイブされます。」 Security Hub CSPM が既存の検出結果をアーカイブした理由について説明します。  | 
|  ProductFields.ArchivalReasons:0/ReasonCode  |  該当なし (新しいフィールド)  |  「統合されたコントロールの検出結果の更新」 Security Hub CSPM が既存の検出結果をアーカイブした理由を示します。  | 
|  ProductFields.RecommendationUrl  |  https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation このフィールドは標準を参照しないようになりました。  | 
|  Remediation.Recommendation.Text  |  「この問題を修正する方法については、 AWS Security Hub CSPM PCI DSS ドキュメントを参照してください。」  |  「この問題を修正する方法については、 AWS Security Hub CSPM コントロールのドキュメントを参照してください。」 このフィールドは標準を参照しないようになりました。  | 
|  Remediation.Recommendation.Url  |  https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation このフィールドは標準を参照しないようになりました。  | 

## 統合されたコントロールの検出結果 – ASFF の変更
<a name="securityhub-findings-format-consolidated-control-findings"></a>

統合コントロール検出結果を有効化すると、ASFF におけるコントロール検出結果のフィールドや値に、次のような変更が影響する可能性があります。これらの変更は、統合コントロールビュー機能によって導入された変更に加えて行われます。ワークフローがこれらの ASFF フィールドの値に依存していない場合は、何もする必要はありません。これらのフィールドに存在する特定の値に依存するワークフローがある場合は、現在の値を使用するようにワークフローを更新してください。

**ヒント**  
[v2.0.0 AWS での自動化されたセキュリティ対応](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)ソリューションを使用する場合は、統合コントロールの検出結果をサポートしていることに注意してください。つまり、統合されたコントロールの検出結果を有効にすると、現在のワークフローを維持できます。


| ASFF フィールド  | 統合されたコントロールの検出結果を有効にする前の値の例  | 統合されたコントロールの検出結果を有効にした後の値の例と変更の説明  | 
| --- | --- | --- | 
| GeneratorId |  aws-foundational-security-best-practices/v/1.0.0/Config.1  |  security-control/Config.1 このフィールドは標準を参照しないようになりました。  | 
|  タイトル  |  PCI.Config.1 AWS Config を有効にする必要があります  |  AWS Config を有効にする必要があります このフィールドでは、標準固有の情報は参照されなくなりました。  | 
|  ID  |  arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.IAM.5/finding/ab6d6a26-a156-48f0-9403-115983e5a956  |  arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 このフィールドは標準を参照しないようになりました。  | 
|  ProductFields.ControlId  |  PCI.EC2.2  |  Removed。代わりに `Compliance.SecurityControlId` を参照してください。 このフィールドは削除され、標準にとらわれない単一のコントロール ID が優先されます。  | 
|  ProductFields.RuleId  |  1.3  |  Removed。代わりに `Compliance.SecurityControlId` を参照してください。 このフィールドは削除され、標準にとらわれない単一のコントロール ID が優先されます。  | 
|  説明  |  この PCI DSS コントロール AWS Config は、現在のアカウントとリージョンで が有効になっているかどうかをチェックします。 |  この AWS コントロール AWS Config は、現在のアカウントとリージョンで が有効になっているかどうかを確認します。このフィールドは標準を参照しないようになりました。  | 
|  緊急度  |  "Severity": \$1 "Product": 90, "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" \$1  |  "Severity": \$1 "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" \$1 Security Hub CSPM では、検出結果の重要度を示すのに製品フィールドを使用しなくなりました。  | 
|  型  |  ["Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"]  |  ["Software and Configuration Checks/Industry and Regulatory Standards"] このフィールドは標準を参照しないようになりました。  | 
|  Compliance.RelatedRequirements  |  ["PCI DSS 10.5.2", "PCI DSS 11.5", 「CIS AWS Foundations 2.5」]  |  ["PCI DSS v3.2.1/10.5.2", "PCI DSS v3.2.1/11.5", 「CIS AWS Foundations Benchmark v1.2.0/2.5」] このフィールドには、有効なすべての標準の関連要件が表示されます。  | 
|  CreatedAt  |  2022-05-05T08:18:13.138Z  |  2022-09-25T08:18:13.138Z 形式は変わりませんが、[統合されたコントロールの検出結果]を有効にすると値がリセットされます。  | 
|  FirstObservedAt  |  2022-05-07T08:18:13.138Z  | 2022-09-28T08:18:13.138Z 形式は変わりませんが、[統合されたコントロールの検出結果]を有効にすると値がリセットされます。  | 
|  ProductFields.RecommendationUrl  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation  |  Removed。代わりに `Remediation.Recommendation.Url` を参照してください。 | 
|  ProductFields.StandardsArn  |  arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0  |  Removed。代わりに `Compliance.AssociatedStandards` を参照してください。  | 
|  ProductFields.StandardsControlArn  |  arn:aws:securityhub:us-east-1:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/Config.1  |  Removed。Security Hub CSPM は、複数の規格にわたるセキュリティチェックのための検出結果を 1 つ生成します。  | 
|  ProductFields.StandardsGuideArn  |  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0  |  Removed。代わりに `Compliance.AssociatedStandards` を参照してください。  | 
|  ProductFields.StandardsGuideSubscriptionArn  |  arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0  |  Removed。Security Hub CSPM は、複数の規格にわたるセキュリティチェックのための検出結果を 1 つ生成します。  | 
|  ProductFields.StandardsSubscriptionArn  |  arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0  |  Removed。Security Hub CSPM は、複数の規格にわたるセキュリティチェックのための検出結果を 1 つ生成します。  | 
|  ProductFields.aws/securityhub/FindingId  |  arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/Config.1/finding/751c2173-7372-4e12-8656-a5210dfb1d67  |  arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/Config.1/finding/751c2173-7372-4e12-8656-a5210dfb1d67  このフィールドは標準を参照しないようになりました。  | 

### [統合されたコントロールの検出結果] を有効にした後における、顧客提供の ASFF フィールドの値
<a name="consolidated-controls-view-customer-provided-values"></a>

[統合されたコントロールの検出結果] を有効にすると、Security Hub CSPM は標準全体で 1 つの検出結果を生成し、元の検出結果をアーカイブします (標準ごとに個別の検出結果)。

Security Hub CSPM コンソールまたは [https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html) オペレーションを使用して元の検出結果に加えた更新は、新しい検出結果には保持されません。必要に応じて、アーカイブされた検出結果を参照することで、このデータを復元できます。アーカイブされた検出結果を確認するには、Security Hub CSPM コンソールの**[検出結果]** ページで、**[レコード状態]** フィルターを **[アーカイブ]** に設定します。または、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) オペレーションを使用することもできます。


| 顧客提供の ASFF フィールド  | 統合されたコントロールの検出結果を有効にした後の変更の説明  | 
| --- | --- | 
|  信頼度  |  空の状態にリセットされます。 | 
|  緊急性  |  空の状態にリセットされます。 | 
|  メモ  |  空の状態にリセットされます。 | 
|  RelatedFindings  |  空の状態にリセットされます。 | 
|  緊急度  |  結果のデフォルトの重要度 (コントロールの重要度と同じ)。 | 
|  型  |  標準に依存しない値にリセットされます。 | 
|  UserDefinedFields  |  空の状態にリセットされます。 | 
|  VerificationState  |  空の状態にリセットされます。 | 
|  ワークフロー  |  新たに失敗した検出結果のデフォルト値は NEW になります。新たに成功した検出結果のデフォルト値は RESOLVED になります。 | 

## [統合されたコントロールの検出結果] を有効にする前と後のジェネレーター ID
<a name="securityhub-findings-format-changes-generator-ids"></a>

次の表に、統合コントロールの検出結果を有効にする際のコントロールのジェネレーター ID 値の変更を示します。これらの変更は、2023 年 2 月 15 日の時点で Security Hub CSPM がサポートしていたコントロールに適用されます。


| 統合されたコントロールの検出結果を有効にする前の GeneratorID | 統合コントロールの検出結果を有効にした後の GeneratorID | 
| --- | --- | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.1  |  security-control/CloudWatch.1  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.10  |  security-control/IAM.16  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.11  |  security-control/IAM.17  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.12  |  security-control/IAM.4  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13  |  security-control/IAM.9  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.14  |  security-control/IAM.6  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.16  |  security-control/IAM.2  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.2  |  security-control/IAM.5  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.20  |  security-control/IAM.18  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.22  |  security-control/IAM.1  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.3  |  security-control/IAM.8  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.4  |  security-control/IAM.3  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.5  |  security-control/IAM.11  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.6  |  security-control/IAM.12  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.7  |  security-control/IAM.13  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.8  |  security-control/IAM.14  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.9  |  security-control/IAM.15  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.1  |  security-control/CloudTrail.1  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.2  |  security-control/CloudTrail.4  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.3  |  security-control/CloudTrail.6  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.4  |  security-control/CloudTrail.5  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.5  |  security-control/Config.1  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.6  |  security-control/CloudTrail.7  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7  |  security-control/CloudTrail.2  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.8  |  security-control/KMS.4  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.9  |  security-control/EC2.6  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.1  |  security-control/CloudWatch.2  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.2  |  security-control/CloudWatch.3  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.3  |  security-control/CloudWatch.1  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.4  |  security-control/CloudWatch.4  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.5  |  security-control/CloudWatch.5  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.6  |  security-control/CloudWatch.6  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.7  |  security-control/CloudWatch.7  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.8  |  security-control/CloudWatch.8  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.9  |  security-control/CloudWatch.9  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.10  |  security-control/CloudWatch.10  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.11  |  security-control/CloudWatch.11  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.12  |  security-control/CloudWatch.12  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.13  |  security-control/CloudWatch.13  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.14  |  security-control/CloudWatch.14  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/4.1  |  security-control/EC2.13  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/4.2  |  security-control/EC2.14  | 
|  arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/4.3  |  security-control/EC2.2  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.10  |  security-control/IAM.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.14  |  security-control/IAM.3  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.16  |  security-control/IAM.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.17  |  security-control/IAM.18  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.4  |  security-control/IAM.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.5  |  security-control/IAM.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.6  |  security-control/IAM.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.7  |  security-control/CloudWatch.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.8  |  security-control/IAM.15  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.9  |  security-control/IAM.16  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.2  |  security-control/S3.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.5.1  |  security-control/S3.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.5.2  |  security-control/S3.8  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.2.1  |  security-control/EC2.7  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.3.1  |  security-control/RDS.3  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.1  |  security-control/CloudTrail.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.2  |  security-control/CloudTrail.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.4  |  security-control/CloudTrail.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.5  |  security-control/Config.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.6  |  security-control/S3.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.7  |  security-control/CloudTrail.2  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.8  |  security-control/KMS.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.9  |  security-control/EC2.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.3  |  security-control/CloudWatch.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.4  |  security-control/CloudWatch.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.5  |  security-control/CloudWatch.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.6  |  security-control/CloudWatch.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.7  |  security-control/CloudWatch.7  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.8  |  security-control/CloudWatch.8  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.9  |  security-control/CloudWatch.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.10  |  security-control/CloudWatch.10  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.11  |  security-control/CloudWatch.11  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.12  |  security-control/CloudWatch.12  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.13  |  security-control/CloudWatch.13  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.14  |  security-control/CloudWatch.14  | 
|  cis-aws-foundations-benchmark/v/1.4.0/5.1  |  security-control/EC2.21  | 
|  cis-aws-foundations-benchmark/v/1.4.0/5.3  |  security-control/EC2.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/Account.1  |  security-control/Account.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/ACM.1  |  security-control/ACM.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/APIGateway.1  |  security-control/APIGateway.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/APIGateway.2  |  security-control/APIGateway.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/APIGateway.3  |  security-control/APIGateway.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/APIGateway.4  |  security-control/APIGateway.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/APIGateway.5  |  security-control/APIGateway.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/APIGateway.8  |  security-control/APIGateway.8  | 
|  aws-foundational-security-best-practices/v/1.0.0/APIGateway.9  |  security-control/APIGateway.9  | 
|  aws-foundational-security-best-practices/v/1.0.0/AutoScaling.1  |  security-control/AutoScaling.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/AutoScaling.2  |  security-control/AutoScaling.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/AutoScaling.3  |  security-control/AutoScaling.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/Autoscaling.5  |  security-control/Autoscaling.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/AutoScaling.6  |  security-control/AutoScaling.6  | 
|  aws-foundational-security-best-practices/v/1.0.0/AutoScaling.9  |  security-control/AutoScaling.9  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudFront.1  |  security-control/CloudFront.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudFront.3  |  security-control/CloudFront.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudFront.4  |  security-control/CloudFront.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudFront.5  |  security-control/CloudFront.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudFront.6  |  security-control/CloudFront.6  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudFront.7  |  security-control/CloudFront.7  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudFront.8  |  security-control/CloudFront.8  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudFront.9  |  security-control/CloudFront.9  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudFront.10  |  security-control/CloudFront.10  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudFront.12  |  security-control/CloudFront.12  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudTrail.1  |  security-control/CloudTrail.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2  |  security-control/CloudTrail.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudTrail.4  |  security-control/CloudTrail.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudTrail.5  |  security-control/CloudTrail.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/CodeBuild.1  |  security-control/CodeBuild.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/CodeBuild.2  |  security-control/CodeBuild.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/CodeBuild.3  |  security-control/CodeBuild.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/CodeBuild.4  |  security-control/CodeBuild.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/Config.1  |  security-control/Config.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/DMS.1  |  security-control/DMS.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/DynamoDB.1  |  security-control/DynamoDB.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/DynamoDB.2  |  security-control/DynamoDB.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/DynamoDB.3  |  security-control/DynamoDB.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.1  |  security-control/EC2.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.3  |  security-control/EC2.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.4  |  security-control/EC2.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.6  |  security-control/EC2.6  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.7  |  security-control/EC2.7  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.8  |  security-control/EC2.8  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.9  |  security-control/EC2.9  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.10  |  security-control/EC2.10  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.15  |  security-control/EC2.15  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.16  |  security-control/EC2.16  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.17  |  security-control/EC2.17  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.18  |  security-control/EC2.18  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.19  |  security-control/EC2.19  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.2  |  security-control/EC2.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.20  |  security-control/EC2.20  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.21  |  security-control/EC2.21  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.23  |  security-control/EC2.23  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.24  |  security-control/EC2.24  | 
|  aws-foundational-security-best-practices/v/1.0.0/EC2.25  |  security-control/EC2.25  | 
|  aws-foundational-security-best-practices/v/1.0.0/ECR.1  |  security-control/ECR.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/ECR.2  |  security-control/ECR.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/ECR.3  |  security-control/ECR.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/ECS.1  |  security-control/ECS.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/ECS.10  |  security-control/ECS.10  | 
|  aws-foundational-security-best-practices/v/1.0.0/ECS.12  |  security-control/ECS.12  | 
|  aws-foundational-security-best-practices/v/1.0.0/ECS.2  |  security-control/ECS.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/ECS.3  |  security-control/ECS.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/ECS.4  |  security-control/ECS.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/ECS.5  |  security-control/ECS.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/ECS.8  |  security-control/ECS.8  | 
|  aws-foundational-security-best-practices/v/1.0.0/EFS.1  |  security-control/EFS.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/EFS.2  |  security-control/EFS.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/EFS.3  |  security-control/EFS.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/EFS.4  |  security-control/EFS.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/EKS.2  |  security-control/EKS.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/ElasticBeanstalk.1  |  security-control/ElasticBeanstalk.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/ElasticBeanstalk.2  |  security-control/ElasticBeanstalk.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELBv2.1  |  security-control/ELB.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.2  |  security-control/ELB.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.3  |  security-control/ELB.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.4  |  security-control/ELB.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.5  |  security-control/ELB.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.6  |  security-control/ELB.6  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.7  |  security-control/ELB.7  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.8  |  security-control/ELB.8  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.9  |  security-control/ELB.9  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.10  |  security-control/ELB.10  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.11  |  security-control/ELB.11  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.12  |  security-control/ELB.12  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.13  |  security-control/ELB.13  | 
|  aws-foundational-security-best-practices/v/1.0.0/ELB.14  |  security-control/ELB.14  | 
|  aws-foundational-security-best-practices/v/1.0.0/EMR.1  |  security-control/EMR.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/ES.1  |  security-control/ES.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/ES.2  |  security-control/ES.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/ES.3  |  security-control/ES.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/ES.4  |  security-control/ES.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/ES.5  |  security-control/ES.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/ES.6  |  security-control/ES.6  | 
|  aws-foundational-security-best-practices/v/1.0.0/ES.7  |  security-control/ES.7  | 
|  aws-foundational-security-best-practices/v/1.0.0/ES.8  |  security-control/ES.8  | 
|  aws-foundational-security-best-practices/v/1.0.0/GuardDuty.1  |  security-control/GuardDuty.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/IAM.1  |  security-control/IAM.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/IAM.2  |  security-control/IAM.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/IAM.21  |  security-control/IAM.21  | 
|  aws-foundational-security-best-practices/v/1.0.0/IAM.3  |  security-control/IAM.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/IAM.4  |  security-control/IAM.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/IAM.5  |  security-control/IAM.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/IAM.6  |  security-control/IAM.6  | 
|  aws-foundational-security-best-practices/v/1.0.0/IAM.7  |  security-control/IAM.7  | 
|  aws-foundational-security-best-practices/v/1.0.0/IAM.8  |  security-control/IAM.8  | 
|  aws-foundational-security-best-practices/v/1.0.0/Kinesis.1  |  security-control/Kinesis.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/KMS.1  |  security-control/KMS.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/KMS.2  |  security-control/KMS.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/KMS.3  |  security-control/KMS.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/Lambda.1  |  security-control/Lambda.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/Lambda.2  |  security-control/Lambda.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/Lambda.5  |  security-control/Lambda.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.3  |  security-control/NetworkFirewall.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.4  |  security-control/NetworkFirewall.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.5  |  security-control/NetworkFirewall.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.6  |  security-control/NetworkFirewall.6  | 
|  aws-foundational-security-best-practices/v/1.0.0/Opensearch.1  |  security-control/Opensearch.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/Opensearch.2  |  security-control/Opensearch.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/Opensearch.3  |  security-control/Opensearch.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/Opensearch.4  |  security-control/Opensearch.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/Opensearch.5  |  security-control/Opensearch.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/Opensearch.6  |  security-control/Opensearch.6  | 
|  aws-foundational-security-best-practices/v/1.0.0/Opensearch.7  |  security-control/Opensearch.7  | 
|  aws-foundational-security-best-practices/v/1.0.0/Opensearch.8  |  security-control/Opensearch.8  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.1  |  security-control/RDS.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.10  |  security-control/RDS.10  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.11  |  security-control/RDS.11  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.12  |  security-control/RDS.12  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.13  |  security-control/RDS.13  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.14  |  security-control/RDS.14  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.15  |  security-control/RDS.15  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.16  |  security-control/RDS.16  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.17  |  security-control/RDS.17  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.19  |  security-control/RDS.19  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.2  |  security-control/RDS.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.20  |  security-control/RDS.20  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.21  |  security-control/RDS.21  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.22  |  security-control/RDS.22  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.23  |  security-control/RDS.23  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.24  |  security-control/RDS.24  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.25  |  security-control/RDS.25  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.3  |  security-control/RDS.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.4  |  security-control/RDS.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.5  |  security-control/RDS.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.6  |  security-control/RDS.6  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.7  |  security-control/RDS.7  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.8  |  security-control/RDS.8  | 
|  aws-foundational-security-best-practices/v/1.0.0/RDS.9  |  security-control/RDS.9  | 
|  aws-foundational-security-best-practices/v/1.0.0/Redshift.1  |  security-control/Redshift.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/Redshift.2  |  security-control/Redshift.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/Redshift.3  |  security-control/Redshift.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/Redshift.4  |  security-control/Redshift.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/Redshift.6  |  security-control/Redshift.6  | 
|  aws-foundational-security-best-practices/v/1.0.0/Redshift.7  |  security-control/Redshift.7  | 
|  aws-foundational-security-best-practices/v/1.0.0/Redshift.8  |  security-control/Redshift.8  | 
|  aws-foundational-security-best-practices/v/1.0.0/Redshift.9  |  security-control/Redshift.9  | 
|  aws-foundational-security-best-practices/v/1.0.0/S3.1  |  security-control/S3.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/S3.12  |  security-control/S3.12  | 
|  aws-foundational-security-best-practices/v/1.0.0/S3.13  |  security-control/S3.13  | 
|  aws-foundational-security-best-practices/v/1.0.0/S3.2  |  security-control/S3.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/S3.3  |  security-control/S3.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/S3.5  |  security-control/S3.5  | 
|  aws-foundational-security-best-practices/v/1.0.0/S3.6  |  security-control/S3.6  | 
|  aws-foundational-security-best-practices/v/1.0.0/S3.8  |  security-control/S3.8  | 
|  aws-foundational-security-best-practices/v/1.0.0/S3.9  |  security-control/S3.9  | 
|  aws-foundational-security-best-practices/v/1.0.0/SageMaker.1  |  security-control/SageMaker.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/SageMaker.2  |  security-control/SageMaker.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/SageMaker.3  |  security-control/SageMaker.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/SecretsManager.1  |  security-control/SecretsManager.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/SecretsManager.2  |  security-control/SecretsManager.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/SecretsManager.3  |  security-control/SecretsManager.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/SecretsManager.4  |  security-control/SecretsManager.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/SQS.1  |  security-control/SQS.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/SSM.1  |  security-control/SSM.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/SSM.2  |  security-control/SSM.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/SSM.3  |  security-control/SSM.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/SSM.4  |  security-control/SSM.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/WAF.1  |  security-control/WAF.1  | 
|  aws-foundational-security-best-practices/v/1.0.0/WAF.2  |  security-control/WAF.2  | 
|  aws-foundational-security-best-practices/v/1.0.0/WAF.3  |  security-control/WAF.3  | 
|  aws-foundational-security-best-practices/v/1.0.0/WAF.4  |  security-control/WAF.4  | 
|  aws-foundational-security-best-practices/v/1.0.0/WAF.6  |  security-control/WAF.6  | 
|  aws-foundational-security-best-practices/v/1.0.0/WAF.7  |  security-control/WAF.7  | 
|  aws-foundational-security-best-practices/v/1.0.0/WAF.8  |  security-control/WAF.8  | 
|  aws-foundational-security-best-practices/v/1.0.0/WAF.10  |  security-control/WAF.10  | 
|  pci-dss/v/3.2.1/PCI.AutoScaling.1  |  security-control/AutoScaling.1  | 
|  pci-dss/v/3.2.1/PCI.CloudTrail.1  |  security-control/CloudTrail.2  | 
|  pci-dss/v/3.2.1/PCI.CloudTrail.2  |  security-control/CloudTrail.3  | 
|  pci-dss/v/3.2.1/PCI.CloudTrail.3  |  security-control/CloudTrail.4  | 
|  pci-dss/v/3.2.1/PCI.CloudTrail.4  |  security-control/CloudTrail.5  | 
|  pci-dss/v/3.2.1/PCI.CodeBuild.1  |  security-control/CodeBuild.1  | 
|  pci-dss/v/3.2.1/PCI.CodeBuild.2  |  security-control/CodeBuild.2  | 
|  pci-dss/v/3.2.1/PCI.Config.1  |  security-control/Config.1  | 
|  pci-dss/v/3.2.1/PCI.CW.1  |  security-control/CloudWatch.1  | 
|  pci-dss/v/3.2.1/PCI.DMS.1  |  security-control/DMS.1  | 
|  pci-dss/v/3.2.1/PCI.EC2.1  |  security-control/EC2.1  | 
|  pci-dss/v/3.2.1/PCI.EC2.2  |  security-control/EC2.2  | 
|  pci-dss/v/3.2.1/PCI.EC2.4  |  security-control/EC2.12  | 
|  pci-dss/v/3.2.1/PCI.EC2.5  |  security-control/EC2.13  | 
|  pci-dss/v/3.2.1/PCI.EC2.6  |  security-control/EC2.6  | 
|  pci-dss/v/3.2.1/PCI.ELBv2.1  |  security-control/ELB.1  | 
|  pci-dss/v/3.2.1/PCI.ES.1  |  security-control/ES.2  | 
|  pci-dss/v/3.2.1/PCI.ES.2  |  security-control/ES.1  | 
|  pci-dss/v/3.2.1/PCI.GuardDuty.1  |  security-control/GuardDuty.1  | 
|  pci-dss/v/3.2.1/PCI.IAM.1  |  security-control/IAM.4  | 
|  pci-dss/v/3.2.1/PCI.IAM.2  |  security-control/IAM.2  | 
|  pci-dss/v/3.2.1/PCI.IAM.3  |  security-control/IAM.1  | 
|  pci-dss/v/3.2.1/PCI.IAM.4  |  security-control/IAM.6  | 
|  pci-dss/v/3.2.1/PCI.IAM.5  |  security-control/IAM.9  | 
|  pci-dss/v/3.2.1/PCI.IAM.6  |  security-control/IAM.19  | 
|  pci-dss/v/3.2.1/PCI.IAM.7  |  security-control/IAM.8  | 
|  pci-dss/v/3.2.1/PCI.IAM.8  |  security-control/IAM.10  | 
|  pci-dss/v/3.2.1/PCI.KMS.1  |  security-control/KMS.4  | 
|  pci-dss/v/3.2.1/PCI.Lambda.1  |  security-control/Lambda.1  | 
|  pci-dss/v/3.2.1/PCI.Lambda.2  |  security-control/Lambda.3  | 
|  pci-dss/v/3.2.1/PCI.Opensearch.1  |  security-control/Opensearch.2  | 
|  pci-dss/v/3.2.1/PCI.Opensearch.2  |  security-control/Opensearch.1  | 
|  pci-dss/v/3.2.1/PCI.RDS.1  |  security-control/RDS.1  | 
|  pci-dss/v/3.2.1/PCI.RDS.2  |  security-control/RDS.2  | 
|  pci-dss/v/3.2.1/PCI.Redshift.1  |  security-control/Redshift.1  | 
|  pci-dss/v/3.2.1/PCI.S3.1  |  security-control/S3.3  | 
|  pci-dss/v/3.2.1/PCI.S3.2  |  security-control/S3.2  | 
|  pci-dss/v/3.2.1/PCI.S3.3  |  security-control/S3.7  | 
|  pci-dss/v/3.2.1/PCI.S3.5  |  security-control/S3.5  | 
|  pci-dss/v/3.2.1/PCI.S3.6  |  security-control/S3.1  | 
|  pci-dss/v/3.2.1/PCI.SageMaker.1  |  security-control/SageMaker.1  | 
|  pci-dss/v/3.2.1/PCI.SSM.1  |  security-control/SSM.2  | 
|  pci-dss/v/3.2.1/PCI.SSM.2  |  security-control/SSM.3  | 
|  pci-dss/v/3.2.1/PCI.SSM.3  |  security-control/SSM.1  | 
|  service-managed-aws-control-tower/v/1.0.0/ACM.1  |  security-control/ACM.1  | 
|  service-managed-aws-control-tower/v/1.0.0/APIGateway.1  |  security-control/APIGateway.1  | 
|  service-managed-aws-control-tower/v/1.0.0/APIGateway.2  |  security-control/APIGateway.2  | 
|  service-managed-aws-control-tower/v/1.0.0/APIGateway.3  |  security-control/APIGateway.3  | 
|  service-managed-aws-control-tower/v/1.0.0/APIGateway.4  |  security-control/APIGateway.4  | 
|  service-managed-aws-control-tower/v/1.0.0/APIGateway.5  |  security-control/APIGateway.5  | 
|  service-managed-aws-control-tower/v/1.0.0/AutoScaling.1  |  security-control/AutoScaling.1  | 
|  service-managed-aws-control-tower/v/1.0.0/AutoScaling.2  |  security-control/AutoScaling.2  | 
|  service-managed-aws-control-tower/v/1.0.0/AutoScaling.3  |  security-control/AutoScaling.3  | 
|  service-managed-aws-control-tower/v/1.0.0/AutoScaling.4  |  security-control/AutoScaling.4  | 
|  service-managed-aws-control-tower/v/1.0.0/Autoscaling.5  |  security-control/Autoscaling.5  | 
|  service-managed-aws-control-tower/v/1.0.0/AutoScaling.6  |  security-control/AutoScaling.6  | 
|  service-managed-aws-control-tower/v/1.0.0/AutoScaling.9  |  security-control/AutoScaling.9  | 
|  service-managed-aws-control-tower/v/1.0.0/CloudTrail.1  |  security-control/CloudTrail.1  | 
|  service-managed-aws-control-tower/v/1.0.0/CloudTrail.2  |  security-control/CloudTrail.2  | 
|  service-managed-aws-control-tower/v/1.0.0/CloudTrail.4  |  security-control/CloudTrail.4  | 
|  service-managed-aws-control-tower/v/1.0.0/CloudTrail.5  |  security-control/CloudTrail.5  | 
|  service-managed-aws-control-tower/v/1.0.0/CodeBuild.1  |  security-control/CodeBuild.1  | 
|  service-managed-aws-control-tower/v/1.0.0/CodeBuild.2  |  security-control/CodeBuild.2  | 
|  service-managed-aws-control-tower/v/1.0.0/CodeBuild.4  |  security-control/CodeBuild.4  | 
|  service-managed-aws-control-tower/v/1.0.0/CodeBuild.5  |  security-control/CodeBuild.5  | 
|  service-managed-aws-control-tower/v/1.0.0/DMS.1  |  security-control/DMS.1  | 
|  service-managed-aws-control-tower/v/1.0.0/DynamoDB.1  |  security-control/DynamoDB.1  | 
|  service-managed-aws-control-tower/v/1.0.0/DynamoDB.2  |  security-control/DynamoDB.2  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.1  |  security-control/EC2.1  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.2  |  security-control/EC2.2  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.3  |  security-control/EC2.3  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.4  |  security-control/EC2.4  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.6  |  security-control/EC2.6  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.7  |  security-control/EC2.7  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.8  |  security-control/EC2.8  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.9  |  security-control/EC2.9  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.10  |  security-control/EC2.10  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.15  |  security-control/EC2.15  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.16  |  security-control/EC2.16  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.17  |  security-control/EC2.17  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.18  |  security-control/EC2.18  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.19  |  security-control/EC2.19  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.20  |  security-control/EC2.20  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.21  |  security-control/EC2.21  | 
|  service-managed-aws-control-tower/v/1.0.0/EC2.22  |  security-control/EC2.22  | 
|  service-managed-aws-control-tower/v/1.0.0/ECR.1  |  security-control/ECR.1  | 
|  service-managed-aws-control-tower/v/1.0.0/ECR.2  |  security-control/ECR.2  | 
|  service-managed-aws-control-tower/v/1.0.0/ECR.3  |  security-control/ECR.3  | 
|  service-managed-aws-control-tower/v/1.0.0/ECS.1  |  security-control/ECS.1  | 
|  service-managed-aws-control-tower/v/1.0.0/ECS.2  |  security-control/ECS.2  | 
|  service-managed-aws-control-tower/v/1.0.0/ECS.3  |  security-control/ECS.3  | 
|  service-managed-aws-control-tower/v/1.0.0/ECS.4  |  security-control/ECS.4  | 
|  service-managed-aws-control-tower/v/1.0.0/ECS.5  |  security-control/ECS.5  | 
|  service-managed-aws-control-tower/v/1.0.0/ECS.8  |  security-control/ECS.8  | 
|  service-managed-aws-control-tower/v/1.0.0/ECS.10  |  security-control/ECS.10  | 
|  service-managed-aws-control-tower/v/1.0.0/ECS.12  |  security-control/ECS.12  | 
|  service-managed-aws-control-tower/v/1.0.0/EFS.1  |  security-control/EFS.1  | 
|  service-managed-aws-control-tower/v/1.0.0/EFS.2  |  security-control/EFS.2  | 
|  service-managed-aws-control-tower/v/1.0.0/EFS.3  |  security-control/EFS.3  | 
|  service-managed-aws-control-tower/v/1.0.0/EFS.4  |  security-control/EFS.4  | 
|  service-managed-aws-control-tower/v/1.0.0/EKS.2  |  security-control/EKS.2  | 
|  service-managed-aws-control-tower/v/1.0.0/ELB.2  |  security-control/ELB.2  | 
|  service-managed-aws-control-tower/v/1.0.0/ELB.3  |  security-control/ELB.3  | 
|  service-managed-aws-control-tower/v/1.0.0/ELB.4  |  security-control/ELB.4  | 
|  service-managed-aws-control-tower/v/1.0.0/ELB.5  |  security-control/ELB.5  | 
|  service-managed-aws-control-tower/v/1.0.0/ELB.6  |  security-control/ELB.6  | 
|  service-managed-aws-control-tower/v/1.0.0/ELB.7  |  security-control/ELB.7  | 
|  service-managed-aws-control-tower/v/1.0.0/ELB.8  |  security-control/ELB.8  | 
|  service-managed-aws-control-tower/v/1.0.0/ELB.9  |  security-control/ELB.9  | 
|  service-managed-aws-control-tower/v/1.0.0/ELB.10  |  security-control/ELB.10  | 
|  service-managed-aws-control-tower/v/1.0.0/ELB.12  |  security-control/ELB.12  | 
|  service-managed-aws-control-tower/v/1.0.0/ELB.13  |  security-control/ELB.13  | 
|  service-managed-aws-control-tower/v/1.0.0/ELB.14  |  security-control/ELB.14  | 
|  service-managed-aws-control-tower/v/1.0.0/ELBv2.1  |  security-control/ELBv2.1  | 
|  service-managed-aws-control-tower/v/1.0.0/EMR.1  |  security-control/EMR.1  | 
|  service-managed-aws-control-tower/v/1.0.0/ES.1  |  security-control/ES.1  | 
|  service-managed-aws-control-tower/v/1.0.0/ES.2  |  security-control/ES.2  | 
|  service-managed-aws-control-tower/v/1.0.0/ES.3  |  security-control/ES.3  | 
|  service-managed-aws-control-tower/v/1.0.0/ES.4  |  security-control/ES.4  | 
|  service-managed-aws-control-tower/v/1.0.0/ES.5  |  security-control/ES.5  | 
|  service-managed-aws-control-tower/v/1.0.0/ES.6  |  security-control/ES.6  | 
|  service-managed-aws-control-tower/v/1.0.0/ES.7  |  security-control/ES.7  | 
|  service-managed-aws-control-tower/v/1.0.0/ES.8  |  security-control/ES.8  | 
|  service-managed-aws-control-tower/v/1.0.0/ElasticBeanstalk.1  |  security-control/ElasticBeanstalk.1  | 
|  service-managed-aws-control-tower/v/1.0.0/ElasticBeanstalk.2  |  security-control/ElasticBeanstalk.2  | 
|  service-managed-aws-control-tower/v/1.0.0/GuardDuty.1  |  security-control/GuardDuty.1  | 
|  service-managed-aws-control-tower/v/1.0.0/IAM.1  |  security-control/IAM.1  | 
|  service-managed-aws-control-tower/v/1.0.0/IAM.2  |  security-control/IAM.2  | 
|  service-managed-aws-control-tower/v/1.0.0/IAM.3  |  security-control/IAM.3  | 
|  service-managed-aws-control-tower/v/1.0.0/IAM.4  |  security-control/IAM.4  | 
|  service-managed-aws-control-tower/v/1.0.0/IAM.5  |  security-control/IAM.5  | 
|  service-managed-aws-control-tower/v/1.0.0/IAM.6  |  security-control/IAM.6  | 
|  service-managed-aws-control-tower/v/1.0.0/IAM.7  |  security-control/IAM.7  | 
|  service-managed-aws-control-tower/v/1.0.0/IAM.8  |  security-control/IAM.8  | 
|  service-managed-aws-control-tower/v/1.0.0/IAM.21  |  security-control/IAM.21  | 
|  service-managed-aws-control-tower/v/1.0.0/Kinesis.1  |  security-control/Kinesis.1  | 
|  service-managed-aws-control-tower/v/1.0.0/KMS.1  |  security-control/KMS.1  | 
|  service-managed-aws-control-tower/v/1.0.0/KMS.2  |  security-control/KMS.2  | 
|  service-managed-aws-control-tower/v/1.0.0/KMS.3  |  security-control/KMS.3  | 
|  service-managed-aws-control-tower/v/1.0.0/Lambda.1  |  security-control/Lambda.1  | 
|  service-managed-aws-control-tower/v/1.0.0/Lambda.2  |  security-control/Lambda.2  | 
|  service-managed-aws-control-tower/v/1.0.0/Lambda.5  |  security-control/Lambda.5  | 
|  service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.3  |  security-control/NetworkFirewall.3  | 
|  service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.4  |  security-control/NetworkFirewall.4  | 
|  service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.5  |  security-control/NetworkFirewall.5  | 
|  service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.6  |  security-control/NetworkFirewall.6  | 
|  service-managed-aws-control-tower/v/1.0.0/Opensearch.1  |  security-control/Opensearch.1  | 
|  service-managed-aws-control-tower/v/1.0.0/Opensearch.2  |  security-control/Opensearch.2  | 
|  service-managed-aws-control-tower/v/1.0.0/Opensearch.3  |  security-control/Opensearch.3  | 
|  service-managed-aws-control-tower/v/1.0.0/Opensearch.4  |  security-control/Opensearch.4  | 
|  service-managed-aws-control-tower/v/1.0.0/Opensearch.5  |  security-control/Opensearch.5  | 
|  service-managed-aws-control-tower/v/1.0.0/Opensearch.6  |  security-control/Opensearch.6  | 
|  service-managed-aws-control-tower/v/1.0.0/Opensearch.7  |  security-control/Opensearch.7  | 
|  service-managed-aws-control-tower/v/1.0.0/Opensearch.8  |  security-control/Opensearch.8  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.1  |  security-control/RDS.1  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.2  |  security-control/RDS.2  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.3  |  security-control/RDS.3  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.4  |  security-control/RDS.4  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.5  |  security-control/RDS.5  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.6  |  security-control/RDS.6  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.8  |  security-control/RDS.8  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.9  |  security-control/RDS.9  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.10  |  security-control/RDS.10  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.11  |  security-control/RDS.11  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.13  |  security-control/RDS.13  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.17  |  security-control/RDS.17  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.18  |  security-control/RDS.18  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.19  |  security-control/RDS.19  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.20  |  security-control/RDS.20  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.21  |  security-control/RDS.21  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.22  |  security-control/RDS.22  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.23  |  security-control/RDS.23  | 
|  service-managed-aws-control-tower/v/1.0.0/RDS.25  |  security-control/RDS.25  | 
|  service-managed-aws-control-tower/v/1.0.0/Redshift.1  |  security-control/Redshift.1  | 
|  service-managed-aws-control-tower/v/1.0.0/Redshift.2  |  security-control/Redshift.2  | 
|  service-managed-aws-control-tower/v/1.0.0/Redshift.4  |  security-control/Redshift.4  | 
|  service-managed-aws-control-tower/v/1.0.0/Redshift.6  |  security-control/Redshift.6  | 
|  service-managed-aws-control-tower/v/1.0.0/Redshift.7  |  security-control/Redshift.7  | 
|  service-managed-aws-control-tower/v/1.0.0/Redshift.8  |  security-control/Redshift.8  | 
|  service-managed-aws-control-tower/v/1.0.0/Redshift.9  |  security-control/Redshift.9  | 
|  service-managed-aws-control-tower/v/1.0.0/S3.1  |  security-control/S3.1  | 
|  service-managed-aws-control-tower/v/1.0.0/S3.2  |  security-control/S3.2  | 
|  service-managed-aws-control-tower/v/1.0.0/S3.3  |  security-control/S3.3  | 
|  service-managed-aws-control-tower/v/1.0.0/S3.5  |  security-control/S3.5  | 
|  service-managed-aws-control-tower/v/1.0.0/S3.6  |  security-control/S3.6  | 
|  service-managed-aws-control-tower/v/1.0.0/S3.8  |  security-control/S3.8  | 
|  service-managed-aws-control-tower/v/1.0.0/S3.9  |  security-control/S3.9  | 
|  service-managed-aws-control-tower/v/1.0.0/S3.12  |  security-control/S3.12  | 
|  service-managed-aws-control-tower/v/1.0.0/S3.13  |  security-control/S3.13  | 
|  service-managed-aws-control-tower/v/1.0.0/SageMaker.1  |  security-control/SageMaker.1  | 
|  service-managed-aws-control-tower/v/1.0.0/SecretsManager.1  |  security-control/SecretsManager.1  | 
|  service-managed-aws-control-tower/v/1.0.0/SecretsManager.2  |  security-control/SecretsManager.2  | 
|  service-managed-aws-control-tower/v/1.0.0/SecretsManager.3  |  security-control/SecretsManager.3  | 
|  service-managed-aws-control-tower/v/1.0.0/SecretsManager.4  |  security-control/SecretsManager.4  | 
|  service-managed-aws-control-tower/v/1.0.0/SQS.1  |  security-control/SQS.1  | 
|  service-managed-aws-control-tower/v/1.0.0/SSM.1  |  security-control/SSM.1  | 
|  service-managed-aws-control-tower/v/1.0.0/SSM.2  |  security-control/SSM.2  | 
|  service-managed-aws-control-tower/v/1.0.0/SSM.3  |  security-control/SSM.3  | 
|  service-managed-aws-control-tower/v/1.0.0/SSM.4  |  security-control/SSM.4  | 
|  service-managed-aws-control-tower/v/1.0.0/WAF.2  |  security-control/WAF.2  | 
|  service-managed-aws-control-tower/v/1.0.0/WAF.3  |  security-control/WAF.3  | 
|  service-managed-aws-control-tower/v/1.0.0/WAF.4  |  security-control/WAF.4  | 

## 統合がコントロール ID とタイトルに与える影響
<a name="securityhub-findings-format-changes-ids-titles"></a>

統合されたコントロールビューと統合されたコントロールの検出結果は、コントロール ID とタイトルを標準間で標準化します。*セキュリティコントロール ID* と*セキュリティコントロールタイトル*という用語は、これらの標準にとらわれない値を指します。

Security Hub CSPM コンソールには、アカウントで統合コントロールの検出結果が有効か無効かに関係なく、標準に依存しないセキュリティコントロール ID とセキュリティコントロールのタイトルが表示されます。ただし、アカウントで統合コントロール検出結果が無効になっている場合、Security Hub CSPM の検出結果には、PCI DSS および CIS v1.2.0 に固有のコントロールタイトルが含まれます。さらに、Security Hub CSPM の検出結果には、標準固有のコントロール ID とセキュリティコントロール ID が含まれます。統合がコントロールの検出結果にどのように影響するかの例については、「[コントロール検出結果のサンプル](sample-control-findings.md)」を参照してください。

[AWS Control Tower サービス管理型標準](service-managed-standard-aws-control-tower.md)に含まれるコントロールについては、統合コントロールフィンディングが有効になっている場合、検出結果内のコントロール ID とタイトルから `CT.` プレフィックスが削除されます。

Security Hub CSPM でセキュリティコントロールを無効にするには、セキュリティコントロールに対応するすべての標準コントロールを無効にする必要があります。次の表に、セキュリティコントロール ID とタイトルを標準固有のコントロール ID とタイトルにマッピングする方法について示します。 AWS Foundational Security Best Practices (FSBP) 標準に属するコントロールの IDs とタイトルは、既に標準に依存しません。コントロールと Center for Internet Security (CIS) v3.0.0 の要件のマッピングについては、「[各バージョンの CIS 要件に対するコントロールのマッピング](cis-aws-foundations-benchmark.md#cis-version-comparison)」を参照してください。このテーブルで独自のスクリプトを実行するには、[.csv ファイルとしてダウンロード](samples/Consolidation_ID_Title_Changes.csv.zip)できます。


| 標準 | 標準コントロール ID とタイトル | セキュリティコントロール ID とタイトル | 
| --- | --- | --- | 
|  CIS v1.2.0  |  1.1 ルートユーザーの使用を避ける  |  [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.2.0  |  1.10 IAM パスワードポリシーでパスワードの再使用を防止していることを確認する  |  [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)  | 
|  CIS v1.2.0  |  1.11 IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認する  |  [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17)  | 
|  CIS v1.2.0  |  1.12 ルートユーザーのアクセスキーが存在しないことを確認する  |  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)  | 
|  CIS v1.2.0  |  1.13 MFA がルートユーザーで有効になっていることを確認する  |  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)  | 
|  CIS v1.2.0  |  1.14 ハードウェア MFA がルートユーザーで有効になっていることを確認する  |  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)  | 
|  CIS v1.2.0  |  1.16 IAM ポリシーがグループまたはロールだけにアタッチされていることを確認する  |  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)  | 
|  CIS v1.2.0  |  1.2 コンソールパスワードを持つすべての IAM ユーザーに対して多要素認証 (MFA) が有効であることを確認する  |  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)  | 
|  CIS v1.2.0  |  1.20 サポートでインシデントを管理するためのサポートロールが作成されていることを確認する  |  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)  | 
|  CIS v1.2.0  |  1.22 完全な「\$1:\$1」管理者権限を許可する IAM ポリシーが作成されていないことを確認する  |  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)  | 
|  CIS v1.2.0  |  1.3 90 日間以上使用されていない認証情報は無効にします。  |  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)  | 
|  CIS v1.2.0  |  1.4 アクセスキーは 90 日ごとに更新します。  |  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)  | 
|  CIS v1.2.0  |  1.5 IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認する  |  [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11)  | 
|  CIS v1.2.0  |  1.6 IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認する  |  [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12)  | 
|  CIS v1.2.0  |  1.7 IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認する  |  [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13)  | 
|  CIS v1.2.0  |  1.8 IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認する  |  [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14)  | 
|  CIS v1.2.0  |  1.9 IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認する  |  [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)  | 
|  CIS v1.2.0  |  2.1 CloudTrail がすべてのリージョンで有効であることを確認する  |  [[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)  | 
|  CIS v1.2.0  |  2.2 CloudTrail ログファイル検証が有効であることを確認する  |  [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)  | 
|  CIS v1.2.0  |  2.3 CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認する  |  [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6)  | 
|  CIS v1.2.0  |  2.4 CloudTrail 証跡が CloudWatch ログと統合されていることを確認する  |  [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5)  | 
|  CIS v1.2.0  |  2.5 AWS Config が有効になっていることを確認する  |  [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)  | 
|  CIS v1.2.0  |  2.6 CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認する  |  [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)  | 
|  CIS v1.2.0  |  2.7 CloudTrail ログは保管時に KMS CMK を使用して暗号化されていることを確認する  |  [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)  | 
|  CIS v1.2.0  |  2.8 カスタマー作成の CMK のローテーションが有効になっていることを確認します  |  [[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)  | 
|  CIS v1.2.0  |  2.9 すべての VPC で VPC フローログ記録が有効になっていることを確認します  |  [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)  | 
|  CIS v1.2.0  |  3.1 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します  |  [[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2)  | 
|  CIS v1.2.0  |  3.10 セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します  |  [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)  | 
|  CIS v1.2.0  |  3.11 ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します  |  [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)  | 
|  CIS v1.2.0  |  3.12 ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します  |  [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)  | 
|  CIS v1.2.0  |  3.13 ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します  |  [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)  | 
|  CIS v1.2.0  |  3.14 VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します  |  [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)  | 
|  CIS v1.2.0  |  3.2 MFA を使用しないマネジメントコンソールサインインに対してログメトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-3)  | 
|  CIS v1.2.0  |  3.3 ルートユーザーに使用するログメトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.2.0  |  3.4 IAM ポリシーの変更に対するログメトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)  | 
|  CIS v1.2.0  |  3.5 CloudTrail 設定の変更に対するログ メトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)  | 
|  CIS v1.2.0  |  3.6 AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する  |  [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)  | 
|  CIS v1.2.0  |  3.7 カスタマー作成の CMK の無効化またはスケジュールされた削除に対してログメトリクスフィルターとアラームが存在することを確認します  |  [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)  | 
|  CIS v1.2.0  |  3.8 S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します  |  [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)  | 
|  CIS v1.2.0  |  3.9 AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する  |  [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)  | 
|  CIS v1.2.0  |  4.1 どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないようにします  |  [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)  | 
|  CIS v1.2.0  |  4.2 どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないようにします  |  [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14)  | 
|  CIS v1.2.0  |  4.3 すべての VPC のデフォルトセキュリティグループがすべてのトラフィックを制限するようにします。  |  [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)  | 
|  CIS v1.4.0  |  1.10 コンソールパスワードを持つすべての IAM ユーザーに対して多要素認証 (MFA) が有効であることを確認する  |  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)  | 
|  CIS v1.4.0  |  1.14 アクセスキーは 90 日以内ごとに更新されているのを確認する  |  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)  | 
|  CIS v1.4.0  |  1.16 完全な「\$1:\$1」管理権限を許可する IAM ポリシーがアタッチされていないことを確認する  |  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)  | 
|  CIS v1.4.0  |  1.17 サポートでインシデントを管理するためのサポートロールが作成されていることを確認する  |  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)  | 
|  CIS v1.4.0  |  1.4 ルートユーザーアカウントのアクセスキーが存在しないことを確認する  |  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)  | 
|  CIS v1.4.0  |  1.5 ルートユーザーアカウントで MFA が有効であることを確認する  |  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)  | 
|  CIS v1.4.0  |  1.6 ルートユーザーアカウントでハードウェア MFA が有効であることを確認する  |  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)  | 
|  CIS v1.4.0  |  1.7 管理および日常のタスクでのルートユーザーの使用を排除する  |  [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.4.0  |  1.8 IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認する  |  [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)  | 
|  CIS v1.4.0  |  1.9 IAM パスワードポリシーでパスワードの再使用を防止していることを確認する  |  [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)  | 
|  CIS v1.4.0  |  2.1.2 S3 バケットポリシーが HTTP リクエストを拒否するように設定されていることを確認する  |  [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)  | 
|  CIS v1.4.0  |  2.1.5.1 S3 ブロックパブリックアクセス設定を有効にする必要があります  |  [[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)  | 
|  CIS v1.4.0  |  2.1.5.2 S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります  |  [[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)  | 
|  CIS v1.4.0  |  2.2.1 EBS ボリュームの暗号化が有効であることを確認する  |  [[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)  | 
|  CIS v1.4.0  |  2.3.1 RDS インスタンスで暗号化が有効であることを確認する  |  [[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)  | 
|  CIS v1.4.0  |  3.1 CloudTrail がすべてのリージョンで有効であることを確認する  |  [[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)  | 
|  CIS v1.4.0  |  3.2 CloudTrail ログファイル検証が有効であることを確認する  |  [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)  | 
|  CIS v1.4.0  |  3.4 CloudTrail 証跡が CloudWatch ログと統合されていることを確認する  |  [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5)  | 
|  CIS v1.4.0  |  3.5 すべてのリージョンで AWS Config が有効になっていることを確認する  |  [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)  | 
|  CIS v1.4.0  |  3.6 CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認する  |  [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)  | 
|  CIS v1.4.0  |  3.7 CloudTrail ログは保管時に KMS CMK を使用して暗号化されていることを確認する  |  [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)  | 
|  CIS v1.4.0  |  3.8 カスタマー作成の CMK のローテーションが有効になっていることを確認する  |  [[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)  | 
|  CIS v1.4.0  |  3.9 すべての VPC で VPC フローログ記録が有効になっていることを確認する  |  [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)  | 
|  CIS v1.4.0  |  4.4 IAM ポリシーの変更に対するログメトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)  | 
|  CIS v1.4.0  |  4.5 CloudTrail 設定の変更に対するログメトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)  | 
|  CIS v1.4.0  |  4.6 AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する  |  [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)  | 
|  CIS v1.4.0  |  4.7 カスタマー作成の CMK の無効化またはスケジュールされた削除に対してログメトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)  | 
|  CIS v1.4.0  |  4.8 S3 バケットの変更に対してログメトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)  | 
|  CIS v1.4.0  |  4.9 AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する  |  [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)  | 
|  CIS v1.4.0  |  4.10 セキュリティグループの変更に対するログメトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)  | 
|  CIS v1.4.0  |  4.11 ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)  | 
|  CIS v1.4.0  |  4.12 ネットワークゲートウェイへの変更に対するログメトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)  | 
|  CIS v1.4.0  |  4.13 ルートテーブルの変更に対してログメトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)  | 
|  CIS v1.4.0  |  4.14 VPC の変更に対してログメトリックフィルターとアラームが存在することを確認する  |  [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)  | 
|  CIS v1.4.0  |  5.1 ネットワーク ACL が 0.0.0.0/0 からリモートサーバー管理ポートへの侵入を許可していないことを確認する  |  [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)  | 
|  CIS v1.4.0  |  5.3 すべての VPC のデフォルトセキュリティグループがすべてのトラフィックを制限するようにします  |  [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)  | 
|  PCI DSS v3.2.1  |  PCI.AutoScaling.1 ロードバランサーに関連付けられた Auto Scaling グループは、ロードバランサーのヘルスチェックを使用する必要があります  |  [[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある](autoscaling-controls.md#autoscaling-1)  | 
|  PCI DSS v3.2.1  |  PCI.CloudTrail.1 CloudTrail ログは、 AWS KMS CMKs を使用して保管時に暗号化する必要があります  |  [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)  | 
|  PCI DSS v3.2.1  |  PCI.CloudTrail.2 CloudTrail を有効にする必要があります  |  [[CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります](cloudtrail-controls.md#cloudtrail-3)  | 
|  PCI DSS v3.2.1  |  PCI.CloudTrail.3 CloudTrail ログファイルの検証を有効にする必要があります  |  [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)  | 
|  PCI DSS v3.2.1  |  PCI.CloudTrail.4 CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります  |  [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5)  | 
|  PCI DSS v3.2.1  |  PCI.CodeBuild.1 CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります  |  [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1)  | 
|  PCI DSS v3.2.1  |  PCI.CodeBuild.2 CodeBuild プロジェクト環境変数に、クリアテキストの認証情報を含めるべきではない  |  [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2)  | 
|  PCI DSS v3.2.1  |  PCI.Config.1 AWS Config を有効にする必要があります  |  [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)  | 
|  PCI DSS v3.2.1  |  PCI.CW.1「ルート」ユーザーの使用に対するログメトリックフィルターとアラームが存在する必要があります  |  [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)  | 
|  PCI DSS v3.2.1  |  PCI.DMS.1 Database Migration Service のレプリケーションインスタンスはパブリックではない必要があります  |  [[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります](dms-controls.md#dms-1)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.1 EBS スナップショットをパブリックに復元可能であってはなりません  |  [[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします](ec2-controls.md#ec2-1)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.2 VPC のデフォルトのセキュリティグループで、インバウンドトラフィックとアウトバウンドトラフィックを禁止する必要があります  |  [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.4 未使用の EC2 EIP を削除する必要があります  |  [[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします](ec2-controls.md#ec2-12)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.5 セキュリティグループは、0.0.0.0/0 からポート 22 への入力を許可しないようにする必要があります  |  [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.6 VPC フローログ記録をすべての VPC で有効にする必要があります  |  [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)  | 
|  PCI DSS v3.2.1  |  PCI.ELBv2.1 Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります  |  [[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります](elb-controls.md#elb-1)  | 
|  PCI DSS v3.2.1  |  PCI.ES.1 Elasticsearch ドメインは VPC 内に存在する必要があります  |  [[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります](es-controls.md#es-2)  | 
|  PCI DSS v3.2.1  |  PCI.ES.2 Elasticsearch ドメインで保管中の暗号化を有効にする必要があります  |  [[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります](es-controls.md#es-1)  | 
|  PCI DSS v3.2.1  |  PCI.GuardDuty.1 GuardDuty を有効にする必要があります  |  [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.1 IAM ルートユーザーのアクセスキーが存在していてはなりません  |  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.2 IAM ユーザーには IAM ポリシーをアタッチしてはなりません  |  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.3 IAM ポリシーで、完全な「\$1」管理者権限を許可してはなりません  |  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.4 ルートユーザーに対してハードウェア MFA を有効にする必要があります  |  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.5 ルートユーザーに対して仮想 MFA を有効にする必要があります  |  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.6 すべての IAM ユーザーに対して MFA を有効にする必要があります  |  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.7 IAM ユーザー認証情報が事前定義された日数以内に使用されない場合、認証情報を無効にする必要があります  |  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.8 IAM ユーザーのパスワードポリシーには強力な設定が必要です  |  [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10)  | 
|  PCI DSS v3.2.1  |  PCI.KMS.1 カスタマーマスターキー (CMK) ローテーションを有効にする必要があります  |  [[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)  | 
|  PCI DSS v3.2.1  |  PCI.Lambda.1 Lambda 関数は、パブリックアクセスを禁止する必要があります  |  [[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります](lambda-controls.md#lambda-1)  | 
|  PCI DSS v3.2.1  |  PCI.Lambda.2 Lambda 関数は VPC 内に存在する必要があります  |  [[Lambda.3] Lambda 関数は VPC 内に存在する必要があります](lambda-controls.md#lambda-3)  | 
|  PCI DSS v3.2.1  |  PCI.Opensearch.1 OpenSearch ドメインは VPC 内に含まれている必要があります  |  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2)  | 
|  PCI DSS v3.2.1  |  PCI.Opensearch.2 EBS スナップショットをパブリックに復元可能であってはなりません  |  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1)  | 
|  PCI DSS v3.2.1  |  PCI.RDS.1 RDS スナップショットはプライベートである必要があります  |  [[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1)  | 
|  PCI DSS v3.2.1  |  PCI.RDS.2 RDS DB インスタンスでパブリックアクセスを禁止する必要があります  |  [[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)  | 
|  PCI DSS v3.2.1  |  PCI.Redshift.1 Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります  |  [[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1)  | 
|  PCI DSS v3.2.1  |  PCI.S3.1 S3 バケットはパブリック書き込みアクセスを禁止する必要があります  |  [[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。](s3-controls.md#s3-3)  | 
|  PCI DSS v3.2.1  |  PCI.S3.2 S3 バケットではパブリック読み取りアクセスを禁止する必要があります  |  [[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります](s3-controls.md#s3-2)  | 
|  PCI DSS v3.2.1  |  PCI.S3.3 S3 バケットでクロスリージョンレプリケーションを有効にする必要があります  |  [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7)  | 
|  PCI DSS v3.2.1  |  PCI.S3.5 S3 バケットは Secure Socket Layer を使用するリクエストを要求する必要があります  |  [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)  | 
|  PCI DSS v3.2.1  |  PCI.S3.6 S3 パブリックアクセスブロック設定を有効にする必要があります  |  [[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)  | 
|  PCI DSS v3.2.1  |  PCI.SageMaker.1 Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります  |  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1)  | 
|  PCI DSS v3.2.1  |  PCI.SSM.1 Systems Manager によって管理される EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります  |  [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2)  | 
|  PCI DSS v3.2.1  |  PCI.SSM.2 Systems Manager によって管理される EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります  |  [[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3)  | 
|  PCI DSS v3.2.1  |  PCI.SSM.3 EC2 インスタンスは によって管理する必要があります AWS Systems Manager  |  [[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager](ssm-controls.md#ssm-1)  | 

## 統合に向けたワークフローの更新
<a name="securityhub-findings-format-changes-prepare"></a>

ワークフローがコントロールの検出結果フィールドの特定の形式に依存していない場合は、何もする必要はありません。

前のテーブルで示したように、ワークフローがコントロール検出結果内の 1 つ以上のフィールドの特定の形式に依存している場合は、ワークフローを更新する必要があります。たとえば、コントロール ID が CIS 2.7 と等しい場合に AWS Lambda 関数を呼び出すなど、特定のコントロール ID のアクションをトリガーする Amazon EventBridge ルールを作成した場合は、そのコントロールの `Compliance.SecurityControlId`フィールドの値である CloudTrail.2, を使用するようにルールを更新します。

変更されたフィールドまたは値のいずれかを使用して[カスタムインサイト](securityhub-custom-insights.md)を作成した場合、それらのインサイトを更新して新しいフィールドまたは値を使用します。

# 必須の ASFF 最上位属性
<a name="asff-required-attributes"></a>

Security Hub CSPM のすべての検出結果には、 AWS Security Finding 形式 (ASFF) の次の最上位属性が必要です。これらの必須属性の詳細については、「*AWS Security Hub API リファレンス*」の「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)」を参照してください。

## AwsAccountId
<a name="AwsAccountId"></a>

検出結果が適用される AWS アカウント ID。

**例**

```
"AwsAccountId": "111111111111"
```

## CreatedAt
<a name="CreatedAt"></a>

検出結果によってキャプチャされた潜在的なセキュリティ問題またはイベントがいつ作成されたかを示します。

**例**

```
"CreatedAt": "2017-03-22T13:22:13.933Z"
```

## 説明
<a name="Description"></a>

検出結果の説明。このフィールドには、固有ではない定型テキスト、または結果のインスタンスに固有の詳細を指定できます。

Security Hub CSPM が生成するコントロール検出結果の場合、このフィールドにはコントロールの説明が表示されます。

[[統合されたコントロールの検出結果]](controls-findings-create-update.md#consolidated-control-findings) を有効にした場合、このフィールドは標準を参照しません。

**例**

```
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
```

## GeneratorId
<a name="GeneratorId"></a>

検出結果を生成したソリューションに固有のコンポーネント (個別のロジック単位) の識別子。

Security Hub CSPM が生成するコントロールの検出結果について、[[統合されたコントロールの検出結果]](controls-findings-create-update.md#consolidated-control-findings) を有効にした場合、このフィールドは標準を参照しません。

**例**

```
"GeneratorId": "security-control/Config.1"
```

## ID
<a name="Id"></a>

検出結果の製品に固有の識別子。Security Hub CSPM が生成するコントロール検出結果の場合、このフィールドには検出結果の Amazon リソースネーム (ARN) が表示されます。

[[統合されたコントロールの検出結果]](controls-findings-create-update.md#consolidated-control-findings) を有効にした場合、このフィールドは標準を参照しません。

**例**

```
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"
```

## ProductArn
<a name="ProductArn"></a>

サードパーティーの検出製品が Security Hub CSPM に登録された後に、その製品を一意に識別するための Security Hub CSPM によって生成された Amazon リソースネーム (ARN)。

このフィールドの形式は `arn:partition:securityhub:region:account-id:product/company-id/product-id` です。
+ Security Hub CSPM と統合 AWS のサービス されている `company-id`の場合、 は`aws`「」で、 は AWS パブリックサービス名`product-id`である必要があります。製品およびサービスはアカウントに関連付けられていないため AWS 、ARN の `account-id`セクションは空です。Security Hub CSPM とまだ統合されていない AWS のサービス は、サードパーティー製品と見なされます。
+ パブリック製品の場合、`company-id` および `product-id` は登録時に指定された ID 値である必要があります。
+ プライベート製品の場合、`company-id` はアカウント ID である必要があります。`product-id` は、予約語の "default"、または登録時に指定された ID である必要があります。

**例**

```
// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
```

## リソース
<a name="Resources"></a>

オブジェクトの`Resources`配列は、検出結果が参照するリソースを記述する AWS リソースデータ型のセットを提供します。必須のフィールドなど、`Resources` オブジェクトに含まれる可能性のあるフィールドの詳細については、「*AWS Security Hub API リファレンス*」「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html)」を参照してください。特定の の`Resources`オブジェクトの例については AWS のサービス、「」を参照してください[Resources ASFF オブジェクト](asff-resources.md)。

**例**

```
"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]
```

## SchemaVersion
<a name="SchemaVersion"></a>

検出結果に使用されている形式のスキーマバージョン。このフィールドの値は、 AWSで識別される正式公開バージョンの 1 つである必要があります。現在のリリースでは、 AWS Security Finding 形式のスキーマバージョンは です`2018-10-08`。

**例**

```
"SchemaVersion": "2018-10-08"
```

## 緊急度
<a name="Severity"></a>

検出結果の重要性を定義します。このオブジェクトの詳細については、「*AWS Security Hub API リファレンス*」の「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html)」を参照してください。

`Severity` は検索結果の最上位オブジェクトであり、`FindingProviderFields` オブジェクトの下にネストされています。

検出結果に含まれるトップレベルの `Severity` オブジェクトの値は、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) API の使用によってのみ更新してください。

重要度情報を提供するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) API リクエストを行うときに結果プロバイダーが `FindingProviderFields` の下にある `Severity` オブジェクトを更新する必要があります。
 新しい検出結果に対する `BatchImportFindings` リクエストが `Label` または `Normalized` のみを提供する場合、Security Hub CSPM は他のフィールドの値を自動的に入力します。`Product` フィールドと `Original` フィールドも入力される場合があります。

最上位の `Finding.Severity` オブジェクトは存在するが `Finding.FindingProviderFields` は存在しない場合、Security Hub CSPM は `FindingProviderFields.Severity` オブジェクトを作成し、`Finding.Severity object` 全体をそこにコピーします。これにより、最上位の `Severity` オブジェクトが上書きされても、プロバイダーが提供する元の詳細が `FindingProviderFields.Severity` 構造内に保持されます。

検出結果の重要度には、関連するアセットまたは基になるリソースの重要度は考慮されません。重要度は、検出結果に関連付けられたリソースの重要度のレベルとして定義されます。例えば、ミッションクリティカルなアプリケーションに関連付けられているリソースは、非本番稼働用テストに関連付けられたリソースより重大度が高くなります。リソースの重要度に関する情報をキャプチャするには、`Criticality` フィールドを使用します。

検出結果のネイティブ重要度スコアを ASFF の `Severity.Label` の値に変換する際には、以下のガイダンスを使用することを推奨します。
+ `INFORMATIONAL` – このカテゴリには、`PASSED`、`WARNING`、`NOT AVAILABLE` チェック、または機密データの ID が含まれる場合があります。
+ `LOW` – 将来の侵害につながる可能性のある検出結果。例えば、このカテゴリには、脆弱性、設定の弱点、公開されたパスワードなどが含まれる場合があります。
+ `MEDIUM` – 現在進行中の侵害を示していても、攻撃者が目標を達成した兆候が見られない検出結果。例えば、このカテゴリには、マルウェアアクティビティ、ハッキングアクティビティ、異常な動作の検出などが含まれます。
+ `HIGH` または `CRITICAL` – 実際のデータ損失、漏洩、サービス拒否など、攻撃者が目標を達成したことを示す検出結果。

**例**

```
"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}
```

## タイトル
<a name="Title"></a>

検出結果のタイトル。このフィールドには、固有ではない定型テキスト、または検出結果のインスタンスに固有の詳細を指定できます。

コントロール検出結果の場合、このフィールドにはコントロールのタイトルが表示されます。[[統合されたコントロールの検出結果]](controls-findings-create-update.md#consolidated-control-findings) を有効にした場合、このフィールドは標準を参照しません。

**例**

```
"Title": "AWS Config should be enabled"
```

## 型
<a name="Types"></a>

`namespace/category/classifier` の形式の 1 つ以上の検出結果タイプで、検出結果を分類します。[[統合されたコントロールの検出結果]](controls-findings-create-update.md#consolidated-control-findings) を有効にした場合、このフィールドは標準を参照しません。

`Types` は [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) API を使用してのみ更新する必要があります。

検出結果プロバイダーが `Types` に値を提供する場合は、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html) にある `Types` 属性を使用する必要があります。

以下のリストでは、最上位の項目は名前空間、2 番目のレベルの項目はカテゴリ、3 番目のレベルの項目は分類子です。検出結果プロバイダーでは、定義済みの名前空間を使用して、検出結果の並べ替えおよびグループ化を行うことが推奨されます。定義済みのカテゴリおよび分類子を使用することが推奨される場合もありますが、必須ではありません。Software and Configuration Checks 名前空間でのみ、分類子が定義されています。

名前空間/カテゴリ/分類子の部分パスを定義することができます。例えば、以下の結果タイプはすべて有効です。
+ TTP
+ TTP/防衛回避
+ TTP/防衛回避/CloudTrailStopped

次のリストの tactics、techniques、procedures (TTP) カテゴリは、[MITRE ATT&CK MatrixTM](https://attack.mitre.org/matrices/enterprise/) に対応しています。Unusual Behaviors (異常動作) の名前空間は、一般的な異常動作 (統計的異常など) を反映しており、特定の TTP とは一致していません。ただし、Unusual Behaviors と TTP の両方の結果で結果を分類することは可能です。

**名前空間、カテゴリ、分類子のリスト:**
+ ソフトウェアおよび設定チェック
  + 脆弱性
    + CVE
  + AWS セキュリティのベストプラクティス
    + ネットワーク到達可能性
    + ランタイム動作分析
  + 業界および規制の基準
    + AWS 基本的なセキュリティのベストプラクティス
    + CIS Host Hardening Benchmark
    + CIS AWS Foundations Benchmark
    + PCI-DSS
    + クラウドセキュリティアライアンス規制
    + ISO 90001 規制
    + ISO 27001 規制
    + ISO 27017 規制
    + ISO 27018 規制
    + SOC 1
    + SOC 2
    + HIPAA 規制 (米国)
    + NIST 800-53 規制 (米国)
    + NIST CSF 規制 (米国)
    + IRAP 規制 (オーストラリア)
    + K-ISMS 規制 (韓国)
    + MTCS 規制 (シンガポール)
    + FISC安全対策基準 (日本)
    + マイナンバー法 (日本)
    + ENS 規制 (スペイン)
    + Cyber Essentials Plus 規制 (英国)
    + G-Cloud 規制 (英国)
    + C5 規制 (ドイツ)
    + IT-Grundschutz 規制 (ドイツ)
    + GDPR 規制 (ヨーロッパ)
    + TISAX 規制 (ヨーロッパ)
  + パッチ管理
+ TTP
  + 初回アクセス
  + 実行
  + 永続的
  + 権限昇格
  + 防衛回避
  + 認証情報アクセス
  + 発見
  + 横方向への移動
  + 収集
  + コマンドアンドコントロール
+ 効果
  + データ流出
  + データ漏えい 
  + データ破壊 
  + サービス拒否 
  + リソース消費
+ 異常な動作
  + アプリケーション
  + ネットワークフロー
  + IP アドレス
  + ユーザー
  + VM
  + コンテナ
  + サーバーレス
  + プロセス
  + データベース
  + データ 
+ 機密データの識別
  + PII
  + パスワード
  + リーガル
  + 金融
  + セキュリティ
  + ビジネス

**例**

```
"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
]
```

## UpdatedAt
<a name="UpdatedAt"></a>

検出結果プロバイダーが最後に結果レコードを更新した日時を示します。

このタイムスタンプは、検出結果レコードが最後または最も最近に更新された時刻を反映しています。したがって、イベントまたは脆弱性が最後または最も最近に検出された日時を反映する `LastObservedAt` タイムスタンプとは異なる可能性があります。

検出結果レコードを更新する際には、このタイムスタンプを現在のタイムスタンプに更新する必要があります。検出結果レコードの作成時には、`CreatedAt` と `UpdatedAt` のタイムスタンプが同じである必要があります。検出結果レコードを更新した後は、このフィールドの値が、そのレコードに含まれる以前のすべての値よりも最近の値になる必要があります。

`UpdatedAt` は [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) オペレーションを使用して更新できません。これは [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションを使用してのみ更新できます。

**例**

```
"UpdatedAt": "2017-04-22T13:22:13.933Z"
```

# オプションの最上位 ASFF 属性
<a name="asff-top-level-attributes"></a>

 AWS Security Hub CSPM の結果では、Security Finding 形式 (ASFF) の以下の最上位属性はオプションです。これらの属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsSecurityFinding](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)」を参照してください。

## Action
<a name="asff-action"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html) オブジェクトは、リソースに影響する、またはリソースに対して実行されたアクションの詳細を提供します。

**例**

```
"Action": {
    "ActionType": "PORT_PROBE",
    "PortProbeAction": {
        "PortProbeDetails": [
            {
                "LocalPortDetails": {
                    "Port": 80,
                    "PortName": "HTTP"
                  },
                "LocalIpDetails": {
                     "IpAddressV4": "192.0.2.0"
                 },
                "RemoteIpDetails": {
                    "Country": {
                        "CountryName": "Example Country"
                    },
                    "City": {
                        "CityName": "Example City"
                    },
                   "GeoLocation": {
                       "Lon": 0,
                       "Lat": 0
                   },
                   "Organization": {
                       "AsnOrg": "ExampleASO",
                       "Org": "ExampleOrg",
                       "Isp": "ExampleISP",
                       "Asn": 64496
                   }
                }
            }
        ],
        "Blocked": false
    }
}
```

## AwsAccountName
<a name="asff-awsaccountname"></a>

検出結果が適用される AWS アカウント 名前。

**例**

```
"AwsAccountName": "jane-doe-testaccount"
```

## CompanyName
<a name="asff-companyname"></a>

結果を生成した製品の会社の名前。コントロールベースの検出結果の場合、会社は です AWS。

Security Hub CSPM は、各結果に対してこの属性を自動的に入力します。[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) または [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) を使用して更新することはできません。カスタム統合を使用している場合は例外です。「[Security Hub CSPM とカスタム製品の統合](securityhub-custom-providers.md)」を参照してください。

Security Hub CSPM コンソールを使用して会社名で検出結果をフィルタリングする場合は、この属性を使用します。Security Hub CSPM API を使用して会社名で検出結果をフィルタリングする場合は、`ProductFields` の `aws/securityhub/CompanyName` 属性を使用します。Security Hub CSPM は、これら 2 つの属性を同期しません。

**例**

```
"CompanyName": "AWS"
```

## コンプライアンス
<a name="asff-compliance"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html) オブジェクトは通常、適用可能な標準やコントロールチェックのステータスなど、コントロールの検出結果に関する詳細を提供します。

**例**

```
"Compliance": {
    "AssociatedStandards": [
        {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
        {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"},
        {"StandardsId": "standards/nist-800-53/v/5.0.0"}
    ],
    "RelatedRequirements": [
        "NIST.800-53.r5 AC-4",
        "NIST.800-53.r5 AC-4(21)",
        "NIST.800-53.r5 SC-7",
        "NIST.800-53.r5 SC-7(11)",
        "NIST.800-53.r5 SC-7(16)",
        "NIST.800-53.r5 SC-7(21)",
        "NIST.800-53.r5 SC-7(4)",
        "NIST.800-53.r5 SC-7(5)"
    ],
    "SecurityControlId": "EC2.18",
    "SecurityControlParameters":[
        {
            "Name": "authorizedTcpPorts",
            "Value": ["80", "443"]
        },
        {
            "Name": "authorizedUdpPorts",
            "Value": ["427"]
        }
    ],
    "Status": "NOT_AVAILABLE",
    "StatusReasons": [
        {
            "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE",
            "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation."
        }
    ]
}
```

## 信頼度
<a name="asff-confidence"></a>

特定することが想定されている挙動または問題を、結果が正確に特定できる可能性。

`Confidence` は、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) のみを使用して更新する必要があります。

結果プロバイダーが `Confidence` に値を提供する場合は、`FindingProviderFields` にある `Confidence` 属性を使用する必要があります。「[FindingProviderFields での検出結果の更新](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields)」を参照してください。

`Confidence` は、比率スケールを使用して 0～100 ベースで採点されます。0 は 0% の信頼度を意味し、100 は 100% の信頼度を意味します。例えば、ネットワークトラフィックの統計的偏差に基づくデータの不正引き出しは、実際の不正引き出しが確認されていないため、信頼性が低くなります。

**例**

```
"Confidence": 42
```

## 緊急性
<a name="asff-criticality"></a>

結果に関連付けられているリソースに割り当てられている重要度です。

`Criticality` は、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) API オペレーションを呼び出すことによってのみ更新してください。このオブジェクトは [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) で更新しないでください。

結果プロバイダーが `Criticality` に値を提供する場合は、`FindingProviderFields` にある `Criticality` 属性を使用する必要があります。「[FindingProviderFields での検出結果の更新](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields)」を参照してください。

`Criticality` は、比率スケールを使用して 0～100 ベースで採点され、完全な整数のみをサポートしています。スコア 0 は、基になるリソースに重要性がないことを示しており、スコア 100 は最も重要なリソース用に予約されています。

各リソースに対して、`Criticality` を割り当てる際に以下の点を考慮してください。
+ 影響を受けたリソースに機密データ (PII が含まれる S3 バケットなど) が含まれていないか?
+ 影響を受けたリソースにより、攻撃者はアクセスレベルを深めたり、能力を広げて悪意のあるアクティビティ (sysadmin アカウントへの侵害など) をさらに実行したりすることができるか?
+ 当該のリソースは、ビジネスクリティカルなアセット (例えば、侵害された場合、収益に大きな影響を与える可能性がある主要なビジネスシステム) なのか？

ガイドラインは次の通りです。
+ ミッションクリティカルなシステムに電力を供給するリソースや、機密性の高いデータが含まれるリソースは、75～100 の範囲で採点することができます。
+ 重要な (クリティカルではない) システムに電力を供給しているリソースや、やや重要なデータを含むリソースは、25～74 の範囲で採点することができます。
+ 重要でないシステムに電力を供給しているリソースや、機密でないデータを含むリソースは、0～24 の範囲で採点する必要があります。

**例**

```
"Criticality": 99
```

## 検出
<a name="asff-detection"></a>

`Detection` オブジェクトは、Amazon GuardDuty Extended Threat Detection からの攻撃シーケンスの検出結果に関する詳細を提供します。GuardDuty は、複数のイベントが疑わしい可能性のあるアクティビティと一致すると、攻撃シーケンスの検出結果を生成します。 AWS Security Hub CSPM で GuardDuty 攻撃シーケンスの検出結果を受信するには、アカウントで GuardDuty が有効になっている必要があります。詳細については、「*Amazon GuardDuty Amazon GuardDuty ユーザーガイド*」の「[Amazon GuardDuty Extended Threat Detection](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-extended-threat-detection.html)」を参照してください。

**例**

```
"Detection": {
    "Sequence": {
    	"Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010",
    	"Actors": [{
    		"Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891",
    		"Session": {
    			"Uid": "1234567891",
    			"MfAStatus": "DISABLED",
    			"CreatedTime": "1716916944000",
    			"Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
    		},
    		"User": {
    			"CredentialUid": "ASIAIOSFODNN7EXAMPLE",
    			"Name": "ec2_instance_role_production",
    			"Type": "AssumedRole",
    			"Uid": "AROA987654321EXAMPLE:i-b188560f",
    			"Account": {
    				"Uid": "AccountId",
    				"Name": "AccountName"
    			}
    		}
    	}],
    	"Endpoints": [{
    		"Id": "EndpointId",
    		"Ip": "203.0.113.1",
    		"Domain": "example.com",
    		"Port": 4040,
    		"Location": {
    			"City": "New York",
    			"Country": "US",
    			"Lat": 40.7123,
    			"Lon": -74.0068
    		},
    		"AutonomousSystem": {
    			"Name": "AnyCompany",
    			"Number": 64496
    		},
    		"Connection": {
    			"Direction": "INBOUND"
    		}
    	}],
    	"Signals": [{
    		"Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7",
    		"Title": "Someone ran a penetration test tool on your account.",
    		"ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"],
    		"Count": 19,
    		"FirstSeenAt": 1716916943000,
    		"SignalIndicators": [
    			{
    				"Key": "ATTACK_TACTIC",
    				"Title": "Attack Tactic",
    				"Values": [
    					"Impact"
    				]
    			},
    			{
    				"Key": "HIGH_RISK_API",
    				"Title": "High Risk Api",
    				"Values": [
    					"s3:DeleteObject"
    				]
    			},
    			{
    				"Key": "ATTACK_TECHNIQUE",
    				"Title": "Attack Technique",
    				"Values": [
    					"Data Destruction"
    				]
    			},
    		],
    		"LastSeenAt": 1716916944000,
    		"Name": "Test:IAMUser/KaliLinux",
    		"ResourceIds": [
    			"arn:aws:s3:::amzn-s3-demo-destination-bucket"
    		],
    		"Type": "FINDING"
    	}],
    	"SequenceIndicators": [
    		{
    			"Key": "ATTACK_TACTIC",
    			"Title": "Attack Tactic",
    			"Values": [
    				"Discovery",
    				"Exfiltration",
    				"Impact"
    			]
    		},
    		{
    			"Key": "HIGH_RISK_API",
    			"Title": "High Risk Api",
    			"Values": [
    				"s3:DeleteObject",
    				"s3:GetObject",
    				"s3:ListBuckets"
    				"s3:ListObjects"
    			]
    		},
    		{
    			"Key": "ATTACK_TECHNIQUE",
    			"Title": "Attack Technique",
    			"Values": [
    				"Cloud Service Discovery",
    				"Data Destruction"
    			]
    		}
    	]
    }
}
```

## FindingProviderFields
<a name="asff-findingproviderfields"></a>

`FindingProviderFields` には次の属性が含まれます。
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

上記のフィールドは `FindingProviderFields` オブジェクトの下にネストされますが、最上位の ASFF フィールドと同じ名前のアナログがあります。検出結果プロバイダーによって新しい検出結果が Security Hub CSPM に送信されると、Security Hub CSPM は対応する最上位フィールドに基づいて `FindingProviderFields` オブジェクトが空の場合に自動的に入力します。

検出プロバイダーは、Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションを使用して `FindingProviderFields` を更新できます。検出結果プロバイダーは、このオブジェクトを [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) で更新できません。

Security Hub CSPM が `BatchImportFindings` から `FindingProviderFields` および対応する最上位属性への更新を処理する方法についての詳細は、「[FindingProviderFields での検出結果の更新](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields)」を参照してください。

お客様は、`BatchUpdateFindings` オペレーションを使用して最上位フィールドを更新できます。お客様は `FindingProviderFields` を更新できません。

**例**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

## FirstObservedAt
<a name="asff-firstobservedat"></a>

検出結果によってキャプチャされた潜在的なセキュリティ問題またはイベントが最初に検出された時期を示します。

このタイムスタンプは、イベントまたは脆弱性が最初に検出された時刻を指定しています。したがって、この結果記録が作成された時間を反映する `CreatedAt` タイムスタンプとは異なる可能性があります。

Security Hub CSPM が生成および更新するコントロールの検出結果については、このタイムスタンプは、リソースのコンプライアンスステータスが最後に変更された日時を示すこともできます。他の検出結果のタイプでは、のこのタイムスタンプは、検出結果記録が次に更新されるまでイミュータブルである必要がありますが、より正確なタイムスタンプがあると判別された場合は更新できます。

**例**

```
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
```

## LastObservedAt
<a name="asff-lastobservedat"></a>

検出結果でキャプチャされた潜在的なセキュリティ上の問題またはイベントが、セキュリティ検出製品によって最後に検出された日時を示します。

このタイムスタンプは、イベントまたは脆弱性が最後にまたは最近検出された時刻を指定します。したがって、これはこの結果記録が最後に更新された日時または最近更新された日時が反映される `UpdatedAt` タイムスタンプとは異なる可能性があります。

このタイムスタンプを提供することもできますが、最初の観測時には必要ありません。最初の観測時にこのフィールドを入力する場合は、タイムスタンプが `FirstObservedAt` タイムスタンプと同じである必要があります。結果が観測されるたびに、最後に検出されたタイムスタンプを反映するようにこのフィールドを更新する必要があります。

**例**

```
"LastObservedAt": "2017-03-23T13:22:13.933Z"
```

## Malware
<a name="asff-malware"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html) オブジェクトは、検出結果に関連するマルウェアのリストを提供します。

**例**

```
"Malware": [
    {
        "Name": "Stringler",
        "Type": "COIN_MINER",
        "Path": "/usr/sbin/stringler",
        "State": "OBSERVED"
    }
]
```

## Network (廃止)
<a name="asff-network"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html) オブジェクトは、結果に関するネットワーク関連情報を提供します。

このオブジェクトは廃止されました。このデータを提供するには、`Resources` 内のリソースにデータをマッピングするか、`Action` オブジェクトを使用できます。

**例**

```
"Network": {
    "Direction": "IN",
    "OpenPortRange": {
        "Begin": 443,
        "End": 443
    },
    "Protocol": "TCP",
    "SourceIpV4": "1.2.3.4",
    "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "SourcePort": "42",
    "SourceDomain": "example1.com",
    "SourceMac": "00:0d:83:b1:c0:8e",
    "DestinationIpV4": "2.3.4.5",
    "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "DestinationPort": "80",
    "DestinationDomain": "example2.com"
}
```

## NetworkPath
<a name="asff-networkpath"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html) オブジェクトは、結果に関連するネットワークパスに関する情報を提供します。`NetworkPath` 内の各エントリは、パスのコンポーネントを表しています。

**例**

```
"NetworkPath" : [
    {
        "ComponentId": "abc-01a234bc56d8901ee",
        "ComponentType": "AWS::EC2::InternetGateway",
        "Egress": {
            "Destination": {
                "Address": [ "192.0.2.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": ["203.0.113.0/24"]
            }
        },
        "Ingress": {
            "Destination": {
                "Address": [ "198.51.100.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                 ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": [ "203.0.113.0/24" ]
            }
        }
     }
]
```

## メモ
<a name="asff-note"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html) オブジェクトは、結果に追加できるユーザー定義のメモを指定します。

結果プロバイダーは、結果に対しる最初のメモは提供できますが、それ以降にメモを追加することはできません。メモは [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) を使用してのみ更新できます。

**例**

```
"Note": {
    "Text": "Don't forget to check under the mat.",
    "UpdatedBy": "jsmith",
    "UpdatedAt": "2018-08-31T00:15:09Z"
}
```

## PatchSummary
<a name="asff-patchsummary"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html) オブジェクトは、選択したコンプライアンス標準に対するインスタンスのパッチコンプライアンス状態についての概要を提供します。

**例**

```
"PatchSummary" : {
    "FailedCount" : 0,
    "Id" : "pb-123456789098",
    "InstalledCount" : 100,
    "InstalledOtherCount" : 1023,
    "InstalledPendingReboot" : 0,
    "InstalledRejectedCount" : 0,
    "MissingCount" : 100,
    "Operation" : "Install",
    "OperationEndTime" : "2018-09-27T23:39:31Z",
    "OperationStartTime" : "2018-09-27T23:37:31Z",
    "RebootOption" : "RebootIfNeeded"
}
```

## プロセス
<a name="asff-process"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html) オブジェクトは、結果に関するプロセス関連の詳細を提供します。

例:

```
"Process": {
    "LaunchedAt": "2018-09-27T22:37:31Z",
    "Name": "syslogd",
    "ParentPid": 56789,
    "Path": "/usr/sbin/syslogd",
    "Pid": 12345,
    "TerminatedAt": "2018-09-27T23:37:31Z"
}
```

## ProcessedAt
<a name="asff-processedat"></a>

Security Hub CSPM が検出結果を受信し、処理を開始するタイミングを示します。

これは `CreatedAt` および `UpdatedAt` とは異なります。これらは、検出結果プロバイダーのセキュリティ問題や検出結果のやり取りに関係する必須のタイムスタンプです。`ProcessedAt` タイムスタンプは、Security Hub CSPM が検出結果の処理を開始する時刻を示します。処理が完了すると、検出結果がユーザーのアカウントに表示されます。

```
"ProcessedAt": "2023-03-23T13:22:13.933Z"
```

## ProductFields
<a name="asff-productfields"></a>

セキュリティ検出結果製品に、定義された AWS Security Finding 形式に含まれないソリューション固有の追加の詳細を含めることができるデータ型。

Security Hub CSPM コントロールによって生成された検出結果の場合、`ProductFields` にコントロールに関する情報が含まれています。「[コントロールの結果を生成および更新する](controls-findings-create-update.md)」を参照してください。

このフィールドには冗長データを含めず、 AWS Security Finding 形式フィールドと競合するデータを含めないでください。

`aws/`「」プレフィックスは、 AWS 製品およびサービスの予約済み名前空間のみを表し、サードパーティー統合の結果とともに送信しないでください。

必須ではありませんが、製品はフィールド名を `company-id/product-id/field-name` のフォーマットにすることが推奨されます。ここにある、`company-id` と `product-id` は、結果の `ProductArn` にあるものと一致します。

参照するフィールド `Archival` は、Security Hub CSPM が既存の結果をアーカイブするときに使用されます。例えば、コントロールまたは標準を無効にしたり、[[統合されたコントロールの検出結果]](controls-findings-create-update.md#consolidated-control-findings)を有効または無効にしたりすると、Security Hub CSPM は既存の検出結果をアーカイブします。

このフィールドには、検出結果を生成したコントロールを含む標準に関する情報が含まれる場合もあります。

**例**

```
"ProductFields": {
    "API", "DeleteTrail",
    "ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.",
    "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE",
    "aws/inspector/AssessmentTargetName": "My prod env",
    "aws/inspector/AssessmentTemplateName": "My daily CVE assessment",
    "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures",
    "generico/secure-pro/Action.Type", "AWS_API_CALL",
    "generico/secure-pro/Count": "6",
    "Service_Name": "cloudtrail.amazonaws.com"
}
```

## ProductName
<a name="asff-productname"></a>

結果を生成した製品の名前を提供します。コントロールベースの検出結果の場合、製品名は Security Hub CSPM になります。

Security Hub CSPM は、各結果に対してこの属性を自動的に入力します。[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) または [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) を使用して更新することはできません。カスタム統合を使用している場合は例外です。「[Security Hub CSPM とカスタム製品の統合](securityhub-custom-providers.md)」を参照してください。

Security Hub CSPM コンソールを使用して製品名で検出結果をフィルタリングする場合は、この属性を使用します。

Security Hub CSPM API を使用して製品名で検出結果をフィルタリングする場合は、`ProductFields` の `aws/securityhub/ProductName` 属性を使用します。

Security Hub CSPM は、これら 2 つの属性を同期しません。

## RecordState
<a name="asff-recordstate"></a>

結果のレコード状態を提供します。

デフォルトでは、サービスによって最初に生成されたときの検出結果は `ACTIVE` と見なされます。

`ARCHIVED` 状態は、結果がビューで非表示になるべきであることを示します。アーカイブされた検出結果はすぐには削除されません。検索やレビュー、レポートを行うことができます。関連付けられたリソースが削除された場合、リソースが存在しない場合、またはコントロールが無効になっている場合、Security Hub CSPM でコントロールベースの検出結果が自動的にアーカイブされます。

`RecordState` は検出結果プロバイダー専用であり、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションによってのみ更新できます。[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) オペレーションを使用して更新することはできません。

結果に対する調査状態を追跡する場合は、`RecordState` ではなく [`Workflow`](#asff-workflow) を使用してください。

レコードの状態が `ARCHIVED` から `ACTIVE` に変更され、結果のワークフローステータスが `NOTIFIED` または `RESOLVED` の場合、Security Hub CSPM はワークフローステータスを自動的に `NEW` に変更します。

**例**

```
"RecordState": "ACTIVE"
```

## リージョン
<a name="asff-region"></a>

結果の生成 AWS リージョン 元の を指定します。

Security Hub CSPM は、各結果に対してこの属性を自動的に入力します。[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) または [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) を使用して更新することはできません。

**例**

```
"Region": "us-west-2"
```

## RelatedFindings
<a name="asff-relatedfindings"></a>

現在の検出結果に関連する検出結果のリストを提供します。

`RelatedFindings` は、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) API オペレーションでのみ更新してください。このオブジェクトは [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) で更新しないでください。

[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) リクエストの場合、検出結果プロバイダーは [`FindingProviderFields`](#asff-findingproviderfields) の `RelatedFindings` オブジェクトを使用する必要があります。

`RelatedFindings` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html)」を参照してください。

**例**

```
"RelatedFindings": [
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "123e4567-e89b-12d3-a456-426655440000" },
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "AcmeNerfHerder-111111111111-x189dx7824" }
]
```

## RiskAssessment
<a name="asff-riskassessment"></a>

**例**

```
"RiskAssessment": {
    "Posture": {
        "FindingTotal": 4,
        "Indicators": [
            {
                "Type": "Reachability",
                "Findings": [
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    },
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    }
                ]
            },
            {
                "Type": "Vulnerability",
                "Findings": [
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    },
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    }
                ]
            }
        ]
    }
}
```

## 修正
<a name="asff-remediation"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html) オブジェクトは、検出結果に対処するために推奨される修復ステップに関する情報を提供します。

**例**

```
"Remediation": {
    "Recommendation": {
        "Text": "For instructions on how to fix this issue, see the AWS Security Hub CSPM documentation for EC2.2.",
        "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation"
    }
}
```

## サンプル
<a name="asff-sample"></a>

検出結果がサンプルの検出結果かどうかを指定します。

```
"Sample": true
```

## SourceUrl
<a name="asff-sourceurl"></a>

`SourceUrl` オブジェクトは、検出製品内の現在の結果に関するページにリンクする URL を提供します。

```
"SourceUrl": "http://sourceurl.com"
```

## ThreatIntelIndicators
<a name="asff-threatintelindicators"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html) オブジェクトは、結果に関連する脅威インテリジェンスの詳細を提供します。

**例**

```
"ThreatIntelIndicators": [
  {
    "Category": "BACKDOOR",
    "LastObservedAt": "2018-09-27T23:37:31Z",
    "Source": "Threat Intel Weekly",
    "SourceUrl": "http://threatintelweekly.org/backdoors/8888",
    "Type": "IPV4_ADDRESS",
    "Value": "8.8.8.8",
  }
]
```

## 脅威
<a name="asff-threats"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html) オブジェクトは、検出結果によって検出された脅威の詳細を表示します。

**例**

```
"Threats": [{
    "FilePaths": [{
        "FileName": "b.txt",
        "FilePath": "/tmp/b.txt",
        "Hash": "sha256",
        "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f"
    }],
    "ItemCount": 3,
    "Name": "Iot.linux.mirai.vwisi",
    "Severity": "HIGH"
}]
```

## UserDefinedFields
<a name="asff-userdefinedfields"></a>

検出結果に関連付けられている名前と値の文字列ペアのリストを提供します。検出結果に追加されるカスタムのユーザー定義フィールドです。これらのフィールドは、特定の設定で自動生成されることがあります。

検出結果プロバイダーでは、このフィールドを製品で生成されるデータに使用しないでください。代わりに、検出結果プロバイダーは標準の AWS Security Finding Format `ProductFields`フィールドにマッピングされないデータに フィールドを使用できます。

これらのフィールドは、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) を使用してのみ更新できます。

**例**

```
"UserDefinedFields": {
    "reviewedByCio": "true",
    "comeBackToLater": "Check this again on Monday"
}
```

## VerificationState
<a name="asff-verificationstate"></a>

検出結果の正確性を提供します。検出結果プロバイダーは、このフィールドに値 `UNKNOWN` を設定できます。検出製品のシステムに意味のあるアナログが存在する場合、検出製品はこの値を提供する必要があります。このフィールドは一般的に、結果調査後のユーザーの決定またはアクションに従って入力されます。

検出結果プロバイダーはこの属性の初期値を提供できますが、それ以降は更新できません。この属性は、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) を使用してのみ更新できます。

```
"VerificationState": "Confirmed"
```

## 脆弱性
<a name="asff-vulnerabilities"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html) オブジェクトは、結果に関連付けられている脆弱性のリストを提供します。

**例**

```
"Vulnerabilities" : [
    {
        "CodeVulnerabilities": [{
            "Cwes": [
                "CWE-798",
                "CWE-799"
            ],
            "FilePath": {
                "EndLine": 421,
                "FileName": "package-lock.json",
                "FilePath": "package-lock.json",
                "StartLine": 420
            },
                "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114"
        }],
        "Cvss": [
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
                "Version": "V3"
            },
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N",
                "Version": "V2"
            }
        ],
        "EpssScore": 0.015,
        "ExploitAvailable": "YES",
        "FixAvailable": "YES",
        "Id": "CVE-2020-12345",
        "LastKnownExploitAt": "2020-01-16T00:01:35Z",
        "ReferenceUrls":[
           "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418",
            "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563"
        ],
        "RelatedVulnerabilities": ["CVE-2020-12345"],
        "Vendor": {
            "Name": "Alas",
            "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html",
            "VendorCreatedAt":"2020-01-16T00:01:43Z",
            "VendorSeverity":"Medium",
            "VendorUpdatedAt":"2020-01-16T00:01:43Z"
        },
        "VulnerablePackages": [
            {
                "Architecture": "x86_64",
                "Epoch": "1",
                "FilePath": "/tmp",
                "FixedInVersion": "0.14.0",
                "Name": "openssl",
                "PackageManager": "OS",
                "Release": "16.amzn2.0.3",
                "Remediation": "Update aws-crt to 0.14.0",
                "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id",
                "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001",
                "Version": "1.0.2k"
            }
        ]
    }
]
```

## ワークフロー
<a name="asff-workflow"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html) オブジェクトは、検出結果の調査ステータスに関する情報を提供します。

このフィールドは、お客様が修復、オーケストレーション、チケット発行ツールで使用することを目的としています。検出結果プロバイダーを見つけるためのものではありません。

`Workflow` フィールドは [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) でのみ更新できます。お客様は、コンソールから更新することもできます。「[Security Hub CSPM 検出結果のワークフローステータスの設定](findings-workflow-status.md)」を参照してください。

**例**

```
"Workflow": {
    "Status": "NEW"
}
```

## WorkflowState (廃止)
<a name="asff-workflowstate"></a>

このオブジェクトは廃止され、`Workflow` オブジェクトの `Status` フィールドによって置き換えられています。

このフィールドは、検出結果のワークフローステータスを提供します。検出製品は、このフィールドに値 `NEW` を設定できます。検出製品のシステムに意味のあるアナログが存在する場合、検出製品はこの値を提供することができます。

**例**

```
"WorkflowState": "NEW"
```

# Resources ASFF オブジェクト
<a name="asff-resources"></a>

 AWS Security Finding 形式 (ASFF) では、 `Resources` オブジェクトは検出結果に関連するリソースに関する情報を提供します。最大 32 個のリソースからなるオブジェクト配列が含まれます。リソース名のフォーマット方法については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。各リソースオブジェクトの例については、以下のリストからリソースを選択してください。

**Topics**
+ [ASFF のリソース属性](asff-resources-attributes.md)
+ [ASFF の AwsAmazonMQ リソース](asff-resourcedetails-awsamazonmq.md)
+ [ASFF の AwsApiGateway リソース](asff-resourcedetails-awsapigateway.md)
+ [ASFF の AwsAppSync リソース](asff-resourcedetails-awsappsync.md)
+ [ASFF の AwsAthena リソース](asff-resourcedetails-awsathena.md)
+ [ASFF の AwsAutoScaling リソース](asff-resourcedetails-awsautoscaling.md)
+ [ASFF の AwsBackup リソース](asff-resourcedetails-awsbackup.md)
+ [ASFF の AwsCertificateManager リソース](asff-resourcedetails-awscertificatemanager.md)
+ [ASFF の AwsCloudFormation リソース](asff-resourcedetails-awscloudformation.md)
+ [ASFF の AwsCloudFront リソース](asff-resourcedetails-awscloudfront.md)
+ [ASFF の AwsCloudTrail リソース](asff-resourcedetails-awscloudtrail.md)
+ [ASFF の AwsCloudWatch リソース](asff-resourcedetails-awscloudwatch.md)
+ [ASFF の AwsCodeBuild リソース](asff-resourcedetails-awscodebuild.md)
+ [ASFF の AwsDms リソース](asff-resourcedetails-awsdms.md)
+ [ASFF の AwsDynamoDB リソース](asff-resourcedetails-awsdynamodb.md)
+ [ASFF の AwsEc2 リソース](asff-resourcedetails-awsec2.md)
+ [ASFF の AwsEcr リソース](asff-resourcedetails-awsecr.md)
+ [ASFF の AwsEcs リソース](asff-resourcedetails-awsecs.md)
+ [ASFF の AwsEfs リソース](asff-resourcedetails-awsefs.md)
+ [ASFF の AwsEks リソース](asff-resourcedetails-awseks.md)
+ [ASFF の AwsElasticBeanstalk リソース](asff-resourcedetails-awselasticbeanstalk.md)
+ [ASFF の AwsElasticSearch リソース](asff-resourcedetails-awselasticsearch.md)
+ [ASFF の AwsElb リソース](asff-resourcedetails-awselb.md)
+ [ASFF の AwsEventBridge リソース](asff-resourcedetails-awsevent.md)
+ [ASFF の AwsGuardDuty リソース](asff-resourcedetails-awsguardduty.md)
+ [ASFF の AwsIam リソース](asff-resourcedetails-awsiam.md)
+ [ASFF の AwsKinesis リソース](asff-resourcedetails-awskinesis.md)
+ [ASFF の AwsKms リソース](asff-resourcedetails-awskms.md)
+ [AwsLambda](asff-resourcedetails-awslambda.md)
+ [ASFF の AwsMsk リソース](asff-resourcedetails-awsmsk.md)
+ [ASFF の AwsNetworkFirewall リソース](asff-resourcedetails-awsnetworkfirewall.md)
+ [ASFF の AwsOpenSearchService リソース](asff-resourcedetails-awsopensearchservice.md)
+ [ASFF の AwsRds リソース](asff-resourcedetails-awsrds.md)
+ [ASFF の AwsRedshift リソース](asff-resourcedetails-awsredshift.md)
+ [ASFF の AwsRoute53 リソース](asff-resourcedetails-awsroute53.md)
+ [ASFF の AwsS3 リソース](asff-resourcedetails-awss3.md)
+ [ASFF の AwsSageMaker リソース](asff-resourcedetails-awssagemaker.md)
+ [ASFF の AwsSecretsManager リソース](asff-resourcedetails-awssecretsmanager.md)
+ [ASFF の AwsSns リソース](asff-resourcedetails-awssns.md)
+ [ASFF の AwsSqs リソース](asff-resourcedetails-awssqs.md)
+ [ASFF の AwsSsm リソース](asff-resourcedetails-awsssm.md)
+ [ASFF の AwsStepFunctions リソース](asff-resourcedetails-awsstepfunctions.md)
+ [ASFF の AwsWaf リソース](asff-resourcedetails-awswaf.md)
+ [ASFF の AwsXray リソース](asff-resourcedetails-awsxray.md)
+ [ASFF の CodeRepository オブジェクト](asff-resourcedetails-coderepository.md)
+ [ASFF の Container オブジェクト](asff-resourcedetails-container.md)
+ [ASFF の Other オブジェクト](asff-resourcedetails-other.md)

# ASFF のリソース属性
<a name="asff-resources-attributes"></a>

 AWS Security Finding 形式 (ASFF) の `Resources` オブジェクトの説明と例を次に示します。これらのフィールドの詳細については、「[リソース](asff-required-attributes.md#Resources)」を参照してください。

## ApplicationArn
<a name="asff-resources-applicationarn"></a>

検出結果に関連するアプリケーションの Amazon リソースネーム (ARN) を識別します。

**例**

```
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0"
```

## ApplicationName
<a name="asff-resources-applicationname"></a>

検出結果に関連するアプリケーションの名前を識別します。

**例**

```
"ApplicationName": "SampleApp"
```

## DataClassification
<a name="asff-resources-dataclassification"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html) フィールドは、リソースで検出された機密データに関する情報を提供します。

**例**

```
"DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
}
```

## 詳細
<a name="asff-resources-details"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html) フィールドは、適切なオブジェクトを使用する単一のリソースに関する追加情報を提供します。各リソースは、`Resources` オブジェクト内の個別のリソースオブジェクトで指定する必要があります。

結果のサイズが最大の 240 KB を超えた場合、`Details` オブジェクトは結果から削除されます。 AWS Config ルールを使用するコントロールの検出結果については、 AWS Config コンソールでリソースの詳細を表示できます。

Security Hub CSPM は、サポートされているリソースタイプの利用可能なリソース詳細のセットを提供します。これらの詳細は、`Type` オブジェクトの値に対応しています。可能な場合、提供されたタイプを使用してください。

例えば、リソースが S3 バケットの場合、リソース `Type` を `AwsS3Bucket` に設定し、[`AwsS3Bucket`](asff-resourcedetails-awss3.md#asff-resourcedetails-awss3bucket) オブジェクトにリソースの詳細を指定します。

[`Other`](asff-resourcedetails-other.md) オブジェクトでは、カスタムのフィールドや値を指定できます。`Other` オブジェクトは、次の場合に使用できます。
+ リソースタイプ (リソース `Type` の値) に対応する詳細オブジェクトがない場合。リソースの詳細を指定するには、[`Other`](asff-resourcedetails-other.md) オブジェクトを使用します。
+ リソースタイプのオブジェクトに、入力するすべてのフィールドが含まれていない場合。この場合は、リソースタイプの詳細オブジェクトを使用して、使用可能なフィールドに入力します。`Other` オブジェクトを使用して、タイプ固有のオブジェクトに含まれていないフィールドに入力してください。
+ リソースタイプが提供されたタイプのいずれでもない場合。この場合、`Resource.Type` を `Other` に設定し、`Other` オブジェクトを使用して詳細を入力します。

**例**

```
"Details": {
  "AwsEc2Instance": {
    "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
    "ImageId": "ami-79fd7eee",
    "IpV4Addresses": ["1.1.1.1"],
    "IpV6Addresses": ["2001:db8:1234:1a2b::123"],
    "KeyName": "testkey",
    "LaunchedAt": "2018-09-29T01:25:54Z",
    "MetadataOptions": {
      "HttpEndpoint": "enabled",
      "HttpProtocolIpv6": "enabled",
      "HttpPutResponseHopLimit": 1,
      "HttpTokens": "optional",
      "InstanceMetadataTags": "disabled"
    },
    "NetworkInterfaces": [
    {
      "NetworkInterfaceId": "eni-e5aa89a3"
    }
    ],
    "SubnetId": "PublicSubnet",
    "Type": "i3.xlarge",
    "VirtualizationType": "hvm",
    "VpcId": "TestVPCIpv6"
  },
  "AwsS3Bucket": {
    "OwnerId": "da4d66eac431652a4d44d490a00500bded52c97d235b7b4752f9f688566fe6de",
    "OwnerName": "acmes3bucketowner"
  },
  "Other": { "LightPen": "blinky", "SerialNo": "1234abcd"}  
}
```

## ID
<a name="asff-resources-id"></a>

指定されたリソースタイプの識別子。

Amazon AWS リソースネーム (ARNs) で識別されるリソースの場合、これは ARN です。

ARN がない AWS リソースの場合、これはリソースを作成したサービスによって AWS 定義された識別子です。 ARNs

AWS リソース以外の場合、これはリソースに関連付けられている一意の識別子です。

**例**

```
"Id": "arn:aws:s3:::amzn-s3-demo-bucket"
```

## パーティション
<a name="asff-resources-partition"></a>

リソースが置かれているパーティション。パーティションは のグループです AWS リージョン。各 AWS アカウント は 1 つのパーティションにスコープされます。

以下のパーティションがサポートされています。
+ `aws` – AWS リージョン
+ `aws-cn` - 中国リージョン
+ `aws-us-gov` – AWS GovCloud (US) Region

**例**

```
"Partition": "aws"
```

## リージョン
<a name="asff-resources-region"></a>

このリソース AWS リージョン が配置されている のコード。リージョンコードの一覧については、「[リージョンエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints)」を参照してください。

**例**

```
"Region": "us-west-2"
```

## ResourceRole
<a name="asff-resources-resourcerole"></a>

結果におけるリソースのロールを識別します。リソースは、結果アクティビティのターゲットか、アクティビティを実行するアクターのどちらかです。

**例**

```
"ResourceRole": "target"
```

## タグ
<a name="asff-resources-tags"></a>

このフィールドには、検出結果に関連するリソースのタグキーと値情報が表示されます。Tagging API の `GetResources`オペレーションで[サポートされているリソース](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html)に AWS Resource Groups タグを付けることができます。Security Hub CSPM は、[サービスにリンクされたロール](using-service-linked-roles.md)を介してこのオペレーションを呼び出し、 AWS Security Finding Format (ASFF) `Resource.Id`フィールドにリソース ARN が入力されている場合は AWS リソースタグを取得します。無効なリソース ID は無視されます。

Security Hub CSPM が取り込む検出結果にリソースタグを追加できます。これには、統合 AWS のサービス およびサードパーティー製品の検出結果も含まれます。

タグを追加すると、検出結果が処理された時点でリソースに関連付けられていたタグがわかります。タグが関連付けられているリソースにのみ、`Tags` 属性を含めることができます。リソースにタグが関連付けられていない場合は、結果に `Tags` 属性を含めないでください。

検出結果にリソースタグを含めることで、データエンリッチメントパイプラインを構築したり、セキュリティ検出結果のメタデータを手動で強化したりする必要がなくなります。タグを使用して、検出結果とインサイトを検索またはフィルタリングし、[自動化ルール](automation-rules.md)を作成することもできます。

タグに適用される制限の詳細については、「[タグの命名制限と要件](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)」を参照してください。

このフィールドには、 AWS リソースに存在するタグのみを指定できます。 AWS Security Finding 形式で定義されていないデータを提供するには、`Other`詳細サブフィールドを使用します。

**例**

```
"Tags": {
    "billingCode": "Lotus-1-2-3",
    "needsPatching": "true"
}
```

## タイプ
<a name="asff-resources-type"></a>

詳細を提供しているリソースのタイプです。

可能な限り、提供されているリソースタイプの中の 1 つ (`AwsEc2Instance` または `AwsS3Bucket` など) を使用してください。

リソースタイプが提供されているリソースタイプと一致しない場合は、リソース `Type` を `Other` に設定し、`Other` 詳細サブフィールドを使用して詳細を入力します。

サポートされる値のリストについては、「[Resources](asff-resources.md)」を参照してください。

**例**

```
"Type": "AwsS3Bucket"
```

# ASFF の AwsAmazonMQ リソース
<a name="asff-resourcedetails-awsamazonmq"></a>

`AwsAmazonMQ` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsAmazonMQBroker
<a name="asff-resourcedetails-awsamazonmqbroker"></a>

`AwsAmazonMQBroker` は、Amazon MQ で実行されるメッセージブローカー環境である Amazon MQ ブローカーに関する情報を提供します。

次の例は、`AwsAmazonMQBroker` オブジェクトの ASFF を示しています。`AwsAmazonMQBroker` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsAmazonMQBroker](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAmazonMQBrokerDetails.html)」を参照してください。

**例**

```
"AwsAmazonMQBroker": {
    "AutoMinorVersionUpgrade": true,
    "BrokerArn": "arn:aws:mq:us-east-1:123456789012:broker:TestBroker:b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "BrokerId": "b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "BrokerName": "TestBroker",
    "Configuration": {
        "Id": "c-a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
        "Revision": 1
    },
    "DeploymentMode": "ACTIVE_STANDBY_MULTI_AZ",
    "EncryptionOptions": {
        "UseAwsOwnedKey": true
    },
    "EngineType": "ActiveMQ",
    "EngineVersion": "5.17.2",
    "HostInstanceType": "mq.t2.micro",
    "Logs": {
        "Audit": false,
        "AuditLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/audit",
        "General": false,
        "GeneralLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/general"
    },
    "MaintenanceWindowStartTime": {
        "DayOfWeek": "MONDAY",
        "TimeOfDay": "22:00",
        "TimeZone": "UTC"
    },
    "PubliclyAccessible": true,
    "SecurityGroups": [
        "sg-021345abcdef6789"
    ],
    "StorageType": "efs",
    "SubnetIds": [
        "subnet-1234567890abcdef0",
        "subnet-abcdef01234567890"
    ],
    "Users": [
        {
            "Username": "admin"
        }
    ]
}
```

# ASFF の AwsApiGateway リソース
<a name="asff-resourcedetails-awsapigateway"></a>

以下は、 `AwsApiGateway`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsApiGatewayRestApi
<a name="asff-resourcedetails-awsapigatewayrestapi"></a>

`AwsApiGatewayRestApi` オブジェクトには、Amazon API Gateway のバージョン 1 の REST API に関する情報が含まれています。

以下は、 AWS Security Finding 形式 (ASFF) の `AwsApiGatewayRestApi` 検出の例です。`AwsApiGatewayRestApi` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsApiGatewayRestApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayRestApiDetails.html)」を参照してください。

**例**

```
AwsApiGatewayRestApi: {
    "Id": "exampleapi",
    "Name": "Security Hub",
    "Description": "AWS Security Hub",
    "CreatedDate": "2018-11-18T10:20:05-08:00",
    "Version": "2018-10-26",
    "BinaryMediaTypes" : ["-'*~1*'"],
    "MinimumCompressionSize": 1024,
    "ApiKeySource": "AWS_ACCOUNT_ID",
    "EndpointConfiguration": {
        "Types": [
            "REGIONAL"
        ]
    }
}
```

## AwsApiGatewayStage
<a name="asff-resourcedetails-awsapigatewaystage"></a>

`AwsApiGatewayStage` オブジェクトは、Amazon API Gateway ステージ バージョン 1 に関する情報を提供します。

以下は、 AWS Security Finding 形式 (ASFF) の `AwsApiGatewayStage` 検出の例です。`AwsApiGatewayStage` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsApiGatewayStageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayStageDetails.html)」を参照してください。

**例**

```
"AwsApiGatewayStage": {
    "DeploymentId": "n7hlmf",
    "ClientCertificateId": "a1b2c3", 
    "StageName": "Prod",
    "Description" : "Stage Description",
    "CacheClusterEnabled": false,
    "CacheClusterSize" : "1.6",
    "CacheClusterStatus": "NOT_AVAILABLE",
    "MethodSettings": [
        {
            "MetricsEnabled": true,
            "LoggingLevel": "INFO",
            "DataTraceEnabled": false,
            "ThrottlingBurstLimit": 100,
            "ThrottlingRateLimit": 5.0,
            "CachingEnabled": false,
            "CacheTtlInSeconds": 300,
            "CacheDataEncrypted": false,
            "RequireAuthorizationForCacheControl": true,
            "UnauthorizedCacheControlHeaderStrategy": "SUCCEED_WITH_RESPONSE_HEADER",
            "HttpMethod": "POST",
            "ResourcePath": "/echo"
        }
    ],
    "Variables": {"test": "value"},
    "DocumentationVersion": "2.0",
    "AccessLogSettings": {
        "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
        "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
    },
    "CanarySettings": {
        "PercentTraffic": 0.0,
        "DeploymentId": "ul73s8",
        "StageVariableOverrides" : [
            "String" : "String"
        ],
        "UseStageCache": false
    },
    "TracingEnabled": false,
    "CreatedDate": "2018-07-11T10:55:18-07:00",
    "LastUpdatedDate": "2020-08-26T11:51:04-07:00",
    "WebAclArn" : "arn:aws:waf-regional:us-west-2:111122223333:webacl/cb606bd8-5b0b-4f0b-830a-dd304e48a822"
}
```

## AwsApiGatewayV2Api
<a name="asff-resourcedetails-awsapigatewayv2api"></a>

`AwsApiGatewayV2Api` オブジェクトには、Amazon API Gateway のバージョン 2 API に関する情報が含まれています。

以下は、 AWS Security Finding 形式 (ASFF) の `AwsApiGatewayV2Api` 検出の例です。`AwsApiGatewayV2Api` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsApiGatewayV2ApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2ApiDetails.html)」を参照してください。

**例**

```
"AwsApiGatewayV2Api": {
    "ApiEndpoint": "https://example.us-west-2.amazonaws.com",
    "ApiId": "a1b2c3d4",
    "ApiKeySelectionExpression": "$request.header.x-api-key",
    "CreatedDate": "2020-03-28T00:32:37Z",
   "Description": "ApiGatewayV2 Api",
   "Version": "string",
    "Name": "my-api",
    "ProtocolType": "HTTP",
    "RouteSelectionExpression": "$request.method $request.path",
   "CorsConfiguration": {
        "AllowOrigins": [ "*" ],
        "AllowCredentials": true,
        "ExposeHeaders": [ "string" ],
        "MaxAge": 3000,
        "AllowMethods": [
          "GET",
          "PUT",
          "POST",
          "DELETE",
          "HEAD"
        ],
        "AllowHeaders": [ "*" ]
    }
}
```

## AwsApiGatewayV2Stage
<a name="asff-resourcedetails-awsapigatewayv2stage"></a>

`AwsApiGatewayV2Stage` には、Amazon API Gateway のバージョン 2 ステージに関する情報が含まれています。

以下は、 AWS Security Finding 形式 (ASFF) の `AwsApiGatewayV2Stage` 検出の例です。`AwsApiGatewayV2Stage` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsApiGatewayV2StageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2StageDetails.html)」を参照してください。

**例**

```
"AwsApiGatewayV2Stage": {
    "CreatedDate": "2020-04-08T00:36:05Z",
    "Description" : "ApiGatewayV2",
    "DefaultRouteSettings": {
        "DetailedMetricsEnabled": false,
        "LoggingLevel": "INFO",
        "DataTraceEnabled": true,
        "ThrottlingBurstLimit": 100,
        "ThrottlingRateLimit": 50
    },
    "DeploymentId": "x1zwyv",
    "LastUpdatedDate": "2020-04-08T00:36:13Z",
    "RouteSettings": {
        "DetailedMetricsEnabled": false,
        "LoggingLevel": "INFO",
        "DataTraceEnabled": true,
        "ThrottlingBurstLimit": 100,
        "ThrottlingRateLimit": 50
    },
    "StageName": "prod",
    "StageVariables": [
        "function": "my-prod-function"
    ],
    "AccessLogSettings": {
        "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
        "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
    },
    "AutoDeploy": false,
    "LastDeploymentStatusMessage": "Message",
    "ApiGatewayManaged": true,
}
```

# ASFF の AwsAppSync リソース
<a name="asff-resourcedetails-awsappsync"></a>

以下は、 `AwsAppSync`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsAppSyncGraphQLApi
<a name="asff-resourcedetails-awsappsyncgraphqlapi"></a>

`AwsAppSyncGraphQLApi` は、アプリケーションの最上位コンストラクトである AWS AppSync GraphQL API に関する情報を提供します。

次の例は、`AwsAppSyncGraphQLApi` オブジェクトの ASFF を示しています。`AwsAppSyncGraphQLApi` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsAppSyncGraphQLApi](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAppSyncGraphQLApiDetails.html)」を参照してください。

**例**

```
"AwsAppSyncGraphQLApi": {
    "AdditionalAuthenticationProviders": [
    {
    	"AuthenticationType": "AWS_LAMBDA",
    	"LambdaAuthorizerConfig": {
    		"AuthorizerResultTtlInSeconds": 300,
    		"AuthorizerUri": "arn:aws:lambda:us-east-1:123456789012:function:mylambdafunc"
    	}
    },
    {
    	"AuthenticationType": "AWS_IAM"
    }
    ],
    "ApiId": "021345abcdef6789",
    "Arn": "arn:aws:appsync:eu-central-1:123456789012:apis/021345abcdef6789",
    "AuthenticationType": "API_KEY",
    "Id": "021345abcdef6789",
    "LogConfig": {
    	"CloudWatchLogsRoleArn": "arn:aws:iam::123456789012:role/service-role/appsync-graphqlapi-logs-eu-central-1",
    	"ExcludeVerboseContent": true,
    	"FieldLogLevel": "ALL"
    },
    "Name": "My AppSync App",
    "XrayEnabled": true,
}
```

# ASFF の AwsAthena リソース
<a name="asff-resourcedetails-awsathena"></a>

`AwsAthena` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsAthenaWorkGroup
<a name="asff-resourcedetails-awsathenaworkgroup"></a>

`AwsAthenaWorkGroup` は、Amazon Athena ワークグループに関する情報を提供します。ワークグループは、ユーザー、チーム、アプリケーション、ワークロードを分離するのに役立ちます。また、データ処理の制限を設定したり、コストを追跡したりするのにも役立ちます。

次の例は、`AwsAthenaWorkGroup` オブジェクトの ASFF を示しています。`AwsAthenaWorkGroup` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsAthenaWorkGroup](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAthenaWorkGroupDetails.html)」を参照してください。

**例**

```
"AwsAthenaWorkGroup": {
    "Description": "My workgroup for prod workloads",
    "Name": "MyWorkgroup",
    "WorkgroupConfiguration" {
        "ResultConfiguration": {
            "EncryptionConfiguration": {
                "EncryptionOption": "SSE_KMS",
                "KmsKey": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            }
        }
    },
        "State": "ENABLED"
}
```

# ASFF の AwsAutoScaling リソース
<a name="asff-resourcedetails-awsautoscaling"></a>

`AwsAutoScaling` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsAutoScalingAutoScalingGroup
<a name="asff-resourcedetails-awsautoscalingautoscalinggroup"></a>

`AwsAutoScalingAutoScalingGroup` オブジェクトは、オートスケーリンググループの詳細を提供します。

以下は、 AWS Security Finding 形式 (ASFF) の `AwsAutoScalingAutoScalingGroup` 検出の例です。`AwsAutoScalingAutoScalingGroup` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsAutoScalingAutoScalingGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingAutoScalingGroupDetails.html)」を参照してください。

**例**

```
"AwsAutoScalingAutoScalingGroup": {
        "CreatedTime": "2017-10-17T14:47:11Z",
        "HealthCheckGracePeriod": 300,
        "HealthCheckType": "EC2",
        "LaunchConfigurationName": "mylaunchconf",
        "LoadBalancerNames": [],
        "LaunchTemplate": {                            
            "LaunchTemplateId": "string",
            "LaunchTemplateName": "string",
            "Version": "string"
        },
        "MixedInstancesPolicy": {
            "InstancesDistribution": {
                "OnDemandAllocationStrategy": "prioritized",
                "OnDemandBaseCapacity": number,
                "OnDemandPercentageAboveBaseCapacity": number,
                "SpotAllocationStrategy": "lowest-price",
                "SpotInstancePools": number,
                "SpotMaxPrice": "string"
            },
            "LaunchTemplate": {
                "LaunchTemplateSpecification": {
                    "LaunchTemplateId": "string",
                    "LaunchTemplateName": "string",
                    "Version": "string"
                 },
                "CapacityRebalance": true,
                "Overrides": [
                    {
                       "InstanceType": "string",
                       "WeightedCapacity": "string"
                    }
                ]
            }
        }
    }
}
```

## AwsAutoScalingLaunchConfiguration
<a name="asff-resourcedetails-awsautoscalinglaunchconfiguration"></a>

`AwsAutoScalingLaunchConfiguration` オブジェクトは、起動設定に関する詳細を提供します。

Security AWS Finding 形式 (ASFF) の検出`AwsAutoScalingLaunchConfiguration`結果の例を次に示します。

`AwsAutoScalingLaunchConfiguration` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsAutoScalingLaunchConfigurationDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingLaunchConfigurationDetails.html)」を参照してください。

**例**

```
AwsAutoScalingLaunchConfiguration: {
    "LaunchConfigurationName": "newtest",
    "ImageId": "ami-058a3739b02263842",
    "KeyName": "55hundredinstance",
    "SecurityGroups": [ "sg-01fce87ad6e019725" ],
    "ClassicLinkVpcSecurityGroups": [],
    "UserData": "...Base64-Encoded user data..."
    "InstanceType": "a1.metal",
    "KernelId": "",
    "RamdiskId": "ari-a51cf9cc",
    "BlockDeviceMappings": [
        {
            "DeviceName": "/dev/sdh",
            "Ebs": {
                "VolumeSize": 30,
                "VolumeType": "gp2",
                "DeleteOnTermination": false,
                "Encrypted": true,
                "SnapshotId": "snap-ffaa1e69",
                "VirtualName": "ephemeral1"
            }
        },
        {
            "DeviceName": "/dev/sdb",
            "NoDevice": true
        },
        {
            "DeviceName": "/dev/sda1",
            "Ebs": {
                "SnapshotId": "snap-02420cd3d2dea1bc0",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "DeleteOnTermination": true,
                "Encrypted": false
            }
        },
        {
            "DeviceName": "/dev/sdi",
            "Ebs": {
                "VolumeSize": 20,
                "VolumeType": "gp2",
                "DeleteOnTermination": false,
                "Encrypted": true
            }
        },
        {
            "DeviceName": "/dev/sdc",
            "NoDevice": true
        }
    ],
    "InstanceMonitoring": {
        "Enabled": false
    },
    "CreatedTime": 1620842933453,
    "EbsOptimized": false,
    "AssociatePublicIpAddress": true,
    "SpotPrice": "0.045"
}
```

# ASFF の AwsBackup リソース
<a name="asff-resourcedetails-awsbackup"></a>

以下は、 `AwsBackup`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsBackupBackupPlan
<a name="asff-resourcedetails-awsbackupbackupplan"></a>

`AwsBackupBackupPlan` オブジェクトは、 AWS Backup のバックアップ計画に関する情報を提供します。 AWS Backup バックアッププランは、 AWS リソースをバックアップするタイミングと方法を定義するポリシー式です。

次の例は、 `AwsBackupBackupPlan` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsBackupBackupPlan` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsBackupBackupPlan](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupPlanDetails.html)」を参照してください。

**例**

```
"AwsBackupBackupPlan": {
    "BackupPlan": {
    	"AdvancedBackupSettings": [{
    		"BackupOptions": {
    			"WindowsVSS":"enabled"
    		},
    		"ResourceType":"EC2"
    	}],
    	"BackupPlanName": "test",
    	"BackupPlanRule": [{
    		"CompletionWindowMinutes": 10080,
    		"CopyActions": [{
    			"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
    			"Lifecycle": {
    				"DeleteAfterDays": 365,
    				"MoveToColdStorageAfterDays": 30
    			}
    		}],
    		"Lifecycle": {
    			"DeleteAfterDays": 35
    		},
    		"RuleName": "DailyBackups",
    		"ScheduleExpression": "cron(0 5 ? * * *)",
    		"StartWindowMinutes": 480,
    		"TargetBackupVault": "Default"
    		},
    		{
    		"CompletionWindowMinutes": 10080,
    		"CopyActions": [{
    			"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
    			"Lifecycle": {
    				"DeleteAfterDays": 365,
    				"MoveToColdStorageAfterDays": 30
    			}
    		}],
    		"Lifecycle": {
    			"DeleteAfterDays": 35
    		},
    		"RuleName": "Monthly",
    		"ScheduleExpression": "cron(0 5 1 * ? *)",
    		"StartWindowMinutes": 480,
    		"TargetBackupVault": "Default"
    	}]
    },
    "BackupPlanArn": "arn:aws:backup:us-east-1:858726136373:backup-plan:b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
    "BackupPlanId": "b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
    "VersionId": "ZDVjNDIzMjItYTZiNS00NzczLTg4YzctNmExMWM2NjZhY2E1"
}
```

## AwsBackupBackupVault
<a name="asff-resourcedetails-awsbackupbackupvault"></a>

`AwsBackupBackupVault` オブジェクトは、 AWS Backup のバックアップボールトに関する情報を提供します。 AWS Backup バックアップボールトは、バックアップを保存して整理するコンテナです。

次の例は、 `AwsBackupBackupVault` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsBackupBackupVault` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsBackupBackupVault](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupVaultDetails.html)」を参照してください。

**例**

```
"AwsBackupBackupVault": {
    "AccessPolicy": {
    	"Statement": [{
    		"Action": [
    			"backup:DeleteBackupVault",
    			"backup:DeleteBackupVaultAccessPolicy",
    			"backup:DeleteRecoveryPoint",
    			"backup:StartCopyJob",
    			"backup:StartRestoreJob",
    			"backup:UpdateRecoveryPointLifecycle"
    		],
    		"Effect": "Deny",
    		"Principal": {
    			"AWS": "*"
    		},
    		"Resource": "*"
    	}],
    	"Version": "2012-10-17"		 	 	 
    },
    "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:aws/efs/automatic-backup-vault",
    "BackupVaultName": "aws/efs/automatic-backup-vault",
    "EncrytionKeyArn": "arn:aws:kms:us-east-1:444455556666:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
    "Notifications": {
    	"BackupVaultEvents": ["BACKUP_JOB_STARTED", "BACKUP_JOB_COMPLETED", "COPY_JOB_STARTED"],
    	"SNSTopicArn": "arn:aws:sns:us-west-2:111122223333:MyVaultTopic"
    }
}
```

## AwsBackupRecoveryPoint
<a name="asff-resourcedetails-awsbackuprecoverypoint"></a>

`AwsBackupRecoveryPoint` オブジェクトは、 AWS Backup のバックアップに関する情報 (復旧ポイント) を提供します。 AWS Backup 復旧ポイントは、指定した時刻のリソースの内容を表します。

次の例は、 `AwsBackupRecoveryPoint` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsBackupBackupVault` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsBackupRecoveryPoint](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupRecoveryPointDetails.html)」を参照してください。

**例**

```
"AwsBackupRecoveryPoint": {
    "BackupSizeInBytes": 0,
    "BackupVaultName": "aws/efs/automatic-backup-vault",
    "BackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
    "CalculatedLifecycle": {
    	"DeleteAt": "2021-08-30T06:51:58.271Z",
    	"MoveToColdStorageAt": "2020-08-10T06:51:58.271Z"
    },
    "CompletionDate": "2021-07-26T07:21:40.361Z",
    "CreatedBy": {
    	"BackupPlanArn": "arn:aws:backup:us-east-1:111122223333:backup-plan:aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
    	"BackupPlanId": "aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
    	"BackupPlanVersion": "ZGM4YzY5YjktMWYxNC00ZTBmLWE5MjYtZmU5OWNiZmM5ZjIz",
    	"BackupRuleId": "2a600c2-42ad-4196-808e-084923ebfd25"
    },
    "CreationDate": "2021-07-26T06:51:58.271Z",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:111122223333:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
    "IamRoleArn": "arn:aws:iam::111122223333:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup",
    "IsEncrypted": true,
    "LastRestoreTime": "2021-07-26T06:51:58.271Z",
    "Lifecycle": {
    	"DeleteAfterDays": 35,
    	"MoveToColdStorageAfterDays": 15
    },
    "RecoveryPointArn": "arn:aws:backup:us-east-1:111122223333:recovery-point:151a59e4-f1d5-4587-a7fd-0774c6e91268",
    "ResourceArn": "arn:aws:elasticfilesystem:us-east-1:858726136373:file-system/fs-15bd31a1",
    "ResourceType": "EFS",
    "SourceBackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
    "Status": "COMPLETED",
    "StatusMessage": "Failure message",
    "StorageClass": "WARM"
}
```

# ASFF の AwsCertificateManager リソース
<a name="asff-resourcedetails-awscertificatemanager"></a>

`AwsCertificateManager` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsCertificateManagerCertificate
<a name="asff-resourcedetails-awscertificatemanagercertificate"></a>

`AwsCertificateManagerCertificate` オブジェクトは、 AWS Certificate Manager (ACM) 証明書に関する詳細を提供します。

Security AWS Finding 形式 (ASFF) の検出`AwsCertificateManagerCertificate`結果の例を次に示します。`AwsCertificateManagerCertificate` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsCertificateManagerCertificateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCertificateManagerCertificateDetails.html)」を参照してください。

**例**

```
"AwsCertificateManagerCertificate": {
    "CertificateAuthorityArn": "arn:aws:acm:us-west-2:444455556666:certificate-authority/example",
    "CreatedAt": "2019-05-24T18:12:02.000Z",
    "DomainName": "example.amazondomains.com",
    "DomainValidationOptions": [
        {
            "DomainName": "example.amazondomains.com",
            "ResourceRecord": {
                "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
                "Type": "CNAME",
                "Value": "_example.acm-validations.aws."
             },
             "ValidationDomain": "example.amazondomains.com",
             "ValidationEmails": [sample_email@sample.com],
             "ValidationMethod": "DNS",
             "ValidationStatus": "SUCCESS"
        }
    ],
    "ExtendedKeyUsages": [
        {
            "Name": "TLS_WEB_SERVER_AUTHENTICATION",
            "OId": "1.3.6.1.5.5.7.3.1"
        },
        {
            "Name": "TLS_WEB_CLIENT_AUTHENTICATION",
            "OId": "1.3.6.1.5.5.7.3.2"
        }
    ],
    "FailureReason": "",
    "ImportedAt": "2018-08-17T00:13:00.000Z",
    "InUseBy": ["arn:aws:amazondomains:us-west-2:444455556666:loadbalancer/example"],
    "IssuedAt": "2020-04-26T00:41:17.000Z",
    "Issuer": "Amazon",
    "KeyAlgorithm": "RSA-1024",
    "KeyUsages": [
        {
            "Name": "DIGITAL_SIGNATURE",
        },
        {
            "Name": "KEY_ENCIPHERMENT",
        }
    ],
    "NotAfter": "2021-05-26T12:00:00.000Z",
    "NotBefore": "2020-04-26T00:00:00.000Z",
    "Options": {
        "CertificateTransparencyLoggingPreference": "ENABLED",
    }
    "RenewalEligibility": "ELIGIBLE",
    "RenewalSummary": {
        "DomainValidationOptions": [
            {
                "DomainName": "example.amazondomains.com",
                "ResourceRecord": {
                    "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
                    "Type": "CNAME",
                    "Value": "_example.acm-validations.aws.com",
                },
                "ValidationDomain": "example.amazondomains.com",
                "ValidationEmails": ["sample_email@sample.com"],
                "ValidationMethod": "DNS",
                "ValidationStatus": "SUCCESS"
            }
        ],
        "RenewalStatus": "SUCCESS",
        "RenewalStatusReason": "",
        "UpdatedAt": "2020-04-26T00:41:35.000Z",
    },
    "Serial": "02:ac:86:b6:07:2f:0a:61:0e:3a:ac:fd:d9:ab:17:1a",
    "SignatureAlgorithm": "SHA256WITHRSA",
    "Status": "ISSUED",
    "Subject": "CN=example.amazondomains.com",
    "SubjectAlternativeNames": ["example.amazondomains.com"],
    "Type": "AMAZON_ISSUED"
}
```

# ASFF の AwsCloudFormation リソース
<a name="asff-resourcedetails-awscloudformation"></a>

`AwsCloudFormation` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsCloudFormationStack
<a name="asff-resourcedetails-awscloudformationstack"></a>

`AwsCloudFormationStack` オブジェクトは、 最上位のテンプレートでリソースとしてネストされている AWS CloudFormation スタックの詳細を表示します。

次の例は、 `AwsCloudFormationStack` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsCloudFormationStack` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsCloudFormationStackDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFormationStackDetails.html)」を参照してください。

**例**

```
"AwsCloudFormationStack": { 
	"Capabilities": [
		"CAPABILITY_IAM",
		"CAPABILITY_NAMED_IAM"
	],
	"CreationTime": "2022-02-18T15:31:53.161Z",
	"Description": "AWS CloudFormation Sample",
	"DisableRollback": true,
	"DriftInformation": {
		"StackDriftStatus": "DRIFTED"
	},
	"EnableTerminationProtection": false,
	"LastUpdatedTime": "2022-02-18T15:31:53.161Z",
	"NotificationArns": [
		"arn:aws:sns:us-east-1:978084797471:sample-sns-cfn"
	],
	"Outputs": [{
		"Description": "URL for newly created LAMP stack",
		"OutputKey": "WebsiteUrl",
		"OutputValue": "http://ec2-44-193-18-241.compute-1.amazonaws.com"
	}],
	"RoleArn": "arn:aws:iam::012345678910:role/exampleRole",
	"StackId": "arn:aws:cloudformation:us-east-1:978084797471:stack/sample-stack/e5d9f7e0-90cf-11ec-88c6-12ac1f91724b",
	"StackName": "sample-stack",
	"StackStatus": "CREATE_COMPLETE",
	"StackStatusReason": "Success",
	"TimeoutInMinutes": 1
}
```

# ASFF の AwsCloudFront リソース
<a name="asff-resourcedetails-awscloudfront"></a>

`AwsCloudFront` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsCloudFrontDistribution
<a name="asff-resourcedetails-awscloudfrontdistribution"></a>

`AwsCloudFrontDistribution` オブジェクトは、Amazon CloudFront ディストリビューション設定の詳細を表示します。

以下は、 AWS Security Finding 形式 (ASFF) の `AwsCloudFrontDistribution` 検出の例です。`AwsCloudFrontDistribution` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsCloudFrontDistributionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFrontDistributionDetails.html)」を参照してください。

**例**

```
"AwsCloudFrontDistribution": {
    "CacheBehaviors": {
        "Items": [
            {
               "ViewerProtocolPolicy": "https-only"
            }
         ]
    },
    "DefaultCacheBehavior": {
         "ViewerProtocolPolicy": "https-only"
    },
    "DefaultRootObject": "index.html",
    "DomainName": "d2wkuj2w9l34gt.cloudfront.net",
    "Etag": "E37HOT42DHPVYH",
    "LastModifiedTime": "2015-08-31T21:11:29.093Z",
    "Logging": {
         "Bucket": "myawslogbucket.s3.amazonaws.com",
         "Enabled": false,
         "IncludeCookies": false,
         "Prefix": "myawslog/"
     },
     "OriginGroups": {
          "Items": [
              {
                 "FailoverCriteria": {
                     "StatusCodes": {
                          "Items": [
                              200,
                              301,
                              404
                          ]
                          "Quantity": 3
                      }
                 }
              }
           ]
     },
     "Origins": {
           "Items": [
               {
                  "CustomOriginConfig": {
                      "HttpPort": 80,
                      "HttpsPort": 443,
                      "OriginKeepaliveTimeout": 60,
                      "OriginProtocolPolicy": "match-viewer",
                      "OriginReadTimeout": 30,
                      "OriginSslProtocols": {
                        "Items": ["SSLv3", "TLSv1"],
                        "Quantity": 2
                      }                       
                  }
               },                  
           ]
     },
                  "DomainName": "amzn-s3-demo-bucket.s3.amazonaws.com",
                  "Id": "my-origin",
                  "OriginPath": "/production",
                  "S3OriginConfig": {
                      "OriginAccessIdentity": "origin-access-identity/cloudfront/E2YFS67H6VB6E4"
                  }
           ]
     },
     "Status": "Deployed",
     "ViewerCertificate": {
            "AcmCertificateArn": "arn:aws:acm::123456789012:AcmCertificateArn",
            "Certificate": "ASCAJRRE5XYF52TKRY5M4",
            "CertificateSource": "iam",
            "CloudFrontDefaultCertificate": true,
            "IamCertificateId": "ASCAJRRE5XYF52TKRY5M4",
            "MinimumProtocolVersion": "TLSv1.2_2021",
            "SslSupportMethod": "sni-only"
      },
      "WebAclId": "waf-1234567890"
}
```

# ASFF の AwsCloudTrail リソース
<a name="asff-resourcedetails-awscloudtrail"></a>

`AwsCloudTrail` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsCloudTrailTrail
<a name="asff-resourcedetails-awscloudtrailtrail"></a>

`AwsCloudTrailTrail` オブジェクトは、 AWS CloudTrail トレイルに関する詳細を表示します。

以下は、 AWS Security Finding 形式 (ASFF) の `AwsCloudTrailTrail` 検出の例です。`AwsCloudTrailTrail` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsCloudTrailTrailDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudTrailTrailDetails.html)」を参照してください。

**例**

```
"AwsCloudTrailTrail": {
    "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:CloudTrail/regression:*",
    "CloudWatchLogsRoleArn": "arn:aws:iam::866482105055:role/CloudTrail_CloudWatchLogs",
    "HasCustomEventSelectors": true,
    "HomeRegion": "us-west-2",
    "IncludeGlobalServiceEvents": true,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "KmsKeyId": "kmsKeyId",
    "LogFileValidationEnabled": true,
    "Name": "regression-trail",
    "S3BucketName": "cloudtrail-bucket",
    "S3KeyPrefix": "s3KeyPrefix",
    "SnsTopicArn": "arn:aws:sns:us-east-2:123456789012:MyTopic",
    "SnsTopicName": "snsTopicName",
    "TrailArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail"
}
```

# ASFF の AwsCloudWatch リソース
<a name="asff-resourcedetails-awscloudwatch"></a>

`AwsCloudWatch` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsCloudWatchAlarm
<a name="asff-resourcedetails-awscloudwatchalarm"></a>

`AwsCloudWatchAlarm` オブジェクトは、アラームの状態が変化したときにメトリクスを監視するまたはアクションを実行する Amazon CloudWatch アラームの詳細を表示します。

次の例は、 `AwsCloudWatchAlarm` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsCloudWatchAlarm` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsCloudWatchAlarmDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudWatchAlarmDetails.html)」を参照してください。

**例**

```
"AwsCloudWatchAlarm": { 
	"ActionsEnabled": true,
	"AlarmActions": [
		"arn:aws:automate:region:ec2:stop",
		"arn:aws:automate:region:ec2:terminate"
	],
	"AlarmArn": "arn:aws:cloudwatch:us-west-2:012345678910:alarm:sampleAlarm",
	"AlarmConfigurationUpdatedTimestamp": "2022-02-18T15:31:53.161Z",
	"AlarmDescription": "Alarm Example",
	"AlarmName": "Example",
	"ComparisonOperator": "GreaterThanOrEqualToThreshold",
	"DatapointsToAlarm": 1,
	"Dimensions": [{
		"Name": "InstanceId",
		"Value": "i-1234567890abcdef0"
	}],
	"EvaluateLowSampleCountPercentile": "evaluate",
	"EvaluationPeriods": 1,
	"ExtendedStatistic": "p99.9",
	"InsufficientDataActions": [
		"arn:aws:automate:region:ec2:stop"
	],
	"MetricName": "Sample Metric",
	"Namespace": "YourNamespace",
	"OkActions": [
		"arn:aws:swf:region:account-id:action/actions/AWS_EC2.InstanceId.Stop/1.0"
	],
	"Period": 1,
	"Statistic": "SampleCount",
	"Threshold": 12.3,
	"ThresholdMetricId": "t1",
	"TreatMissingData": "notBreaching",
	"Unit": "Kilobytes/Second"
}
```

# ASFF の AwsCodeBuild リソース
<a name="asff-resourcedetails-awscodebuild"></a>

`AwsCodeBuild` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsCodeBuildProject
<a name="asff-resourcedetails-awscodebuildproject"></a>

`AwsCodeBuildProject` オブジェクトは、 AWS CodeBuild プロジェクトに関する情報を提供します。

以下は、 AWS Security Finding 形式 (ASFF) の `AwsCodeBuildProject` 検出の例です。`AwsCodeBuildProject` 属性の説明については、「*AWS Security Hub API リファレンス*」の「[AwsCodeBuildProjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCodeBuildProjectDetails.html)」を参照してください。

**例**

```
"AwsCodeBuildProject": {
   "Artifacts": [
      {
          "ArtifactIdentifier": "string",
          "EncryptionDisabled": boolean,
          "Location": "string",
          "Name": "string",
          "NamespaceType": "string",
          "OverrideArtifactName": boolean,
          "Packaging": "string",
          "Path": "string",
          "Type": "string"
       }
   ],
   "SecondaryArtifacts": [
      {
          "ArtifactIdentifier": "string",
          "EncryptionDisabled": boolean,
          "Location": "string",
          "Name": "string",
          "NamespaceType": "string",
          "OverrideArtifactName": boolean,
          "Packaging": "string",
          "Path": "string",
          "Type": "string"
       }
   ],
   "EncryptionKey": "string",
   "Certificate": "string",
   "Environment": {
      "Certificate": "string",
      "EnvironmentVariables": [
           {
                "Name": "string",
                "Type": "string",
                "Value": "string"
           }
      ],
   "ImagePullCredentialsType": "string",
   "PrivilegedMode": boolean, 
   "RegistryCredential": {
       "Credential": "string",
       "CredentialProvider": "string"
   },
   "Type": "string"
   },
   "LogsConfig": {
        "CloudWatchLogs": {
             "GroupName": "string",
             "Status": "string",
             "StreamName": "string"
        },
        "S3Logs": {
             "EncryptionDisabled": boolean,
             "Location": "string",
             "Status": "string"
        }
   },
   "Name": "string",
   "ServiceRole": "string",
   "Source": {
        "Type": "string",
        "Location": "string",
        "GitCloneDepth": integer
   },
   "VpcConfig": {
        "VpcId": "string",
        "Subnets": ["string"],
        "SecurityGroupIds": ["string"]
   }
}
```

# ASFF の AwsDms リソース
<a name="asff-resourcedetails-awsdms"></a>

`AwsDms` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsDmsEndpoint
<a name="asff-resourcedetails-awsdmsendpoint"></a>

`AwsDmsEndpoint` オブジェクトは、 AWS Database Migration Service (AWS DMS) エンドポイントに関する情報を提供します。エンドポイントは、データストアに関する接続、データストアタイプ、および場所情報を提供します。

次の例は、 `AwsDmsEndpoint` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsDmsEndpoint` 属性の詳細については、**AWS Security Hub API リファレンスの「[AwsDmsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsEndpointDeatils.html)」を参照してください。

**例**

```
"AwsDmsEndpoint": {
    "CertificateArn": "arn:aws:dms:us-east-1:123456789012:cert:EXAMPLEIGDURVZGVJQZDPWJ5A7F2YDJVSMTBWFI",
    "DatabaseName": "Test",
    "EndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:EXAMPLEQB3CZY33F7XV253NAJVBNPK6MJQVFVQA",
    "EndpointIdentifier": "target-db",
    "EndpointType": "TARGET", 
    "EngineName": "mariadb",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Port": 3306,
    "ServerName": "target-db.exampletafyu.us-east-1.rds.amazonaws.com",
    "SslMode": "verify-ca",
    "Username": "admin"
}
```

## AwsDmsReplicationInstance
<a name="asff-resourcedetails-awsdmsreplicationinstance"></a>

`AwsDmsReplicationInstance` オブジェクトは、 AWS Database Migration Service (AWS DMS) レプリケーションインスタンスに関する情報を提供します。DMS はレプリケーション インスタンスを使用してソースデータストアに接続し、ソースデータを読み取り、ターゲットデータストアが使用できるようにデータをフォーマットします。

次の例は、 `AwsDmsReplicationInstance` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsDmsReplicationInstance` 属性の詳細については、**AWS Security Hub API リファレンスの「[AwsDmsReplicationInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationInstanceDetails.html)」を参照してください。

**例**

```
"AwsDmsReplicationInstance": {
    "AllocatedStorage": 50,
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZone": "us-east-1b",
    "EngineVersion": "3.5.1",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "MultiAZ": false,
    "PreferredMaintenanceWindow": "wed:08:08-wed:08:38",
    "PubliclyAccessible": true,
    "ReplicationInstanceClass": "dms.c5.xlarge",
    "ReplicationInstanceIdentifier": "second-replication-instance",
    "ReplicationSubnetGroup": {
        "ReplicationSubnetGroupIdentifier": "default-vpc-2344f44f"
    },
    "VpcSecurityGroups": [
        {
            "VpcSecurityGroupId": "sg-003a34e205138138b"
        }
    ]
}
```

## AwsDmsReplicationTask
<a name="asff-resourcedetails-awsdmsreplicationtask"></a>

`AwsDmsReplicationTask` オブジェクトは、 AWS Database Migration Service (AWS DMS) レプリケーションタスクに関する情報を提供します。レプリケーションタスクは、一連のデータをソースエンドポイントからターゲットエンドポイントに移動します。

次の例は、 `AwsDmsReplicationInstance` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsDmsReplicationInstance` 属性の詳細については、**AWS Security Hub API リファレンスの「[AwsDmsReplicationInstance](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationTaskDetails.html)」を参照してください。

**例**

```
"AwsDmsReplicationTask": {
    "CdcStartPosition": "2023-08-28T14:26:22",
    "Id": "arn:aws:dms:us-east-1:123456789012:task:YDYUOHZIXWKQSUCBMUCQCNY44SJW74VJNB5DFWQ",
    "MigrationType": "cdc",
    "ReplicationInstanceArn": "arn:aws:dms:us-east-1:123456789012:rep:T7V6RFDP23PYQWUL26N3PF5REKML4YOUGIMYJUI",
    "ReplicationTaskIdentifier": "test-task",
    "ReplicationTaskSettings": "{\"Logging\":{\"EnableLogging\":false,\"EnableLogContext\":false,\"LogComponents\":[{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TRANSFORMATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_UNLOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"IO\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_LOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"PERFORMANCE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_CAPTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SORTER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"REST_SERVER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"VALIDATOR_EXT\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_APPLY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TASK_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TABLES_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"METADATA_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_FACTORY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMON\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"ADDONS\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"DATA_STRUCTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMUNICATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_TRANSFER\"}],\"CloudWatchLogGroup\":null,\"CloudWatchLogStream\":null},\"StreamBufferSettings\":{\"StreamBufferCount\":3,\"CtrlStreamBufferSizeInMB\":5,\"StreamBufferSizeInMB\":8},\"ErrorBehavior\":{\"FailOnNoTablesCaptured\":true,\"ApplyErrorUpdatePolicy\":\"LOG_ERROR\",\"FailOnTransactionConsistencyBreached\":false,\"RecoverableErrorThrottlingMax\":1800,\"DataErrorEscalationPolicy\":\"SUSPEND_TABLE\",\"ApplyErrorEscalationCount\":0,\"RecoverableErrorStopRetryAfterThrottlingMax\":true,\"RecoverableErrorThrottling\":true,\"ApplyErrorFailOnTruncationDdl\":false,\"DataTruncationErrorPolicy\":\"LOG_ERROR\",\"ApplyErrorInsertPolicy\":\"LOG_ERROR\",\"EventErrorPolicy\":\"IGNORE\",\"ApplyErrorEscalationPolicy\":\"LOG_ERROR\",\"RecoverableErrorCount\":-1,\"DataErrorEscalationCount\":0,\"TableErrorEscalationPolicy\":\"STOP_TASK\",\"RecoverableErrorInterval\":5,\"ApplyErrorDeletePolicy\":\"IGNORE_RECORD\",\"TableErrorEscalationCount\":0,\"FullLoadIgnoreConflicts\":true,\"DataErrorPolicy\":\"LOG_ERROR\",\"TableErrorPolicy\":\"SUSPEND_TABLE\"},\"TTSettings\":{\"TTS3Settings\":null,\"TTRecordSettings\":null,\"EnableTT\":false},\"FullLoadSettings\":{\"CommitRate\":10000,\"StopTaskCachedChangesApplied\":false,\"StopTaskCachedChangesNotApplied\":false,\"MaxFullLoadSubTasks\":8,\"TransactionConsistencyTimeout\":600,\"CreatePkAfterFullLoad\":false,\"TargetTablePrepMode\":\"DO_NOTHING\"},\"TargetMetadata\":{\"ParallelApplyBufferSize\":0,\"ParallelApplyQueuesPerThread\":0,\"ParallelApplyThreads\":0,\"TargetSchema\":\"\",\"InlineLobMaxSize\":0,\"ParallelLoadQueuesPerThread\":0,\"SupportLobs\":true,\"LobChunkSize\":64,\"TaskRecoveryTableEnabled\":false,\"ParallelLoadThreads\":0,\"LobMaxSize\":0,\"BatchApplyEnabled\":false,\"FullLobMode\":true,\"LimitedSizeLobMode\":false,\"LoadMaxFileSize\":0,\"ParallelLoadBufferSize\":0},\"BeforeImageSettings\":null,\"ControlTablesSettings\":{\"historyTimeslotInMinutes\":5,\"HistoryTimeslotInMinutes\":5,\"StatusTableEnabled\":false,\"SuspendedTablesTableEnabled\":false,\"HistoryTableEnabled\":false,\"ControlSchema\":\"\",\"FullLoadExceptionTableEnabled\":false},\"LoopbackPreventionSettings\":null,\"CharacterSetSettings\":null,\"FailTaskWhenCleanTaskResourceFailed\":false,\"ChangeProcessingTuning\":{\"StatementCacheSize\":50,\"CommitTimeout\":1,\"BatchApplyPreserveTransaction\":true,\"BatchApplyTimeoutMin\":1,\"BatchSplitSize\":0,\"BatchApplyTimeoutMax\":30,\"MinTransactionSize\":1000,\"MemoryKeepTime\":60,\"BatchApplyMemoryLimit\":500,\"MemoryLimitTotal\":1024},\"ChangeProcessingDdlHandlingPolicy\":{\"HandleSourceTableDropped\":true,\"HandleSourceTableTruncated\":true,\"HandleSourceTableAltered\":true},\"PostProcessingRules\":null}",
    "SourceEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:TZPWV2VCXEGHYOKVKRNHAKJ4Q3RUXACNGFGYWRI",
    "TableMappings": "{\"rules\":[{\"rule-type\":\"selection\",\"rule-id\":\"969761702\",\"rule-name\":\"969761702\",\"object-locator\":{\"schema-name\":\"%table\",\"table-name\":\"%example\"},\"rule-action\":\"exclude\",\"filters\":[]}]}",
    "TargetEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:ABR8LBOQB3CZY33F7XV253NAJVBNPK6MJQVFVQA"
}
```

# ASFF の AwsDynamoDB リソース
<a name="asff-resourcedetails-awsdynamodb"></a>

`AwsDynamoDB` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsDynamoDbTable
<a name="asff-resourcedetails-awsdynamodbtable"></a>

`AwsDynamoDbTable` オブジェクトは、Amazon DynamoDB テーブルに関する詳細を表示します。

以下は、 AWS Security Finding 形式 (ASFF) の `AwsDynamoDbTable` 検出の例です。`AwsDynamoDbTable` 属性の説明については、「*AWS Security Hub API リファレンス*」の「[AwsDynamoDbTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDynamoDbTableDetails.html)」を参照してください。

**例**

```
"AwsDynamoDbTable": {
    "AttributeDefinitions": [   
        {        
            "AttributeName": "attribute1",
            "AttributeType": "value 1"
        },
        {
            "AttributeName": "attribute2",
            "AttributeType": "value 2"
        },
        {
            "AttributeName": "attribute3",
            "AttributeType": "value 3"
        }
    ],
    "BillingModeSummary": {
        "BillingMode": "PAY_PER_REQUEST",
        "LastUpdateToPayPerRequestDateTime": "2019-12-03T15:23:10.323Z"
    },
    "CreationDateTime": "2019-12-03T15:23:10.248Z",
    "DeletionProtectionEnabled": true,
    "GlobalSecondaryIndexes": [
        {
            "Backfilling": false,
            "IndexArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/index/exampleIndex",                
            "IndexName": "standardsControlArnIndex",
            "IndexSizeBytes": 1862513,
            "IndexStatus": "ACTIVE",
            "ItemCount": 20,
            "KeySchema": [
                {
                    "AttributeName": "City",
                    "KeyType": "HASH"
                },     
                {
                    "AttributeName": "Date",
                    "KeyType": "RANGE"
                }
            ],      
            "Projection": {
                "NonKeyAttributes": ["predictorName"],
                "ProjectionType": "ALL"
            },     
            "ProvisionedThroughput": {
                "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
                "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
                "NumberOfDecreasesToday": 0,
                "ReadCapacityUnits": 100,
                "WriteCapacityUnits": 50
            },
        }
   ],
   "GlobalTableVersion": "V1",
   "ItemCount": 2705,
   "KeySchema": [
        {
            "AttributeName": "zipcode",
            "KeyType": "HASH"
        }
    ],
    "LatestStreamArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/stream/2019-12-03T23:23:10.248",
    "LatestStreamLabel": "2019-12-03T23:23:10.248",
    "LocalSecondaryIndexes": [
        {
            "IndexArn": "arn:aws:dynamodb:us-east-1:111122223333:table/exampleGroup/index/exampleId",
            "IndexName": "CITY_DATE_INDEX_NAME",
            "KeySchema": [
                {
                    "AttributeName": "zipcode",
                    "KeyType": "HASH"
                }
            ],
            "Projection": {
                "NonKeyAttributes": ["predictorName"],
                "ProjectionType": "ALL"
            },  
        }
    ],
    "ProvisionedThroughput": {
        "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
        "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
        "NumberOfDecreasesToday": 0,
        "ReadCapacityUnits": 100,
        "WriteCapacityUnits": 50
    },
    "Replicas": [
        {
            "GlobalSecondaryIndexes":[
                {
                    "IndexName": "CITY_DATE_INDEX_NAME", 
                    "ProvisionedThroughputOverride": {
                        "ReadCapacityUnits": 10
                    }
                }
            ],
            "KmsMasterKeyId" : "KmsKeyId"
            "ProvisionedThroughputOverride": {
                "ReadCapacityUnits": 10
            },
            "RegionName": "regionName",
            "ReplicaStatus": "CREATING",
            "ReplicaStatusDescription": "replicaStatusDescription"
        }
    ],
    "RestoreSummary" : {
        "SourceBackupArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/backup/backup1",
        "SourceTableArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable",
        "RestoreDateTime": "2020-06-22T17:40:12.322Z",
        "RestoreInProgress": true
    },
    "SseDescription": {
        "InaccessibleEncryptionDateTime": "2018-01-26T23:50:05.000Z",
        "Status": "ENABLED",
        "SseType": "KMS",
        "KmsMasterKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key1"
    },
    "StreamSpecification" : {
        "StreamEnabled": true,
        "StreamViewType": "NEW_IMAGE"
    },
    "TableId": "example-table-id-1",
    "TableName": "example-table",
    "TableSizeBytes": 1862513,
    "TableStatus": "ACTIVE"
}
```

# ASFF の AwsEc2 リソース
<a name="asff-resourcedetails-awsec2"></a>

以下は、 `AwsEc2`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsEc2ClientVpnEndpoint
<a name="asff-resourcedetails-awsec2clientvpnendpoint"></a>

`AwsEc2ClientVpnEndpoint` オブジェクトは、 AWS Client VPN エンドポイントに関する情報を提供します。クライアント VPN エンドポイントは、クライアント VPN セッションを有効にして管理するために作成して設定するリソースです。これは、すべてのクライアント VPN セッションの終了ポイントです。

次の例は、 `AwsEc2ClientVpnEndpoint` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2ClientVpnEndpoint` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2ClientVpnEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2ClientVpnEndpointDetails.html)」を参照してください。

**例**

```
"AwsEc2ClientVpnEndpoint": {
    "AuthenticationOptions": [
        {
            "MutualAuthentication": {
                "ClientRootCertificateChainArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Type": "certificate-authentication"
        }
    ],
    "ClientCidrBlock": "10.0.0.0/22",
    "ClientConnectOptions": {
        "Enabled": false
    },
    "ClientLoginBannerOptions": {
        "Enabled": false
    },
    "ClientVpnEndpointId": "cvpn-endpoint-00c5d11fc4729f2a5",
    "ConnectionLogOptions": {
        "Enabled": false
    },
    "Description": "test",
    "DnsServer": ["10.0.0.0"],
    "ServerCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "SecurityGroupIdSet": [
        "sg-0f7a177b82b443691"
    ],
    "SelfServicePortalUrl": "https://self-service.clientvpn.amazonaws.com/endpoints/cvpn-endpoint-00c5d11fc4729f2a5",
    "SessionTimeoutHours": 24,
    "SplitTunnel": false,
    "TransportProtocol": "udp",
    "VpcId": "vpc-1a2b3c4d5e6f1a2b3",
    "VpnPort": 443
}
```

## AwsEc2Eip
<a name="asff-resourcedetails-awsec2eip"></a>

`AwsEc2Eip` オブジェクトは、Elastic IP アドレスに関する情報を提供します。

次の例は、 `AwsEc2Eip` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2Eip` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2EipDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2EipDetails.html)」を参照してください。

**例**

```
"AwsEc2Eip": {
    "InstanceId": "instance1",
    "PublicIp": "192.0.2.04",
    "AllocationId": "eipalloc-example-id-1",
    "AssociationId": "eipassoc-example-id-1",
    "Domain": "vpc",
    "PublicIpv4Pool": "anycompany",
    "NetworkBorderGroup": "eu-central-1",
    "NetworkInterfaceId": "eni-example-id-1",
    "NetworkInterfaceOwnerId": "777788889999",
    "PrivateIpAddress": "192.0.2.03"
}
```

## AwsEc2Instance
<a name="asff-resourcedetails-awsec2instance"></a>

`AwsEc2Instance` オブジェクトは、Amazon EC2 インスタンスの詳細を提供します。

次の例は、 `AwsEc2Instance` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2Instance` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2InstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2InstanceDetails.html)」を参照してください。

**例**

```
"AwsEc2Instance": { 
    "IamInstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/AdminRole",
    "ImageId": "ami-1234",
    "IpV4Addresses": [ "1.1.1.1" ],
    "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ],
    "KeyName": "my_keypair",
    "LaunchedAt": "2018-05-08T16:46:19.000Z",
    "MetadataOptions": {
    	"HttpEndpoint": "enabled",
    	"HttpProtocolIpv6": "enabled",
    	"HttpPutResponseHopLimit": 1,
    	"HttpTokens": "optional",
    	"InstanceMetadataTags": "disabled",
    },
    "Monitoring": {
    	"State": "disabled"
    },
    "NetworkInterfaces": [
      {
         "NetworkInterfaceId": "eni-e5aa89a3"
      }
    ],
    "SubnetId": "subnet-123",
    "Type": "i3.xlarge",
    "VpcId": "vpc-123"
}
```

## AwsEc2LaunchTemplate
<a name="asff-resourcedetails-awsec2launchtemplate"></a>

`AwsEc2LaunchTemplate` オブジェクトには、インスタンス設定情報を指定する Amazon Elastic Compute Cloud の起動テンプレートに関する詳細が含まれています。

次の例は、 `AwsEc2LaunchTemplate` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2LaunchTemplate` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2LaunchTemplateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2LaunchTemplateDetals.html)」を参照してください。

**例**

```
"AwsEc2LaunchTemplate": {
    "DefaultVersionNumber": "1",
    "ElasticGpuSpecifications": ["string"],
    "ElasticInferenceAccelerators": ["string"],
    "Id": "lt-0a16e9802800bdd85",
    "ImageId": "ami-0d5eff06f840b45e9",
    "LatestVersionNumber": "1",
    "LaunchTemplateData": {
    	"BlockDeviceMappings": [{
    		"DeviceName": "/dev/xvda",
    		"Ebs": {
    			"DeleteonTermination": true,
    			"Encrypted": true,
    			"SnapshotId": "snap-01047646ec075f543",
    			"VolumeSize": 8,
    			"VolumeType:" "gp2"
    		}
    	}],
    	"MetadataOptions": {
    		"HttpTokens": "enabled",
    		"HttpPutResponseHopLimit" : 1
    	},
    	"Monitoring": {
    		"Enabled": true,
    	"NetworkInterfaces": [{
    		"AssociatePublicIpAddress" : true,
    	}],
    "LaunchTemplateName": "string",
    "LicenseSpecifications": ["string"],
    "SecurityGroupIds": ["sg-01fce87ad6e019725"],
    "SecurityGroups": ["string"],
    "TagSpecifications": ["string"]
}
```

## AwsEc2NetworkAcl
<a name="asff-resourcedetails-awsec2networkacl"></a>

`AwsEc2NetworkAcl` オブジェクトには、Amazon EC2 ネットワークアクセスコントロールリスト (ACL) の詳細が含まれています。

次の例は、 `AwsEc2NetworkAcl` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2NetworkAcl` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2NetworkAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkAclDetails.html)」を参照してください。

**例**

```
"AwsEc2NetworkAcl": {
    "IsDefault": false,
    "NetworkAclId": "acl-1234567890abcdef0",
    "OwnerId": "123456789012",
    "VpcId": "vpc-1234abcd",
    "Associations": [{
        "NetworkAclAssociationId": "aclassoc-abcd1234",
        "NetworkAclId": "acl-021345abcdef6789",
        "SubnetId": "subnet-abcd1234"
   }],
   "Entries": [{
        "CidrBlock": "10.24.34.0/23",
        "Egress": true,
        "IcmpTypeCode": {
            "Code": 10,
            "Type": 30
        },
        "Ipv6CidrBlock": "2001:DB8::/32",
        "PortRange": {
            "From": 20,
            "To": 40
        },
        "Protocol": "tcp",
        "RuleAction": "allow",
        "RuleNumber": 100
   }]
}
```

## AwsEc2NetworkInterface
<a name="asff-resourcedetails-awsec2networkinterface"></a>

`AwsEc2NetworkInterface` オブジェクトは、Amazon EC2 ネットワークインターフェイスに関する情報を提供します。

次の例は、 `AwsEc2NetworkInterface` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2NetworkInterface` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2NetworkInterfaceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkInterfaceDetails.html)」を参照してください。

**例**

```
"AwsEc2NetworkInterface": {
    "Attachment": {
        "AttachTime": "2019-01-01T03:03:21Z",
        "AttachmentId": "eni-attach-43348162",
        "DeleteOnTermination": true,
        "DeviceIndex": 123,
        "InstanceId": "i-1234567890abcdef0",
        "InstanceOwnerId": "123456789012",
        "Status": 'ATTACHED'
    },
    "SecurityGroups": [
        {
            "GroupName": "my-security-group",
            "GroupId": "sg-903004f8"
        },
    ],
    "NetworkInterfaceId": 'eni-686ea200',
    "SourceDestCheck": false
}
```

## AwsEc2RouteTable
<a name="asff-resourcedetails-awsec2routetable"></a>

`AwsEc2RouteTable` オブジェクトは、Amazon EC2 ルートテーブルに関する情報を提供します。

次の例は、 `AwsEc2RouteTable` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2RouteTable` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2RouteTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2RouteTableDetails.html)」を参照してください。

**例**

```
"AwsEc2RouteTable": {
    "AssociationSet": [{
    	"AssociationSet": {
    		"State": "associated"
    				},
    	"Main": true,
    	"RouteTableAssociationId": "rtbassoc-08e706c45de9f7512",
    	"RouteTableId": "rtb-0a59bde9cf2548e34",
    }],
    "PropogatingVgwSet": [],
    "RouteTableId": "rtb-0a59bde9cf2548e34",
    "RouteSet": [
    	{
    		"DestinationCidrBlock": "10.24.34.0/23",
    		"GatewayId": "local",
    		"Origin": "CreateRouteTable",
    		"State": "active"
    	},
    	{
    		"DestinationCidrBlock": "10.24.34.0/24",
    		"GatewayId": "igw-0242c2d7d513fc5d3",
    		"Origin": "CreateRoute",
    		"State": "active"
    	}
    ],
    "VpcId": "vpc-0c250a5c33f51d456"
}
```

## AwsEc2SecurityGroup
<a name="asff-resourcedetails-awsec2securitygroup"></a>

`AwsEc2SecurityGroup` オブジェクトは、Amazon EC2 セキュリティグループについての説明を表示します。

次の例は、 `AwsEc2SecurityGroup` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2SecurityGroup` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2SecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SecurityGroupDetails.html)」を参照してください。

**例**

```
"AwsEc2SecurityGroup": {
    "GroupName": "MySecurityGroup",
    "GroupId": "sg-903004f8",
    "OwnerId": "123456789012",
    "VpcId": "vpc-1a2b3c4d",
    "IpPermissions": [
        {
            "IpProtocol": "-1",
            "IpRanges": [],
            "UserIdGroupPairs": [
                {
                    "UserId": "123456789012",
                    "GroupId": "sg-903004f8"
                }
            ],
            "PrefixListIds": [
                {"PrefixListId": "pl-63a5400a"}
            ]
        },
        {
            "PrefixListIds": [],
            "FromPort": 22,
            "IpRanges": [
                {
                    "CidrIp": "203.0.113.0/24"
                }
            ],
            "ToPort": 22,
            "IpProtocol": "tcp",
            "UserIdGroupPairs": []
        }
    ]
}
```

## AwsEc2Subnet
<a name="asff-resourcedetails-awsec2subnet"></a>

`AwsEc2Subnet`オブジェクトは、Amazon EC2 内のサブネットに関する情報を提供します。

次の例は、 `AwsEc2Subnet` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2Subnet` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2SubnetDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SubnetDetails.html)」を参照してください。

**例**

```
AwsEc2Subnet: {
    "AssignIpv6AddressOnCreation": false,
    "AvailabilityZone": "us-west-2c",
    "AvailabilityZoneId": "usw2-az3",
    "AvailableIpAddressCount": 8185,
    "CidrBlock": "10.0.0.0/24",
    "DefaultForAz": false,
    "MapPublicIpOnLaunch": false,
    "OwnerId": "123456789012",
    "State": "available",
    "SubnetArn": "arn:aws:ec2:us-west-2:123456789012:subnet/subnet-d5436c93",
    "SubnetId": "subnet-d5436c93",
    "VpcId": "vpc-153ade70",
    "Ipv6CidrBlockAssociationSet": [{
        "AssociationId": "subnet-cidr-assoc-EXAMPLE",
        "Ipv6CidrBlock": "2001:DB8::/32",
        "CidrBlockState": "associated"
   }]
}
```

## AwsEc2TransitGateway
<a name="asff-resourcedetails-awsec2transitgateway"></a>

`AwsEc2TransitGateway` オブジェクトは、仮想プライベートクラウド (VPC) とオンプレミスネットワークを相互接続する Amazon EC2 トランジットゲートウェイに関する詳細を提供します。

Security AWS Finding 形式 (ASFF) の検出`AwsEc2TransitGateway`結果の例を次に示します。`AwsEc2TransitGateway` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2TransitGatewayDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2TransitGatewayDetails.html)」を参照してください。

**例**

```
"AwsEc2TransitGateway": {
	"AmazonSideAsn": 65000,
	"AssociationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
	"AutoAcceptSharedAttachments": "disable",
	"DefaultRouteTableAssociation": "enable",
	"DefaultRouteTablePropagation": "enable",
	"Description": "sample transit gateway",
	"DnsSupport": "enable",
	"Id": "tgw-042ae6bf7a5c126c3",
	"MulticastSupport": "disable",
	"PropagationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
	"TransitGatewayCidrBlocks": ["10.0.0.0/16"],
	"VpnEcmpSupport": "enable"
}
```

## AwsEc2Volume
<a name="asff-resourcedetails-awsec2volume"></a>

`AwsEc2Volume` オブジェクトは、Amazon EC2 ボリュームに関する詳細を提供します。

次の例は、 `AwsEc2Volume` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2Volume` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2VolumeDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VolumeDetails.html)」を参照してください。

**例**

```
"AwsEc2Volume": {
    "Attachments": [
      {
        "AttachTime": "2017-10-17T14:47:11Z",
        "DeleteOnTermination": true,
        "InstanceId": "i-123abc456def789g",
        "Status": "attached"
      }
     ],
    "CreateTime": "2020-02-24T15:54:30Z",
    "Encrypted": true,
    "KmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
    "Size": 80,
    "SnapshotId": "",
    "Status": "available"
}
```

## AwsEc2Vpc
<a name="asff-resourcedetails-awsec2vpc"></a>

`AwsEc2Vpc` オブジェクトは、Amazon EC2 VPC の詳細を提供します。

次の例は、 `AwsEc2Vpc` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2Vpc` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2VpcDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcDetails.html)」を参照してください。

**例**

```
"AwsEc2Vpc": {
    "CidrBlockAssociationSet": [
        {
            "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
            "CidrBlock": "192.0.2.0/24",
            "CidrBlockState": "associated"
        }
    ],
    "DhcpOptionsId": "dopt-4e42ce28",
    "Ipv6CidrBlockAssociationSet": [
        {
            "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
            "CidrBlockState": "associated",
            "Ipv6CidrBlock": "192.0.2.0/24"
       }

    ],
    "State": "available"
}
```

## AwsEc2VpcEndpointService
<a name="asff-resourcedetails-awsec2vpcendpointservice"></a>

`AwsEc2VpcEndpointService` オブジェクトには、VPC エンドポイントサービスの設定に関する詳細が含まれています。

次の例は、 `AwsEc2VpcEndpointService` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2VpcEndpointService` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2VpcEndpointServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcEndpointServiceDetails.html)」を参照してください。

**例**

```
"AwsEc2VpcEndpointService": {
    "ServiceType": [
      {
        "ServiceType": "Interface"
      }
    ],
    "ServiceId": "vpce-svc-example1",
    "ServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example1",
    "ServiceState": "Available",
    "AvailabilityZones": [
      "us-east-1"
    ],
    "AcceptanceRequired": true,
    "ManagesVpcEndpoints": false,
    "NetworkLoadBalancerArns": [
      "arn:aws:elasticloadbalancing:us-east-1:444455556666:loadbalancer/net/my-network-load-balancer/example1"
    ],
    "GatewayLoadBalancerArns": [],
    "BaseEndpointDnsNames": [
      "vpce-svc-04eec859668b51c34.us-east-1.vpce.amazonaws.com"
    ],
    "PrivateDnsName": "my-private-dns"
}
```

## AwsEc2VpcPeeringConnection
<a name="asff-resourcedetails-awsec2vpcpeeringconnection"></a>

`AwsEc2VpcPeeringConnection` オブジェクトは、2 つの VPC 間のネットワーク接続に関する詳細を表示します。

次の例は、 `AwsEc2VpcPeeringConnection` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEc2VpcPeeringConnection` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEc2VpcPeeringConnectionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcPeeringConnectionDetails.html)」を参照してください。

**例**

```
"AwsEc2VpcPeeringConnection": { 
	"AccepterVpcInfo": {
		"CidrBlock": "10.0.0.0/28",
		"CidrBlockSet": [{
			"CidrBlock": "10.0.0.0/28"
		}],
		"Ipv6CidrBlockSet": [{
			"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
		}],
		"OwnerId": "012345678910",
		"PeeringOptions": {
			"AllowDnsResolutionFromRemoteVpc": true,
			"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
			"AllowEgressFromLocalVpcToRemoteClassicLink": true
		},
		"Region": "us-west-2",
		"VpcId": "vpc-i123456"
	},
	"ExpirationTime": "2022-02-18T15:31:53.161Z",
	"RequesterVpcInfo": {
		"CidrBlock": "192.168.0.0/28",
		"CidrBlockSet": [{
			"CidrBlock": "192.168.0.0/28"
		}],
		"Ipv6CidrBlockSet": [{
			"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
		}],
		"OwnerId": "012345678910",
		"PeeringOptions": {
			"AllowDnsResolutionFromRemoteVpc": true,
			"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
			"AllowEgressFromLocalVpcToRemoteClassicLink": true
		},
		"Region": "us-west-2",
		"VpcId": "vpc-i123456"
	},
	"Status": {
		"Code": "initiating-request",
		"Message": "Active"
	},
	"VpcPeeringConnectionId": "pcx-1a2b3c4d"
}
```

# ASFF の AwsEcr リソース
<a name="asff-resourcedetails-awsecr"></a>

以下は、 `AwsEcr`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsEcrContainerImage
<a name="asff-resourcedetails-awsecrcontainerimage"></a>

`AwsEcrContainerImage` オブジェクトは、Amazon ECR イメージに関する情報を提供します。

次の例は、 `AwsEcrContainerImage` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEcrContainerImage` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEcrContainerImageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrContainerImageDetails.html)」を参照してください。

**例**

```
"AwsEcrContainerImage": {
    "RegistryId": "123456789012",
    "RepositoryName": "repository-name",
    "Architecture": "amd64"
    "ImageDigest": "sha256:a568e5c7a953fbeaa2904ac83401f93e4a076972dc1bae527832f5349cd2fb10",
    "ImageTags": ["00000000-0000-0000-0000-000000000000"],
    "ImagePublishedAt": "2019-10-01T20:06:12Z"
}
```

## AwsEcrRepository
<a name="asff-resourcedetails-awsecrrepository"></a>

`AwsEcrRepository` オブジェクトは、Amazon Elastic Container Registry リポジトリに関する情報を提供します。

次の例は、 `AwsEcrRepository` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEcrRepository` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEcrRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrRepositoryDetails.html)」を参照してください。

**例**

```
"AwsEcrRepository": {
    "LifecyclePolicy": {
        "RegistryId": "123456789012",
    },  
    "RepositoryName": "sample-repo",
    "Arn": "arn:aws:ecr:us-west-2:111122223333:repository/sample-repo",
    "ImageScanningConfiguration": {
        "ScanOnPush": true
    },
    "ImageTagMutability": "IMMUTABLE"
}
```

# ASFF の AwsEcs リソース
<a name="asff-resourcedetails-awsecs"></a>

以下は、 `AwsEcs`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsEcsCluster
<a name="asff-resourcedetails-awsecscluster"></a>

`AwsEcsCluster` オブジェクトは、Amazon Elastic Container Service クラスターに関する詳細を提供します。

次の例は、 `AwsEcsCluster` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEcsCluster` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEcsClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsClusterDetails.html)」を参照してください。

**例**

```
    "AwsEcsCluster": {
        "CapacityProviders": [],
        "ClusterSettings": [
            {
                "Name": "containerInsights",
                "Value": "enabled"
            }
        ],
        "Configuration": {
            "ExecuteCommandConfiguration": {
                "KmsKeyId": "kmsKeyId",
                "LogConfiguration": {
                    "CloudWatchEncryptionEnabled": true,
                    "CloudWatchLogGroupName": "cloudWatchLogGroupName",
                    "S3BucketName": "s3BucketName",
                    "S3EncryptionEnabled": true,
                    "S3KeyPrefix": "s3KeyPrefix"
                },
                "Logging": "DEFAULT"
            }
        }
        "DefaultCapacityProviderStrategy": [
            {
                "Base": 0,
                "CapacityProvider": "capacityProvider",
                "Weight": 1
            }
        ]
    }
```

## AwsEcsContainer
<a name="asff-resourcedetails-awsecscontainer"></a>

`AwsEcsContainer` オブジェクトには、Amazon ECS コンテナの詳細が含まれています。

次の例は、 `AwsEcsContainer` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEcsContainer` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEcsContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsContainerDetails.html)」を参照してください。

**例**

```
"AwsEcsContainer": {
    "Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
    "MountPoints": [{
        "ContainerPath": "/mnt/etc",
        "SourceVolume": "vol-03909e9"
    }],
    "Name": "knote",
    "Privileged": true 
}
```

## AwsEcsService
<a name="asff-resourcedetails-awsecsservice"></a>

`AwsEcsService` オブジェクトは、Amazon ECS クラスター内のサービスに関する詳細を提供します。

次の例は、 `AwsEcsService` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEcsService` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEcsServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsServiceDetails.html)」を参照してください。

**例**

```
"AwsEcsService": {
    "CapacityProviderStrategy": [
        {
            "Base": 12,
            "CapacityProvider": "",
            "Weight": ""
        }
    ],
    "Cluster": "arn:aws:ecs:us-east-1:111122223333:cluster/example-ecs-cluster",
    "DeploymentConfiguration": {
        "DeploymentCircuitBreaker": {
            "Enable": false,
            "Rollback": false
        },
        "MaximumPercent": 200,
        "MinimumHealthyPercent": 100
    },
    "DeploymentController": "",
    "DesiredCount": 1,
    "EnableEcsManagedTags": false,
    "EnableExecuteCommand": false,
    "HealthCheckGracePeriodSeconds": 1,
    "LaunchType": "FARGATE",
    "LoadBalancers": [
        {
            "ContainerName": "",
            "ContainerPort": 23,
            "LoadBalancerName": "",
            "TargetGroupArn": ""
        }
    ],
    "Name": "sample-app-service",
    "NetworkConfiguration": {
        "AwsVpcConfiguration": {
            "Subnets": [
                "Subnet-example1",
                "Subnet-example2"
            ],
        "SecurityGroups": [
                "Sg-0ce48e9a6e5b457f5"
        ],
        "AssignPublicIp": "ENABLED"
        }
    },
    "PlacementConstraints": [
        {
            "Expression": "",
            "Type": ""
        }
    ],
    "PlacementStrategies": [
        {
            "Field": "",
            "Type": ""
        }
    ],
    "PlatformVersion": "LATEST",
    "PropagateTags": "",
    "Role": "arn:aws:iam::111122223333:role/aws-servicerole/ecs.amazonaws.com/ServiceRoleForECS",
    "SchedulingStrategy": "REPLICA",
    "ServiceName": "sample-app-service",
    "ServiceArn": "arn:aws:ecs:us-east-1:111122223333:service/example-ecs-cluster/sample-app-service",
    "ServiceRegistries": [
        {
            "ContainerName": "",
            "ContainerPort": 1212,
            "Port": 1221,
            "RegistryArn": ""
        }
    ],
    "TaskDefinition": "arn:aws:ecs:us-east-1:111122223333:task-definition/example-taskdef:1"
}
```

## AwsEcsTask
<a name="asff-resourcedetails-awsecstask"></a>

`AwsEcsTask` オブジェクトは、Amazon ECS タスクの詳細を提供します。

次の例は、 `AwsEcsTask` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEcsTask` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEcsTask](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDetails.html)」を参照してください。

**例**

```
"AwsEcsTask": {
	"ClusterArn": "arn:aws:ecs:us-west-2:123456789012:task/MyCluster/1234567890123456789",
	"CreatedAt": "1557134011644",
	"Group": "service:fargate-service",
	"StartedAt": "1557134011644",
	"StartedBy": "ecs-svc/1234567890123456789",
	"TaskDefinitionArn": "arn:aws:ecs:us-west-2:123456789012:task-definition/sample-fargate:2",
	"Version": 3,
	"Volumes": [{
		"Name": "string",
		"Host": {
			"SourcePath": "string"
		}
	}],
	"Containers": {
		"Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
		"MountPoints": [{
			"ContainerPath": "/mnt/etc",
			"SourceVolume": "vol-03909e9"
		}],
		"Name": "knote",
		"Privileged": true
	}
}
```

## AwsEcsTaskDefinition
<a name="asff-resourcedetails-awsecstaskdefinition"></a>

`AwsEcsTaskDefinition` オブジェクトには、タスク定義に関する詳細が含まれています。タスク定義は、Amazon Elastic Container Service タスクのコンテナとボリューム定義について説明しています。

次の例は、 `AwsEcsTaskDefinition` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEcsTaskDefinition` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEcsTaskDefinitionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDefinitionDetails.html)」を参照してください。

**例**

```
    "AwsEcsTaskDefinition": {
        "ContainerDefinitions": [
            {
                "Command": ['ruby', 'hi.rb'],
                "Cpu":128,
                "Essential": true,
                "HealthCheck": {
                    "Command": ["CMD-SHELL", "curl -f http://localhost/ || exit 1"],
                    "Interval": 10,
                    "Retries": 3,
                    "StartPeriod": 5,
                    "Timeout": 20
                },
                "Image": "tongueroo/sinatra:latest",
                "Interactive": true,
                "Links": [],
                "LogConfiguration": {
                    "LogDriver": "awslogs",
                    "Options": {
                        "awslogs-group": "/ecs/sinatra-hi",
                        "awslogs-region": "ap-southeast-1",
                        "awslogs-stream-prefix": "ecs"
                    },
                    "SecretOptions": []
                    
                },
                "MemoryReservation": 128,
                "Name": "web",
                "PortMappings": [
                    {
                        "ContainerPort": 4567,
                        "HostPort":4567,
                        "Protocol": "tcp"
                    }
                ],
                "Privileged": true,
                "StartTimeout": 10,
                "StopTimeout": 100,
            }
        ],
        "Family": "sinatra-hi",
        "NetworkMode": "host",
        "RequiresCompatibilities": ["EC2"],
        "Status": "ACTIVE",
        "TaskRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    }
```

# ASFF の AwsEfs リソース
<a name="asff-resourcedetails-awsefs"></a>

以下は、 `AwsEfs`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsEfsAccessPoint
<a name="asff-resourcedetails-awsefsaccesspoint"></a>

`AwsEfsAccessPoint` オブジェクトは Amazon Elastic File System に保存されているファイルに関する詳細を表示します。

次の例は、 `AwsEfsAccessPoint` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEfsAccessPoint` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEfsAccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEfsAccessPointDetails.html)」を参照してください。

**例**

```
"AwsEfsAccessPoint": { 
	"AccessPointId": "fsap-05c4c0e79ba0b118a",
	"Arn": "arn:aws:elasticfilesystem:us-east-1:863155670886:access-point/fsap-05c4c0e79ba0b118a",
	"ClientToken": "AccessPointCompliant-ASk06ZZSXsEp",
	"FileSystemId": "fs-0f8137f731cb32146",
	"PosixUser": {
		"Gid": "1000",
		"SecondaryGids": ["0", "4294967295"],
		"Uid": "1234"
	},
	"RootDirectory": {
		"CreationInfo": {
			"OwnerGid": "1000",
			"OwnerUid": "1234",
			"Permissions": "777"
		},
		"Path": "/tmp/example"
	}
}
```

# ASFF の AwsEks リソース
<a name="asff-resourcedetails-awseks"></a>

`AwsEks` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsEksCluster
<a name="asff-resourcedetails-awsekscluster"></a>

`AwsEksCluster` オブジェクトは、Amazon EKS クラスターに関する詳細を提供します。

次の例は、 `AwsEksCluster` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEksCluster` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEksClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEksClusterDetails.html)」を参照してください。

**例**

```
{
  "AwsEksCluster": {
    "Name": "example",
    "Arn": "arn:aws:eks:us-west-2:222222222222:cluster/example",
    "CreatedAt": 1565804921.901,
    "Version": "1.12",
    "RoleArn": "arn:aws:iam::222222222222:role/example-cluster-ServiceRole-1XWBQWYSFRE2Q",
    "ResourcesVpcConfig": {
      "EndpointPublicAccess": false,
      "SubnetIds": [
        "subnet-021345abcdef6789",
        "subnet-abcdef01234567890",
        "subnet-1234567890abcdef0"
      ],
      "SecurityGroupIds": [
        "sg-abcdef01234567890"
      ]
    },
    "Logging": {
      "ClusterLogging": [
        {
          "Types": [
            "api",
            "audit",
            "authenticator",
            "controllerManager",
            "scheduler"
          ],
          "Enabled": true
        }
      ]
    },
    "Status": "CREATING",
    "CertificateAuthorityData": {},
  }
}
```

# ASFF の AwsElasticBeanstalk リソース
<a name="asff-resourcedetails-awselasticbeanstalk"></a>

以下は、 `AwsElasticBeanstalk`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsElasticBeanstalkEnvironment
<a name="asff-resourcedetails-awselasticbeanstalkenvironment"></a>

`AwsElasticBeanstalkEnvironment` オブジェクトには、 AWS Elastic Beanstalk 環境に関する詳細が含まれています。

次の例は、 `AwsElasticBeanstalkEnvironment` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsElasticBeanstalkEnvironment` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsElasticBeanstalkEnvironmentDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticBeanstalkEnvironmentDetails.html)」を参照してください。

**例**

```
"AwsElasticBeanstalkEnvironment": {
    "ApplicationName": "MyApplication",
    "Cname": "myexampleapp-env.devo-2.elasticbeanstalk-internal.com",
    "DateCreated": "2021-04-30T01:38:01.090Z",
    "DateUpdated": "2021-04-30T01:38:01.090Z",
    "Description": "Example description of my awesome application",
    "EndpointUrl": "eb-dv-e-p-AWSEBLoa-abcdef01234567890-021345abcdef6789.us-east-1.elb.amazonaws.com",
    "EnvironmentArn": "arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/MyApplication/myapplication-env",
    "EnvironmentId": "e-abcd1234",
    "EnvironmentLinks": [
        {
            "EnvironmentName": "myexampleapp-env",
            "LinkName": "myapplicationLink"
        }
    ],
    "EnvironmentName": "myapplication-env",
    "OptionSettings": [
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "BatchSize",
            "Value": "100"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "Timeout",
            "Value": "600"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "BatchSizeType",
            "Value": "Percentage"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "IgnoreHealthCheck",
            "Value": "false"
        },
        {
            "Namespace": "aws:elasticbeanstalk:application",
            "OptionName": "Application Healthcheck URL",
            "Value": "TCP:80"
        }
    ],
    "PlatformArn": "arn:aws:elasticbeanstalk:us-east-1::platform/Tomcat 8 with Java 8 running on 64bit Amazon Linux/2.7.7",
    "SolutionStackName": "64bit Amazon Linux 2017.09 v2.7.7 running Tomcat 8 Java 8",
    "Status": "Ready",
    "Tier": {
        "Name": "WebServer"
       "Type": "Standard"
       "Version": "1.0"
    },
    "VersionLabel": "Sample Application"
}
```

# ASFF の AwsElasticSearch リソース
<a name="asff-resourcedetails-awselasticsearch"></a>

以下は、 `AwsElasticSearch`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsElasticSearchDomain
<a name="asff-resourcedetails-awselasticsearchdomain"></a>

`AwsElasticSearchDomain` オブジェクトは、Amazon OpenSearch Service ドメインの詳細を表示します。

次の例は、 `AwsElasticSearchDomain` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsElasticSearchDomain` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsElasticSearchDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticsearchDomainDetails.html)」を参照してください。

**例**

```
"AwsElasticSearchDomain": {
    "AccessPolicies": "string",
    "DomainStatus": {
           "DomainId": "string",
           "DomainName": "string",
           "Endpoint": "string",
           "Endpoints": {
                  "string": "string"
           }
    },
    "DomainEndpointOptions": {
           "EnforceHTTPS": boolean,
           "TLSSecurityPolicy": "string"
    },
    "ElasticsearchClusterConfig": {
           "DedicatedMasterCount": number,
           "DedicatedMasterEnabled": boolean,
           "DedicatedMasterType": "string",
           "InstanceCount": number,
           "InstanceType": "string",
           "ZoneAwarenessConfig": {
                  "AvailabilityZoneCount": number
           },
           "ZoneAwarenessEnabled": boolean
    },
    "ElasticsearchVersion": "string",
    "EncryptionAtRestOptions": {
           "Enabled": boolean,
           "KmsKeyId": "string"
    },
    "LogPublishingOptions": {
           "AuditLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           },
           "IndexSlowLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           },
           "SearchSlowLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           }
    },
    "NodeToNodeEncryptionOptions": {
           "Enabled": boolean
    },
    "ServiceSoftwareOptions": {
           "AutomatedUpdateDate": "string",
           "Cancellable": boolean,
           "CurrentVersion": "string",
           "Description": "string",
           "NewVersion": "string",
           "UpdateAvailable": boolean,
           "UpdateStatus": "string"
    },
    "VPCOptions": {
           "AvailabilityZones": [
                 "string"
           ],
           "SecurityGroupIds": [
                 "string"
           ],
           "SubnetIds": [
                 "string"
           ],
          "VPCId": "string"
    }
}
```

# ASFF の AwsElb リソース
<a name="asff-resourcedetails-awselb"></a>

以下は、 `AwsElb`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsElbLoadBalancer
<a name="asff-resourcedetails-awselbloadbalancer"></a>

`AwsElbLoadBalancer` オブジェクトには、Classic Load Balancer に関する詳細が含まれます。

次の例は、 `AwsElbLoadBalancer` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsElbLoadBalancer` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsElbLoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbLoadBalancerDetails.html)」を参照してください。

**例**

```
"AwsElbLoadBalancer": {
    "AvailabilityZones": ["us-west-2a"],
    "BackendServerDescriptions": [
         {
            "InstancePort": 80,
            "PolicyNames": ["doc-example-policy"]
        }
    ],
    "CanonicalHostedZoneName": "Z3DZXE0EXAMPLE",
    "CanonicalHostedZoneNameID": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
    "CreatedTime": "2020-08-03T19:22:44.637Z",
    "DnsName": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
    "HealthCheck": {
        "HealthyThreshold": 2,
        "Interval": 30,
        "Target": "HTTP:80/png",
        "Timeout": 3,
        "UnhealthyThreshold": 2
    },
    "Instances": [
        {
            "InstanceId": "i-example"
        }
    ],
    "ListenerDescriptions": [
        {
            "Listener": {
                "InstancePort": 443,
                "InstanceProtocol": "HTTPS",
                "LoadBalancerPort": 443,
                "Protocol": "HTTPS",
                "SslCertificateId": "arn:aws:iam::444455556666:server-certificate/my-server-cert"
            },
            "PolicyNames": ["ELBSecurityPolicy-TLS-1-2-2017-01"]
        }
    ],
    "LoadBalancerAttributes": {
        "AccessLog": {
            "EmitInterval": 60,
            "Enabled": true,
            "S3BucketName": "amzn-s3-demo-bucket",
            "S3BucketPrefix": "doc-example-prefix"
        },
        "ConnectionDraining": {
            "Enabled": false,
            "Timeout": 300
        },
        "ConnectionSettings": {
            "IdleTimeout": 30
        },
        "CrossZoneLoadBalancing": {
            "Enabled": true
        },
        "AdditionalAttributes": [{
            "Key": "elb.http.desyncmitigationmode",
            "Value": "strictest"
        }]

    },
    "LoadBalancerName": "example-load-balancer",
    "Policies": {
        "AppCookieStickinessPolicies": [
            {
                "CookieName": "",
                "PolicyName": ""
            }
        ],
        "LbCookieStickinessPolicies": [
            {
                "CookieExpirationPeriod": 60,
                "PolicyName": "my-example-cookie-policy"
            }
        ],
        "OtherPolicies": [
            "my-PublicKey-policy",
            "my-authentication-policy",
            "my-SSLNegotiation-policy",
            "my-ProxyProtocol-policy",
            "ELBSecurityPolicy-2015-03"
        ]
    },
    "Scheme": "internet-facing",
    "SecurityGroups": ["sg-example"],
    "SourceSecurityGroup": {
        "GroupName": "my-elb-example-group",
        "OwnerAlias": "444455556666"
    },
    "Subnets": ["subnet-example"],
    "VpcId": "vpc-a01106c2"
}
```

## AwsElbv2LoadBalancer
<a name="asff-resourcedetails-awselbv2loadbalancer"></a>

`AwsElbv2LoadBalancer` オブジェクトは、ロードバランサーに関する情報を提供します。

次の例は、 `AwsElbv2LoadBalancer` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsElbv2LoadBalancer` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsElbv2LoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbv2LoadBalancerDetails.html)」を参照してください。

**例**

```
"AwsElbv2LoadBalancer": {
                        "AvailabilityZones": {
                            "SubnetId": "string",
                            "ZoneName": "string"
                        },
                        "CanonicalHostedZoneId": "string",
                        "CreatedTime": "string",
                        "DNSName": "string",
                        "IpAddressType": "string",
                        "LoadBalancerAttributes": [
                            {
                                "Key": "string",
                                "Value": "string"
                            }
                        ],
                        "Scheme": "string",
                        "SecurityGroups": [ "string" ],
                        "State": {
                            "Code": "string",
                            "Reason": "string"
                        },
                        "Type": "string",
                        "VpcId": "string"
                    }
```

# ASFF の AwsEventBridge リソース
<a name="asff-resourcedetails-awsevent"></a>

以下は、 `AwsEventBridge`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsEventSchemasRegistry
<a name="asff-resourcedetails-awseventschemasregistry"></a>

`AwsEventSchemasRegistry` このオブジェクトは、Amazon EventBridge スキーマレジストリに関する情報を提供します。スキーマは、EventBridge に送信されるイベントの構造を定義します。スキーマ レジストリは、スキーマを収集して論理的にグループ化するコンテナです。

次の例は、 `AwsEventSchemasRegistry` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEventSchemasRegistry` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsEventSchemasRegistry](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventSchemasRegistryDetails.html)」を参照してください。

**例**

```
"AwsEventSchemasRegistry": {
    "Description": "This is an example event schema registry.",
    "RegistryArn": "arn:aws:schemas:us-east-1:123456789012:registry/schema-registry",
    "RegistryName": "schema-registry"
}
```

## AwsEventsEndpoint
<a name="asff-resourcedetails-awseventsendpoint"></a>

この `AwsEventsEndpoint` オブジェクトは、Amazon EventBridge グローバルエンドポイントに関する情報を提供します。エンドポイントは、アプリケーションの可用性をリージョンフォールトトレラントにすることによって、アプリケーションの可用性を向上することができます。

次の例は、 `AwsEventsEndpoint` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEventsEndpoint` 属性の詳細については、**AWS Security Hub API リファレンスの「[AwsEventsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEndpointDetails.html)」を参照してください。

**例**

```
"AwsEventsEndpoint": {
    "Arn": "arn:aws:events:us-east-1:123456789012:endpoint/my-endpoint",
    "Description": "This is a sample endpoint.",
    "EndpointId": "04k1exajoy.veo",
    "EndpointUrl": "https://04k1exajoy.veo.endpoint.events.amazonaws.com",
    "EventBuses": [
        {
            "EventBusArn": "arn:aws:events:us-east-1:123456789012:event-bus/default"
        },
        {
            "EventBusArn": "arn:aws:events:us-east-2:123456789012:event-bus/default"
        }
    ],
    "Name": "my-endpoint",
    "ReplicationConfig": {
        "State": "ENABLED"
    },
    "RoleArn": "arn:aws:iam::123456789012:role/service-role/Amazon_EventBridge_Invoke_Event_Bus_1258925394",
    "RoutingConfig": {
        "FailoverConfig": {
            "Primary": {
                "HealthCheck": "arn:aws:route53:::healthcheck/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Secondary": {
                "Route": "us-east-2"
            }
        }
    },
    "State": "ACTIVE"
}
```

## AwsEventsEventbus
<a name="asff-resourcedetails-awseventseventbus"></a>

この `AwsEventsEventbus` オブジェクトは、Amazon EventBridge グローバルエンドポイントに関する情報を提供します。エンドポイントは、アプリケーションの可用性をリージョンフォールトトレラントにすることによって、アプリケーションの可用性を向上することができます。

次の例は、 `AwsEventsEventbus` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsEventsEventbus` 属性の詳細については、**AWS Security Hub API リファレンスの「[AwsEventsEventbusDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEventbusDetails.html)」を参照してください。

**例**

```
"AwsEventsEventbus": 
    "Arn": "arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus",
    "Name": "my-event-bus",
    "Policy": "{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Sid\":\"AllowAllAccountsFromOrganizationToPutEvents\",\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"events:PutEvents\",\"Resource\":\"arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus\",\"Condition\":{\"StringEquals\":{\"aws:PrincipalOrgID\":\"o-ki7yjtkjv5\"}}},{\"Sid\":\"AllowAccountToManageRulesTheyCreated\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":[\"events:PutRule\",\"events:PutTargets\",\"events:DeleteRule\",\"events:RemoveTargets\",\"events:DisableRule\",\"events:EnableRule\",\"events:TagResource\",\"events:UntagResource\",\"events:DescribeRule\",\"events:ListTargetsByRule\",\"events:ListTagsForResource\"],\"Resource\":\"arn:aws:events:us-east-1:123456789012:rule/my-event-bus\",\"Condition\":{\"StringEqualsIfExists\":{\"events:creatorAccount\":\"123456789012\"}}}]}"
```

# ASFF の AwsGuardDuty リソース
<a name="asff-resourcedetails-awsguardduty"></a>

以下は、 `AwsGuardDuty`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsGuardDutyDetector
<a name="asff-resourcedetails-awsguarddutydetector"></a>

`AwsGuardDutyDetector` オブジェクトは、Amazon GuardDuty ディテクターに関する情報を提供します。ディテクターは、GuardDuty サービスを表すオブジェクトです。ディテクターは動作するために、GuardDuty が必要です。

次の例は、 `AwsGuardDutyDetector` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsGuardDutyDetector` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsGuardDutyDetector](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsGuardDutyDetectorDetails.html)」を参照してください。

**例**

```
"AwsGuardDutyDetector": {
    "FindingPublishingFrequency": "SIX_HOURS",
    "ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
    "Status": "ENABLED",
    "DataSources": {
        "CloudTrail": {
            "Status": "ENABLED"
        },
        "DnsLogs": {
            "Status": "ENABLED"
        },
        "FlowLogs": {
            "Status": "ENABLED"
        },
        "S3Logs": {
             "Status": "ENABLED"
         },
         "Kubernetes": {
             "AuditLogs": {
                "Status": "ENABLED"
             }
         },
         "MalwareProtection": {
             "ScanEc2InstanceWithFindings": {
                "EbsVolumes": {
                    "Status": "ENABLED"
                 }
             },
            "ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/malware-protection.guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDutyMalwareProtection"
         }
    }
}
```

# ASFF の AwsIam リソース
<a name="asff-resourcedetails-awsiam"></a>

以下は、 `AwsIam`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsIamAccessKey
<a name="asff-resourcedetails-awsiamaccesskey"></a>

`AwsIamAccessKey` オブジェクトには、結果に関連する IAM アクセスキーの詳細が含まれています。

次の例は、 `AwsIamAccessKey` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsIamAccessKey` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsIamAccessKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamAccessKeyDetails.html)」を参照してください。

**例**

```
"AwsIamAccessKey": { 
                        "AccessKeyId": "string",
                        "AccountId": "string",
                        "CreatedAt": "string",
                        "PrincipalId": "string",
                        "PrincipalName": "string",
                        "PrincipalType": "string",
                        "SessionContext": {
                            "Attributes": {
                                "CreationDate": "string",
                                "MfaAuthenticated": boolean
                            },
                            "SessionIssuer": {
                                "AccountId": "string",
                                "Arn": "string",
                                "PrincipalId": "string",
                                "Type": "string",
                                "UserName": "string"
                            }
                        },
                        "Status": "string"
                    }
```

## AwsIamGroup
<a name="asff-resourcedetails-awsiamgroup"></a>

`AwsIamGroup` オブジェクトには IAM グループに関する詳細が含まれています。

次の例は、 `AwsIamGroup` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsIamGroup` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsIamGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamGroupDetails.html)」を参照してください。

**例**

```
"AwsIamGroup": {
    "AttachedManagedPolicies": [
        {
            "PolicyArn": "arn:aws:iam::aws:policy/ExampleManagedAccess",
            "PolicyName": "ExampleManagedAccess",
        }
    ],
    "CreateDate": "2020-04-28T14:08:37.000Z",
    "GroupId": "AGPA4TPS3VLP7QEXAMPLE",
    "GroupName": "Example_User_Group",
    "GroupPolicyList": [
        {
            "PolicyName": "ExampleGroupPolicy"
        }
    ],
    "Path": "/"
}
```

## AwsIamPolicy
<a name="asff-resourcedetails-awsiampolicy"></a>

`AwsIamPolicy` オブジェクトは IAM 許可ポリシーを表します。

次の例は、 `AwsIamPolicy` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsIamPolicy` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsIamPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamPolicyDetails.html)」を参照してください。

**例**

```
"AwsIamPolicy": {
    "AttachmentCount": 1,
    "CreateDate": "2017-09-14T08:17:29.000Z",
    "DefaultVersionId": "v1",
    "Description": "Example IAM policy",
    "IsAttachable": true,
    "Path": "/",
    "PermissionsBoundaryUsageCount": 5,
    "PolicyId": "ANPAJ2UCCR6DPCEXAMPLE",
    "PolicyName": "EXAMPLE-MANAGED-POLICY",
    "PolicyVersionList": [
        {
            "VersionId": "v1",
            "IsDefaultVersion": true,
            "CreateDate": "2017-09-14T08:17:29.000Z"
        }
    ],
    "UpdateDate": "2017-09-14T08:17:29.000Z"
}
```

## AwsIamRole
<a name="asff-resourcedetails-awsiamrole"></a>

`AwsIamRole` オブジェクトには、IAM ロールに関する情報 (ロールのすべてのポリシーを含む) が含まれています。

次の例は、 `AwsIamRole` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsIamRole` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsIamRoleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamRoleDetails.html)」を参照してください。

**例**

```
"AwsIamRole": {
    "AssumeRolePolicyDocument": "{'Version': '2012-10-17',		 	 	 'Statement': [{'Effect': 'Allow','Action': 'sts:AssumeRole'}]}",
    "AttachedManagedPolicies": [
        {
            "PolicyArn": "arn:aws:iam::aws:policy/ExamplePolicy1",
            "PolicyName": "Example policy 1"
        },
        {
            "PolicyArn": "arn:aws:iam::444455556666:policy/ExamplePolicy2",
            "PolicyName": "Example policy 2"
        }
        ],
        "CreateDate": "2020-03-14T07:19:14.000Z",
        "InstanceProfileList": [
            {
                "Arn": "arn:aws:iam::333333333333:ExampleProfile",
                "CreateDate": "2020-03-11T00:02:27Z",
                "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
                "InstanceProfileName": "ExampleInstanceProfile",
                "Path": "/",
                "Roles": [
                    {
                       "Arn": "arn:aws:iam::444455556666:role/example-role",
                        "AssumeRolePolicyDocument": "",
                        "CreateDate": "2020-03-11T00:02:27Z",
                        "Path": "/",
                        "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                        "RoleName": "example-role",
                    }
                ]
            }
        ],
        "MaxSessionDuration": 3600,
        "Path": "/",
        "PermissionsBoundary": {
            "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "PermissionsBoundaryType": "PermissionsBoundaryPolicy"
        },
        "RoleId": "AROA4TPS3VLEXAMPLE",
        "RoleName": "BONESBootstrapHydra-OverbridgeOpsFunctionsLambda",
        "RolePolicyList": [
            {
                "PolicyName": "Example role policy"
            }
        ]
    }
```

## AwsIamUser
<a name="asff-resourcedetails-awsiamuser"></a>

`AwsIamUser` オブジェクトは、ユーザーに関する情報を提供します。

次の例は、 `AwsIamUser` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsIamUser` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsIamUserDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamUserDetails.html)」を参照してください。

**例**

```
"AwsIamUser": {
    "AttachedManagedPolicies": [
        {
            "PolicyName": "ExamplePolicy",
            "PolicyArn": "arn:aws:iam::aws:policy/ExampleAccess"
        }
    ],
    "CreateDate": "2018-01-26T23:50:05.000Z",
    "GroupList": [],
    "Path": "/",
    "PermissionsBoundary" : {
        "PermissionsBoundaryArn" : "arn:aws:iam::aws:policy/AdministratorAccess",
        "PermissionsBoundaryType" : "PermissionsBoundaryPolicy"
    },
    "UserId": "AIDACKCEVSQ6C2EXAMPLE",
    "UserName": "ExampleUser",
    "UserPolicyList": [
        {
            "PolicyName": "InstancePolicy"
        }
    ]
}
```

# ASFF の AwsKinesis リソース
<a name="asff-resourcedetails-awskinesis"></a>

`AwsKinesis` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsKinesisStream
<a name="asff-resourcedetails-awskinesisstream"></a>

`AwsKinesisStream` オブジェクトは、Amazon Kinesis Data Streams の詳細を表示します。

次の例は、 `AwsKinesisStream` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsKinesisStream` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsKinesisStreamDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKinesisStreamDetails.html)」を参照してください。

**例**

```
"AwsKinesisStream": { 
	"Name": "test-vir-kinesis-stream",
	"Arn": "arn:aws:kinesis:us-east-1:293279581038:stream/test-vir-kinesis-stream",
	"RetentionPeriodHours": 24,
	"ShardCount": 2,
	"StreamEncryption": {
		"EncryptionType": "KMS",
		"KeyId": "arn:aws:kms:us-east-1:293279581038:key/849cf029-4143-4c59-91f8-ea76007247eb"
	}
}
```

# ASFF の AwsKms リソース
<a name="asff-resourcedetails-awskms"></a>

`AwsKms` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsKmsKey
<a name="asff-resourcedetails-awskmskey"></a>

`AwsKmsKey` オブジェクトは、 に関する詳細を提供します AWS KMS key。

次の例は、 `AwsKmsKey` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsKmsKey` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsKmsKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKmsKeyDetails.html)」を参照してください。

**例**

```
"AwsKmsKey": {
                        "AWSAccountId": "string",
                        "CreationDate": "string",
                        "Description": "string",
                        "KeyId": "string",
                        "KeyManager": "string",
                        "KeyRotationStatus": boolean,
                        "KeyState": "string",
                        "Origin": "string"
                    }
```

# AwsLambda
<a name="asff-resourcedetails-awslambda"></a>

`AwsLambda` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsLambdaFunction
<a name="asff-resourcedetails-awslambdafunction"></a>

`AwsLambdaFunction` オブジェクトは、Lambda 関数の設定に関する詳細を提供します。

次の例は、 `AwsLambdaFunction` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsLambdaFunction` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsLambdaFunctionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaFunctionDetails.html)」を参照してください。

**例**

```
"AwsLambdaFunction": {
    "Architectures": [
        "x86_64"
    ],
    "Code": {
        "S3Bucket": "amzn-s3-demo-bucket",
        "S3Key": "samplekey",
        "S3ObjectVersion": "2",
        "ZipFile": "myzip.zip"
    },
    "CodeSha256": "1111111111111abcdef",
    "DeadLetterConfig": {
        "TargetArn": "arn:aws:lambda:us-east-2:123456789012:queue:myqueue:2"
    },
    "Environment": {
        "Variables": {
            "Stage": "foobar"
         },
        "Error": {
            "ErrorCode": "Sample-error-code",
            "Message": "Caller principal is a manager."
         }
     },
    "FunctionName": "CheckOut",
    "Handler": "main.py:lambda_handler",
    "KmsKeyArn": "arn:aws:kms:us-west-2:123456789012:key/mykey",
    "LastModified": "2001-09-11T09:00:00Z",
    "Layers": {
        "Arn": "arn:aws:lambda:us-east-2:123456789012:layer:my-layer:3",
        "CodeSize": 169
    },
    "PackageType": "Zip",
    "RevisionId": "23",
    "Role": "arn:aws:iam::123456789012:role/Accounting-Role",
    "Runtime": "go1.7",
    "Timeout": 15,
    "TracingConfig": {
        "Mode": "Active"
    },
    "Version": "$LATEST$",
    "VpcConfig": {
        "SecurityGroupIds": ["sg-085912345678492fb", "sg-08591234567bdgdc"],
         "SubnetIds": ["subnet-071f712345678e7c8", "subnet-07fd123456788a036"]
    },
    "MasterArn": "arn:aws:lambda:us-east-2:123456789012:\$LATEST",
    "MemorySize": 2048
}
```

## AwsLambdaLayerVersion
<a name="asff-resourcedetails-awslambdalayerversion"></a>

`AwsLambdaLayerVersion` オブジェクトは、Lambda レイヤーのバージョンに関する詳細を提供します。

次の例は、 `AwsLambdaLayerVersion` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsLambdaLayerVersion` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsLambdaLayerVersionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaLayerVersionDetails.html)」を参照してください。

**例**

```
"AwsLambdaLayerVersion": {
    "Version": 2,
    "CompatibleRuntimes": [
        "java8"
    ],
    "CreatedDate": "2019-10-09T22:02:00.274+0000"
}
```

# ASFF の AwsMsk リソース
<a name="asff-resourcedetails-awsmsk"></a>

`AwsMsk` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsMskCluster
<a name="asff-resourcedetails-awsmskcluster"></a>

`AwsMskCluster` オブジェクトは Amazon Managed Streaming for Apache Kafka (Amazon MSK) クラスターに関する情報を提供します。

次の例は、 `AwsMskCluster` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsMskCluster` 属性の詳細については、**AWS Security Hub API リファレンスの「[AwsMskClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsMskClusterDetails.html)」を参照してください。

**例**

```
"AwsMskCluster": {
        "ClusterInfo": {
            "ClientAuthentication": {
                "Sasl": {
                    "Scram": {
                        "Enabled": true
                    },
                    "Iam": {
                        "Enabled": true
                    }
                },
                "Tls": {
                    "CertificateAuthorityArnList": [],
                    "Enabled": false
                },
                "Unauthenticated": {
                    "Enabled": false
                }
            },
            "ClusterName": "my-cluster",
            "CurrentVersion": "K2PWKAKR8XB7XF",
            "EncryptionInfo": {
                "EncryptionAtRest": {
                    "DataVolumeKMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                },
                "EncryptionInTransit": {
                    "ClientBroker": "TLS",
                    "InCluster": true
                }
            },
            "EnhancedMonitoring": "PER_TOPIC_PER_BROKER",
            "NumberOfBrokerNodes": 3
        }
}
```

# ASFF の AwsNetworkFirewall リソース
<a name="asff-resourcedetails-awsnetworkfirewall"></a>

以下は、 `AwsNetworkFirewall`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsNetworkFirewallFirewall
<a name="asff-resourcedetails-awsnetworkfirewallfirewall"></a>

`AwsNetworkFirewallFirewall` オブジェクトには AWS Network Firewall ファイアウォールに関する詳細が含まれています。

次の例は、 `AwsNetworkFirewallFirewall` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsNetworkFirewallFirewall` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsNetworkFirewallFirewallDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallDetails.html)」を参照してください。

**例**

```
"AwsNetworkFirewallFirewall": {
    "DeleteProtection": false,
    "FirewallArn": "arn:aws:network-firewall:us-east-1:024665936331:firewall/testfirewall", 
    "FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
    "FirewallId": "dea7d8e9-ae38-4a8a-b022-672a830a99fa",
    "FirewallName": "testfirewall",
    "FirewallPolicyChangeProtection": false,
    "SubnetChangeProtection": false,
    "SubnetMappings": [
        {
            "SubnetId": "subnet-0183481095e588cdc"
        },
        {
            "SubnetId": "subnet-01f518fad1b1c90b0"
        }
    ],
    "VpcId": "vpc-40e83c38"
}
```

## AwsNetworkFirewallFirewallPolicy
<a name="asff-resourcedetails-awsnetworkfirewallfirewallpolicy"></a>

`AwsNetworkFirewallFirewallPolicy` オブジェクトは、ファイアウォールポリシーに関する詳細を提供します。ファイアウォールポリシーは、ネットワークファイアウォールの動作を定義します。

次の例は、 `AwsNetworkFirewallFirewallPolicy` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsNetworkFirewallFirewallPolicy` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsNetworkFirewallFirewallPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallPolicyDetails.html)」を参照してください。

**例**

```
"AwsNetworkFirewallFirewallPolicy": {
   "FirewallPolicy": {  
    "StatefulRuleGroupReferences": [
        {
            "ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/PatchesOnly"
        }
    ],
    "StatelessDefaultActions": [ "aws:forward_to_sfe" ],
    "StatelessFragmentDefaultActions": [ "aws:forward_to_sfe" ],
    "StatelessRuleGroupReferences": [
       {
          "Priority": 1,
          "ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1"
       }
     ]
   },
   "FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
   "FirewallPolicyId": "9ceeda22-6050-4048-a0ca-50ce47f0cc65",
   "FirewallPolicyName": "InitialFirewall",
   "Description": "Initial firewall"
}
```

## AwsNetworkFirewallRuleGroup
<a name="asff-resourcedetails-awsnetworkfirewallrulegroup"></a>

`AwsNetworkFirewallRuleGroup` オブジェクトは、 AWS Network Firewall ルールグループに関する詳細を提供します。ルールグループはネットワークトラフィックを検査および制御するために使用します。ステートレスルールグループは、個々のパケットに適用されます。ステートフルルールグループは、トラフィックフローのコンテキスト内のパケットに適用されます。

ルールグループは、ファイアウォールポリシーで参照されます。

次の例は、 `AwsNetworkFirewallRuleGroup` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsNetworkFirewallRuleGroup` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsNetworkFirewallRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallRuleGroupDetails.html)」を参照してください。

**例 - ステートレスルールグループ**

```
"AwsNetworkFirewallRuleGroup": {
    "Capacity": 600,
    "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1",
    "RuleGroupId": "fb13c4df-b6da-4c1e-91ec-84b7a5487493",
    "RuleGroupName": "Stateless-1"
    "Description": "Example of a stateless rule group",
    "Type": "STATELESS",
    "RuleGroup": {
        "RulesSource": {
            "StatelessRulesAndCustomActions": {
                "CustomActions": [],
                "StatelessRules": [
                    {
                        "Priority": 1,
                        "RuleDefinition": {
                            "Actions": [
                                "aws:pass"
                            ],
                            "MatchAttributes": {
                                "DestinationPorts": [
                                    {
                                        "FromPort": 443,
                                        "ToPort": 443
                                    }
                                ],
                                "Destinations": [
                                    {
                                        "AddressDefinition": "192.0.2.0/24"
                                    }
                                ],
                                "Protocols": [
                                            6
                                ],
                                "SourcePorts": [
                                    {
                                        "FromPort": 0,
                                        "ToPort": 65535
                                    }
                                ],
                                "Sources": [
                                    {
                                         "AddressDefinition": "198.51.100.0/24"
                                    }
                                ]
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**例 - ステートフルルールグループ**

```
"AwsNetworkFirewallRuleGroup": {
    "Capacity": 100,
    "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/tupletest",
    "RuleGroupId": "38b71c12-da80-4643-a6c5-03337f8933e0",
    "RuleGroupName": "ExampleRuleGroup",
    "Description": "Example of a stateful rule group",
    "Type": "STATEFUL",
    "RuleGroup": {
        "RuleSource": {
             "StatefulRules": [
                 {
                     "Action": "PASS",
                     "Header": {
                         "Destination": "Any",
                         "DestinationPort": "443",
                         "Direction": "ANY",
                         "Protocol": "TCP",
                         "Source": "Any",
                         "SourcePort": "Any"
                     },
                     "RuleOptions": [
                         {
                            "Keyword": "sid:1"
                         }
                     ]      
                 }
             ]
         }
    }
}
```

以下は、`AwsNetworkFirewallRuleGroup` 属性の、有効な値の例の一覧です。
+ `Action`

  有効な値: `PASS` \$1 `DROP` \$1 `ALERT`
+ `Protocol`

  有効な値: `IP` \$1 `TCP` \$1 `UDP` \$1 `ICMP` \$1 `HTTP` \$1 `FTP` \$1 `TLS` \$1 `SMB` \$1 `DNS` \$1 `DCERPC` \$1 `SSH` \$1 `SMTP` \$1 `IMAP` \$1 `MSN` \$1 `KRB5` \$1 `IKEV2` \$1 `TFTP` \$1 `NTP` \$1 `DHCP`
+ `Flags`

  有効な値: `FIN` \$1 `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`
+ `Masks`

  有効な値: `FIN` \$1 `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`

# ASFF の AwsOpenSearchService リソース
<a name="asff-resourcedetails-awsopensearchservice"></a>

`AwsOpenSearchService` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsOpenSearchServiceDomain
<a name="asff-resourcedetails-awsopensearchservicedomain"></a>

`AwsOpenSearchServiceDomain` オブジェクトには、Amazon OpenSearch Service ドメインに関する情報が含まれています。

次の例は、 `AwsOpenSearchServiceDomain` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsOpenSearchServiceDomain` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsOpenSearchServiceDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsOpenSearchServiceDomainDetails.html)」を参照してください。

**例**

```
"AwsOpenSearchServiceDomain": {
    "AccessPolicies": "IAM_Id",
    "AdvancedSecurityOptions": {
        "Enabled": true,
        "InternalUserDatabaseEnabled": true,
        "MasterUserOptions": {
            "MasterUserArn": "arn:aws:iam::123456789012:user/third-master-use",
            "MasterUserName": "third-master-use",
            "MasterUserPassword": "some-password"
        }
    },
    "Arn": "arn:aws:Opensearch:us-east-1:111122223333:somedomain",
    "ClusterConfig": {
        "InstanceType": "c5.large.search",
        "InstanceCount": 1,
        "DedicatedMasterEnabled": true,
        "ZoneAwarenessEnabled": false,
        "ZoneAwarenessConfig": {
            "AvailabilityZoneCount": 2
        },
        "DedicatedMasterType": "c5.large.search",
        "DedicatedMasterCount": 3,
        "WarmEnabled": true,
        "WarmCount": 3,
        "WarmType": "ultrawarm1.large.search"
    },
    "DomainEndpoint": "https://es-2021-06-23t17-04-qowmgghud5vofgb5e4wmi.eu-central-1.es.amazonaws.com",
    "DomainEndpointOptions": {
        "EnforceHTTPS": false,
        "TLSSecurityPolicy": "Policy-Min-TLS-1-0-2019-07",
        "CustomEndpointCertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/bda1bff1-79c0-49d0-abe6-50a15a7477d4",
        "CustomEndpointEnabled": true,
        "CustomEndpoint": "example.com"
    },
    "DomainEndpoints": {
        "vpc": "vpc-endpoint-h2dsd34efgyghrtguk5gt6j2foh4.us-east-1.es.amazonaws.com"
    },
    "DomainName": "my-domain",
    "EncryptionAtRestOptions": {
        "Enabled": false,
        "KmsKeyId": "1a2a3a4-1a2a-3a4a-5a6a-1a2a3a4a5a6a"
    },
    "EngineVersion": "7.1",
    "Id": "123456789012",
    "LogPublishingOptions": {
        "IndexSlowLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-index-slow-logs",
            "Enabled": true
        },
        "SearchSlowLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
            "Enabled": true
        },
        "AuditLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
            "Enabled": true
        }
    },
    "NodeToNodeEncryptionOptions": {
        "Enabled": true
    },
    "ServiceSoftwareOptions": {
        "AutomatedUpdateDate": "2022-04-28T14:08:37.000Z",
        "Cancellable": false,
        "CurrentVersion": "R20210331",
        "Description": "There is no software update available for this domain.",
        "NewVersion": "OpenSearch_1.0",
        "UpdateAvailable": false,
        "UpdateStatus": "COMPLETED",
        "OptionalDeployment": false
    },
    "VpcOptions": {
        "SecurityGroupIds": [
            "sg-2a3a4a5a"
        ],
        "SubnetIds": [
            "subnet-1a2a3a4a"
        ],
    }
}
```

# ASFF の AwsRds リソース
<a name="asff-resourcedetails-awsrds"></a>

以下は、 `AwsRds`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsRdsDbCluster
<a name="asff-resourcedetails-awsrdsdbcluster"></a>

`AwsRdsDbCluster` オブジェクトは、Amazon RDS データベースクラスターの詳細を提供します。

次の例は、 `AwsRdsDbCluster` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsRdsDbCluster` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsRdsDbClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterDetails.html)」を参照してください。

**例**

```
"AwsRdsDbCluster": {
    "ActivityStreamStatus": "stopped",
    "AllocatedStorage": 1,
    "AssociatedRoles": [
        {
        "RoleArn": "arn:aws:iam::777788889999:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
        "Status": "PENDING"
        }
    ],
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZones": [
        "us-east-1a",
        "us-east-1c",
        "us-east-1e"
    ],
    "BackupRetentionPeriod": 1,
    "ClusterCreateTime": "2020-06-22T17:40:12.322Z",
    "CopyTagsToSnapshot": true,
    "CrossAccountClone": false,
    "CustomEndpoints": [],
    "DatabaseName": "Sample name",
    "DbClusterIdentifier": "database-3",
    "DbClusterMembers": [
        {
        "DbClusterParameterGroupStatus": "in-sync",
        "DbInstanceIdentifier": "database-3-instance-1",
        "IsClusterWriter": true,
        "PromotionTier": 1,
        }
    ],
    "DbClusterOptionGroupMemberships": [],
    "DbClusterParameterGroup": "cluster-parameter-group",
    "DbClusterResourceId": "cluster-example",
    "DbSubnetGroup": "subnet-group",
    "DeletionProtection": false,
    "DomainMemberships": [],
    "Status": "modifying",
    "EnabledCloudwatchLogsExports": [
        "audit",
        "error",
        "general",
        "slowquery"
    ],
    "Endpoint": "database-3.cluster-example.us-east-1.rds.amazonaws.com",
    "Engine": "aurora-mysql",
    "EngineMode": "provisioned",
    "EngineVersion": "5.7.mysql_aurora.2.03.4",
    "HostedZoneId": "ZONE1",
    "HttpEndpointEnabled": false,
    "IamDatabaseAuthenticationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
    "MasterUsername": "admin",
    "MultiAz": false,
    "Port": 3306,
    "PreferredBackupWindow": "04:52-05:22",
    "PreferredMaintenanceWindow": "sun:09:32-sun:10:02",
    "ReaderEndpoint": "database-3.cluster-ro-example.us-east-1.rds.amazonaws.com",
    "ReadReplicaIdentifiers": [],
    "Status": "Modifying",
    "StorageEncrypted": true,
    "VpcSecurityGroups": [
        {
            "Status": "active",
            "VpcSecurityGroupId": "sg-example-1"
        }
    ],
}
```

## AwsRdsDbClusterSnapshot
<a name="asff-resourcedetails-awsrdsdbclustersnapshot"></a>

`AwsRdsDbClusterSnapshot` オブジェクトには、Amazon RDS DB クラスタースナップショットに関する情報が含まれています。

次の例は、 `AwsRdsDbClusterSnapshot` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsRdsDbClusterSnapshot` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsRdsDbClusterSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterSnapshotDetails.html)」を参照してください。

**例**

```
"AwsRdsDbClusterSnapshot": {
    "AllocatedStorage": 0,
    "AvailabilityZones": [
        "us-east-1a",
        "us-east-1d",
        "us-east-1e"
    ],
    "ClusterCreateTime": "2020-06-12T13:23:15.577Z",
    "DbClusterIdentifier": "database-2",
    "DbClusterSnapshotAttributes": [{
        "AttributeName": "restore",
        "AttributeValues": ["123456789012"]
    }],
    "DbClusterSnapshotIdentifier": "rds:database-2-2020-06-23-03-52",
    "Engine": "aurora",
    "EngineVersion": "5.6.10a",
    "IamDatabaseAuthenticationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
    "LicenseModel": "aurora",
    "MasterUsername": "admin",
    "PercentProgress": 100,
    "Port": 0,
    "SnapshotCreateTime": "2020-06-22T17:40:12.322Z",
    "SnapshotType": "automated",
    "Status": "available",
    "StorageEncrypted": true,
    "VpcId": "vpc-faf7e380"
}
```

## AwsRdsDbInstance
<a name="asff-resourcedetails-awsrdsdbinstance"></a>

`AwsRdsDbInstance` オブジェクトは、Amazon RDS DB インスタンスに関する詳細を提供します。

次の例は、 `AwsRdsDbInstance` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsRdsDbInstance` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsRdsDbInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbInstanceDetails.html)」を参照してください。

**例**

```
"AwsRdsDbInstance": {
    "AllocatedStorage": 20,
    "AssociatedRoles": [],
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZone": "us-east-1d",
    "BackupRetentionPeriod": 7,
    "CaCertificateIdentifier": "certificate1",
    "CharacterSetName": "",
    "CopyTagsToSnapshot": true,
    "DbClusterIdentifier": "",
    "DbInstanceArn": "arn:aws:rds:us-east-1:111122223333:db:database-1",
    "DbInstanceClass": "db.t2.micro",
    "DbInstanceIdentifier": "database-1",
    "DbInstancePort": 0,
    "DbInstanceStatus": "available",
    "DbiResourceId": "db-EXAMPLE123",
    "DbName": "",
    "DbParameterGroups": [
        {
            "DbParameterGroupName": "default.mysql5.7",
            "ParameterApplyStatus": "in-sync"
        }
    ],
    "DbSecurityGroups": [],                                                                                                                                                                                                 
    "DbSubnetGroup": {
        "DbSubnetGroupName": "my-group-123abc",
        "DbSubnetGroupDescription": "My subnet group",
        "VpcId": "vpc-example1",
        "SubnetGroupStatus": "Complete",
        "Subnets": [
            {
                "SubnetIdentifier": "subnet-123abc",
                "SubnetAvailabilityZone": {
                    "Name": "us-east-1d"
                },
                "SubnetStatus": "Active"
            },
            {
                "SubnetIdentifier": "subnet-456def",
                "SubnetAvailabilityZone": {
                    "Name": "us-east-1c"
                },
                "SubnetStatus": "Active"
            }
      ],
        "DbSubnetGroupArn": ""
    },
    "DeletionProtection": false,
    "DomainMemberships": [],
    "EnabledCloudWatchLogsExports": [],
    "Endpoint": {
        "address": "database-1.example.us-east-1.rds.amazonaws.com",
        "port": 3306,
        "hostedZoneId": "ZONEID1"
    },
    "Engine": "mysql",
    "EngineVersion": "5.7.22",
    "EnhancedMonitoringResourceArn": "arn:aws:logs:us-east-1:111122223333:log-group:Example:log-stream:db-EXAMPLE1",
    "IamDatabaseAuthenticationEnabled": false,
    "InstanceCreateTime": "2020-06-22T17:40:12.322Z",
    "Iops": "",
    "KmsKeyId": "",
    "LatestRestorableTime": "2020-06-24T05:50:00.000Z",
    "LicenseModel": "general-public-license",
    "ListenerEndpoint": "",
    "MasterUsername": "admin",
    "MaxAllocatedStorage": 1000,
    "MonitoringInterval": 60,
    "MonitoringRoleArn": "arn:aws:iam::111122223333:role/rds-monitoring-role",
    "MultiAz": false,
    "OptionGroupMemberships": [
        {
            "OptionGroupName": "default:mysql-5-7",
            "Status": "in-sync"
        }
    ],
    "PreferredBackupWindow": "03:57-04:27",
    "PreferredMaintenanceWindow": "thu:10:13-thu:10:43",
    "PendingModifiedValues": {
        "DbInstanceClass": "",
        "AllocatedStorage": "",
        "MasterUserPassword": "",
        "Port": "",
        "BackupRetentionPeriod": "",
        "MultiAZ": "",
        "EngineVersion": "",
        "LicenseModel": "",
        "Iops": "",
        "DbInstanceIdentifier": "",
        "StorageType": "",
        "CaCertificateIdentifier": "",
        "DbSubnetGroupName": "",
        "PendingCloudWatchLogsExports": "",
        "ProcessorFeatures": []
    },
    "PerformanceInsightsEnabled": false,
    "PerformanceInsightsKmsKeyId": "",
    "PerformanceInsightsRetentionPeriod": "",
    "ProcessorFeatures": [],
    "PromotionTier": "",
    "PubliclyAccessible": false,
    "ReadReplicaDBClusterIdentifiers": [],
    "ReadReplicaDBInstanceIdentifiers": [],
    "ReadReplicaSourceDBInstanceIdentifier": "",
    "SecondaryAvailabilityZone": "",
    "StatusInfos": [],
    "StorageEncrypted": false,
    "StorageType": "gp2",
    "TdeCredentialArn": "",
    "Timezone": "",
    "VpcSecurityGroups": [
        {
            "VpcSecurityGroupId": "sg-example1",
            "Status": "active"
        }
    ]
}
```

## AwsRdsDbSecurityGroup
<a name="asff-resourcedetails-awsrdsdbsecuritygroup"></a>

`AwsRdsDbSecurityGroup` オブジェクトには、Amazon Relational Database Service に関する情報が含まれます。

次の例は、 `AwsRdsDbSecurityGroup` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsRdsDbSecurityGroup` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsRdsDbSecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSecurityGroupDetails.html)」を参照してください。

**例**

```
"AwsRdsDbSecurityGroup": {
    "DbSecurityGroupArn": "arn:aws:rds:us-west-1:111122223333:secgrp:default",
    "DbSecurityGroupDescription": "default",
    "DbSecurityGroupName": "mysecgroup",
    "Ec2SecurityGroups": [
        {
          "Ec2SecurityGroupuId": "myec2group",
          "Ec2SecurityGroupName": "default",
          "Ec2SecurityGroupOwnerId": "987654321021",
          "Status": "authorizing"
        }
    ],
    "IpRanges": [
        {
          "Cidrip": "0.0.0.0/0",
          "Status": "authorizing"
        }
    ],
    "OwnerId": "123456789012",
    "VpcId": "vpc-1234567f"
}
```

## AwsRdsDbSnapshot
<a name="asff-resourcedetails-awsrdsdbsnapshot"></a>

`AwsRdsDbSnapshot` オブジェクトには、Amazon RDS DB クラスタースナップショットに関する詳細が含まれています。

次の例は、 `AwsRdsDbSnapshot` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsRdsDbSnapshot` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsRdsDbSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSnapshotDetails.html)」を参照してください。

**例**

```
"AwsRdsDbSnapshot": {
    "DbSnapshotIdentifier": "rds:database-1-2020-06-22-17-41",
    "DbInstanceIdentifier": "database-1",
    "SnapshotCreateTime": "2020-06-22T17:41:29.967Z",
    "Engine": "mysql",
    "AllocatedStorage": 20,
    "Status": "available",
    "Port": 3306,
    "AvailabilityZone": "us-east-1d",
    "VpcId": "vpc-example1",
    "InstanceCreateTime": "2020-06-22T17:40:12.322Z",
    "MasterUsername": "admin",
    "EngineVersion": "5.7.22",
    "LicenseModel": "general-public-license",
    "SnapshotType": "automated",
    "Iops": null,
    "OptionGroupName": "default:mysql-5-7",
    "PercentProgress": 100,
    "SourceRegion": null,
    "SourceDbSnapshotIdentifier": "",
    "StorageType": "gp2",
    "TdeCredentialArn": "",
    "Encrypted": false,
    "KmsKeyId": "",
    "Timezone": "",
    "IamDatabaseAuthenticationEnabled": false,
    "ProcessorFeatures": [],
    "DbiResourceId": "db-resourceexample1"
}
```

## AwsRdsEventSubscription
<a name="asff-resourcedetails-awsrdseventsubscription"></a>

`AwsRdsEventSubscription` には、RDS イベント通知サブスクリプションの詳細が含まれています。サブスクリプションにより、RDS は SNS トピックにイベントを送信できます。

次の例は、 `AwsRdsEventSubscription` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsRdsEventSubscription` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsRdsEventSubscriptionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsEventSubscriptionDetails.html)」を参照してください。

**例**

```
"AwsRdsEventSubscription": {
    "CustSubscriptionId": "myawsuser-secgrp",
    "CustomerAwsId": "111111111111",
    "Enabled": true,
    "EventCategoriesList": [
        "configuration change",
        "failure"
    ],
    "EventSubscriptionArn": "arn:aws:rds:us-east-1:111111111111:es:my-instance-events",
    "SnsTopicArn": "arn:aws:sns:us-east-1:111111111111:myawsuser-RDS",
    "SourceIdsList": [
        "si-sample",
        "mysqldb-rr"
    ],
    "SourceType": "db-security-group",
    "Status": "creating",
    "SubscriptionCreationTime": "2021-06-27T01:38:01.090Z"
}
```

# ASFF の AwsRedshift リソース
<a name="asff-resourcedetails-awsredshift"></a>

以下は、 `AwsRedshift`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsRedshiftCluster
<a name="asff-resourcedetails-awsredshiftcluster"></a>

`AwsRedshiftCluster` オブジェクトには、Amazon Redshift クラスターに関する詳細が含まれています。

次の例は、 `AwsRedshiftCluster` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsRedshiftCluster` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsRedshiftClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRedshiftClusterDetails.html)」を参照してください。

**例**

```
"AwsRedshiftCluster": {
    "AllowVersionUpgrade": true,
    "AutomatedSnapshotRetentionPeriod": 1,
    "AvailabilityZone": "us-west-2d",
    "ClusterAvailabilityStatus": "Unavailable",
    "ClusterCreateTime": "2020-08-03T19:22:44.637Z",
    "ClusterIdentifier": "redshift-cluster-1",
    "ClusterNodes": [
        {
            "NodeRole": "LEADER",
            "PrivateIPAddress": "192.0.2.108",
            "PublicIPAddress": "198.51.100.29"
        },
        {
            "NodeRole": "COMPUTE-0",
            "PrivateIPAddress": "192.0.2.22",
            "PublicIPAddress": "198.51.100.63"
        },
        {
             "NodeRole": "COMPUTE-1",
             "PrivateIPAddress": "192.0.2.224",
             "PublicIPAddress": "198.51.100.226"
        }
        ],
    "ClusterParameterGroups": [
        { 
            "ClusterParameterStatusList": [
                {
                    "ParameterName": "max_concurrency_scaling_clusters",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "enable_user_activity_logging",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "auto_analyze",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "query_group",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "datestyle",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "extra_float_digits",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "search_path",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "statement_timeout",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "wlm_json_configuration",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "require_ssl",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "use_fips_ssl",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                }
            ],
            "ParameterApplyStatus": "in-sync",
            "ParameterGroupName": "temp"
        }
    ], 
    "ClusterPublicKey": "JalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Amazon-Redshift",
    "ClusterRevisionNumber": 17498,
    "ClusterSecurityGroups": [
        {
            "ClusterSecurityGroupName": "default",
            "Status": "active"
        }
    ],
    "ClusterSnapshotCopyStatus": {
        "DestinationRegion": "us-west-2",
        "ManualSnapshotRetentionPeriod": -1,
        "RetentionPeriod": 1,
        "SnapshotCopyGrantName": "snapshotCopyGrantName"
    },
    "ClusterStatus": "available",
    "ClusterSubnetGroupName": "default",
    "ClusterVersion": "1.0",
    "DBName": "dev",
    "DeferredMaintenanceWindows": [
        {
            "DeferMaintenanceEndTime": "2020-10-07T20:34:01.000Z",
            "DeferMaintenanceIdentifier": "deferMaintenanceIdentifier",
            "DeferMaintenanceStartTime": "2020-09-07T20:34:01.000Z"
        }
     ],
    "ElasticIpStatus": {
        "ElasticIp": "203.0.113.29",
        "Status": "active"
    },
    "ElasticResizeNumberOfNodeOptions": "4",  
    "Encrypted": false,
    "Endpoint": {
        "Address": "redshift-cluster-1.example.us-west-2.redshift.amazonaws.com",
        "Port": 5439
    },
    "EnhancedVpcRouting": false,
    "ExpectedNextSnapshotScheduleTime": "2020-10-13T20:34:01.000Z",
    "ExpectedNextSnapshotScheduleTimeStatus": "OnTrack",
    "HsmStatus": {
        "HsmClientCertificateIdentifier": "hsmClientCertificateIdentifier",
        "HsmConfigurationIdentifier": "hsmConfigurationIdentifier",
        "Status": "applying"
    },
    "IamRoles": [
        {
             "ApplyStatus": "in-sync",
             "IamRoleArn": "arn:aws:iam::111122223333:role/RedshiftCopyUnload"   
        }
    ],
    "KmsKeyId": "kmsKeyId",
    "LoggingStatus": {
        "BucketName": "amzn-s3-demo-bucket",
        "LastFailureMessage": "test message",
        "LastFailureTime": "2020-08-09T13:00:00.000Z",
        "LastSuccessfulDeliveryTime": "2020-08-08T13:00:00.000Z",
        "LoggingEnabled": true,
        "S3KeyPrefix": "/"
    },
    "MaintenanceTrackName": "current",
    "ManualSnapshotRetentionPeriod": -1,
    "MasterUsername": "awsuser",
    "NextMaintenanceWindowStartTime": "2020-08-09T13:00:00.000Z",
    "NodeType": "dc2.large",
    "NumberOfNodes": 2,
    "PendingActions": [],
    "PendingModifiedValues": {
        "AutomatedSnapshotRetentionPeriod": 0,
        "ClusterIdentifier": "clusterIdentifier",
        "ClusterType": "clusterType",
        "ClusterVersion": "clusterVersion",
        "EncryptionType": "None",
        "EnhancedVpcRouting": false,
        "MaintenanceTrackName": "maintenanceTrackName",
        "MasterUserPassword": "masterUserPassword",
        "NodeType": "dc2.large",
        "NumberOfNodes": 1,
        "PubliclyAccessible": true
    },
    "PreferredMaintenanceWindow": "sun:13:00-sun:13:30",
    "PubliclyAccessible": true,
    "ResizeInfo": {
        "AllowCancelResize": true,
        "ResizeType": "ClassicResize"
    },
    "RestoreStatus": {
        "CurrentRestoreRateInMegaBytesPerSecond": 15,
        "ElapsedTimeInSeconds": 120,
        "EstimatedTimeToCompletionInSeconds": 100,
        "ProgressInMegaBytes": 10,
        "SnapshotSizeInMegaBytes": 1500,
        "Status": "restoring"
    },
    "SnapshotScheduleIdentifier": "snapshotScheduleIdentifier",
    "SnapshotScheduleState": "ACTIVE",
     "VpcId": "vpc-example",
    "VpcSecurityGroups": [
        {
            "Status": "active",
            "VpcSecurityGroupId": "sg-example"
        }
    ]
}
```

# ASFF の AwsRoute53 リソース
<a name="asff-resourcedetails-awsroute53"></a>

以下は、 `AwsRoute53`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsRoute53HostedZone
<a name="asff-resourcedetails-awsroute53hostedzone"></a>

この `AwsRoute53HostedZone` オブジェクトは、ホストゾーンに割り当てられた 4 つのネームサーバーを含む Amazon Route 53 ホストゾーンに関する情報を提供します。ホストゾーンは単一の親ドメイン名に属する、まとめて管理できるレコードの集合を表します。

次の例は、 `AwsRoute53HostedZone` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsRoute53HostedZone` 属性の詳細については、**AWS Security Hub API リファレンスの「[AwsRoute53HostedZoneDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRoute53HostedZoneDetails.html)」を参照してください。

**例**

```
"AwsRoute53HostedZone": {
    "HostedZone": {
        "Id": "Z06419652JEMGO9TA2XKL",
        "Name": "asff.testing",
        "Config": {
            "Comment": "This is an example comment."
        }
    },
    "NameServers": [
        "ns-470.awsdns-32.net",
        "ns-1220.awsdns-12.org",
        "ns-205.awsdns-13.com",
        "ns-1960.awsdns-51.co.uk"
    ],
    "QueryLoggingConfig": {
        "CloudWatchLogsLogGroupArn": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:123456789012:log-group:asfftesting:*",
            "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "HostedZoneId": "Z00932193AF5H180PPNZD"
        }
    },
    "Vpcs": [
        {
            "Id": "vpc-05d7c6e36bc03ea76",
            "Region": "us-east-1"
        }
    ]
}
```

# ASFF の AwsS3 リソース
<a name="asff-resourcedetails-awss3"></a>

以下は、 `AwsS3`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsS3AccessPoint
<a name="asff-resourcedetails-awss3accesspoint"></a>

`AwsS3AccessPoint` は、Amazon S3 アクセスポイントに関する情報を提供します。S3 アクセスポイントは、S3 バケットにアタッチされた名前付きのネットワークエンドポイントで、S3 オブジェクトのオペレーションを実行するために使用できます。

次の例は、 `AwsS3AccessPoint` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsS3AccessPoint` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsS3AccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccessPointDetails.html)」を参照してください。

**例**

```
"AwsS3AccessPoint": {
        "AccessPointArn": "arn:aws:s3:us-east-1:123456789012:accesspoint/asff-access-point",
        "Alias": "asff-access-point-hrzrlukc5m36ft7okagglf3gmwluquse1b-s3alias",
        "Bucket": "amzn-s3-demo-bucket",
        "BucketAccountId": "123456789012",
        "Name": "asff-access-point",
        "NetworkOrigin": "VPC",
        "PublicAccessBlockConfiguration": {
            "BlockPublicAcls": true,
            "BlockPublicPolicy": true,
            "IgnorePublicAcls": true,
            "RestrictPublicBuckets": true
        },
        "VpcConfiguration": {
            "VpcId": "vpc-1a2b3c4d5e6f1a2b3"
        }
}
```

## AwsS3AccountPublicAccessBlock
<a name="asff-resourcedetails-awss3accountpublicaccessblock"></a>

`AwsS3AccountPublicAccessBlock` は、アカウントの Amazon S3 パブリックアクセスブロックに関する情報を提供します。

次の例は、 `AwsS3AccountPublicAccessBlock` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsS3AccountPublicAccessBlock` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsS3AccountPublicAccessBlockDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccountPublicAccessBlockDetails.html)」を参照してください。

**例**

```
"AwsS3AccountPublicAccessBlock": {
    "BlockPublicAcls": true,
    "BlockPublicPolicy": true,
    "IgnorePublicAcls": false,
    "RestrictPublicBuckets": true
}
```

## AwsS3Bucket
<a name="asff-resourcedetails-awss3bucket"></a>

`AwsS3Bucket` オブジェクトは、Amazon S3 バケットに関する詳細を提供します。

次の例は、 `AwsS3Bucket` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsS3Bucket` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsS3BucketDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3BucketDetails.html)」を参照してください。

**例**

```
"AwsS3Bucket": {
    "AccessControlList": "{\"grantSet\":null,\"grantList\":[{\"grantee\":{\"id\":\"4df55416215956920d9d056aa8b99803a294ea221222bb668b55a8c6bca81094\",\"displayName\":null},\"permission\":\"FullControl\"},{\"grantee\":\"AllUsers\",\"permission\":\"ReadAcp\"},{\"grantee\":\"AuthenticatedUsers\",\"permission\":\"ReadAcp\"}",,
    "BucketLifecycleConfiguration": {
       "Rules": [
           {
               "AbortIncompleteMultipartUpload": {
                   "DaysAfterInitiation": 5
               },
               "ExpirationDate": "2021-11-10T00:00:00.000Z",
               "ExpirationInDays": 365,
               "ExpiredObjectDeleteMarker": false,
               "Filter": {
                   "Predicate": {
                       "Operands": [
                           {
                               "Prefix": "tmp/",
                               "Type": "LifecyclePrefixPredicate"
                           },
                           {
                               "Tag": {
                                   "Key": "ArchiveAge",
                                   "Value": "9m"
                               },
                               "Type": "LifecycleTagPredicate"
                           }
                       ],
                       "Type": "LifecycleAndOperator"
                   }
               },
               "ID": "Move rotated logs to Glacier",
               "NoncurrentVersionExpirationInDays": -1,
               "NoncurrentVersionTransitions": [
                   {
                       "Days": 2,
                       "StorageClass": "GLACIER"
                   }
               ],
               "Prefix": "rotated/",
               "Status": "Enabled",
               "Transitions": [
                   {
                       "Date": "2020-11-10T00:00:00.000Z",
                       "Days": 100,
                       "StorageClass": "GLACIER"
                   }
               ]
           }
       ]
    },
    "BucketLoggingConfiguration": {
    	"DestinationBucketName": "s3serversideloggingbucket-123456789012",
    	"LogFilePrefix": "buckettestreadwrite23435/"
    },
    "BucketName": "amzn-s3-demo-bucket",
    "BucketNotificationConfiguration": {
    	"Configurations": [{
    		"Destination": "arn:aws:lambda:us-east-1:123456789012:function:s3_public_write",
    		"Events": [
    			"s3:ObjectCreated:Put"
    		],
    		"Filter": {
    			"S3KeyFilter": {
    				"FilterRules": [
    				{
    					"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.PREFIX",
    					"Value": "pre"
    				},
    				{
    					"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.SUFFIX",
    					"Value": "suf"
    				},
    				]
    			}
    		},
    		"Type": "LambdaConfiguration"
    	}]
    },
    "BucketVersioningConfiguration": {
    	"IsMfaDeleteEnabled": true,
    	"Status": "Off"
    },
    "BucketWebsiteConfiguration": {
    	"ErrorDocument": "error.html",
    	"IndexDocumentSuffix": "index.html",
    	"RedirectAllRequestsTo": {
    		"HostName": "example.com",
    		"Protocol": "http"
    	},
    	"RoutingRules": [{
    		"Condition": {
    			"HttpErrorCodeReturnedEquals": "Redirected",
    			"KeyPrefixEquals": "index"
    					},
    		"Redirect": {
    			"HostName": "example.com",
    			"HttpRedirectCode": "401",
    			"Protocol": "HTTP",
    			"ReplaceKeyPrefixWith": "string",
    			"ReplaceKeyWith": "string"
    		}
    	}]
    },
    "CreatedAt": "2007-11-30T01:46:56.000Z",
    "ObjectLockConfiguration": {
    	"ObjectLockEnabled": "Enabled",
    	"Rule": {
    		"DefaultRetention": {
    			"Days": null,
    			"Mode": "GOVERNANCE",
    			"Years": 12
    		},
    	},
    },
    "OwnerId": "AIDACKCEVSQ6C2EXAMPLE",
    "OwnerName": "s3bucketowner",
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "BlockPublicPolicy": true,
        "IgnorePublicAcls": true,
        "RestrictPublicBuckets": true,
    },
    "ServerSideEncryptionConfiguration": {
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "AES256",
                    "KMSMasterKeyID": "12345678-abcd-abcd-abcd-123456789012"
                }
            }
        ]
     }
}
```

## AwsS3Object
<a name="asff-resourcedetails-awss3object"></a>

`AwsS3Object` オブジェクトは、Amazon S3 オブジェクトに関する情報を提供します。

次の例は、 `AwsS3Object` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsS3Object` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsS3ObjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3ObjectDetails.html)」を参照してください。

**例**

```
"AwsS3Object": {
    "ContentType": "text/html",
    "ETag": "\"30a6ec7e1a9ad79c203d05a589c8b400\"",
    "LastModified": "2012-04-23T18:25:43.511Z",
    "ServerSideEncryption": "aws:kms",
    "SSEKMSKeyId": "arn:aws:kms:us-west-2:123456789012:key/4dff8393-e225-4793-a9a0-608ec069e5a7",
    "VersionId": "ws31OurgOOjH_HHllIxPE35P.MELYaYh"
}
```

# ASFF の AwsSageMaker リソース
<a name="asff-resourcedetails-awssagemaker"></a>

以下は、 `AwsSageMaker`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsSageMakerNotebookInstance
<a name="asff-resourcedetails-awssagemakernotebookinstance"></a>

`AwsSageMakerNotebookInstance` オブジェクトは、Jupyter Notebook アプリを実行する機械学習コンピューティングインスタンスである、Amazon SageMaker AI ノートブックインスタンスに関する情報を提供します。

次の例は、 `AwsSageMakerNotebookInstance` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsSageMakerNotebookInstance` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsSageMakerNotebookInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSageMakerNotebookInstanceDetails.html)」を参照してください。

**例**

```
"AwsSageMakerNotebookInstance": {
    "DirectInternetAccess": "Disabled",
    "InstanceMetadataServiceConfiguration": {
    	"MinimumInstanceMetadataServiceVersion": "1",
    },
    "InstanceType": "ml.t2.medium",
    "LastModifiedTime": "2022-09-09 22:48:32.012000+00:00",
    "NetworkInterfaceId": "eni-06c09ac2541a1bed3",
    "NotebookInstanceArn": "arn:aws:sagemaker:us-east-1:001098605940:notebook-instance/sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm",
    "NotebookInstanceName": "SagemakerNotebookInstanceRootAccessDisabledComplia-8MYjcyofZiXm",
    "NotebookInstanceStatus": "InService",
    "PlatformIdentifier": "notebook-al1-v1",
    "RoleArn": "arn:aws:iam::001098605940:role/sechub-SageMaker-1-scenar-SageMakerCustomExecution-1R0X32HGC38IW",
    "RootAccess": "Disabled",
    "SecurityGroups": [
    	"sg-06b347359ab068745"
    ],
    "SubnetId": "subnet-02c0deea5fa64578e",
    "Url": "sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm.notebook.us-east-1.sagemaker.aws",
    "VolumeSizeInGB": 5
}
```

# ASFF の AwsSecretsManager リソース
<a name="asff-resourcedetails-awssecretsmanager"></a>

以下は、 `AwsSecretsManager`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsSecretsManagerSecret
<a name="asff-resourcedetails-awssecretsmanagersecret"></a>

`AwsSecretsManagerSecret` オブジェクトは、Secrets Manager シークレットの詳細を提供します。

次の例は、 `AwsSecretsManagerSecret` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsSecretsManagerSecret` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsSecretsManagerSecretDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecretsManagerSecretDetails.html)」を参照してください。

**例**

```
"AwsSecretsManagerSecret": {
    "RotationRules": {
        "AutomaticallyAfterDays": 30
    },
    "RotationOccurredWithinFrequency": true,
    "KmsKeyId": "kmsKeyId",
    "RotationEnabled": true,
    "RotationLambdaArn": "arn:aws:lambda:us-west-2:777788889999:function:MyTestRotationLambda",
    "Deleted": false,
    "Name": "MyTestDatabaseSecret",
    "Description": "My test database secret"
}
```

# ASFF の AwsSns リソース
<a name="asff-resourcedetails-awssns"></a>

以下は、 `AwsSns`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsSnsTopic
<a name="asff-resourcedetails-awssnstopic"></a>

`AwsSnsTopic` オブジェクトには、Amazon Simple Notification Service トピックの詳細が含まれています。

次の例は、 `AwsSnsTopic` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsSnsTopic` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsSnsTopicDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSnsTopicDetails.html)」を参照してください。

**例**

```
"AwsSnsTopic": {
    "ApplicationSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/ApplicationSuccessFeedbackRoleArn",                        
    "FirehoseFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseFailureFeedbackRoleArn",
    "FirehoseSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseSuccessFeedbackRoleArn",
    "HttpFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpFailureFeedbackRoleArn",
    "HttpSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpSuccessFeedbackRoleArn",                         
    "KmsMasterKeyId": "alias/ExampleAlias",
    "Owner": "123456789012",
    "SqsFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsFailureFeedbackRoleArn",
    "SqsSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsSuccessFeedbackRoleArn",                         
    "Subscription": {
         "Endpoint": "http://sampleendpoint.com",
         "Protocol": "http"
    },
    "TopicName": "SampleTopic"
}
```

# ASFF の AwsSqs リソース
<a name="asff-resourcedetails-awssqs"></a>

以下は、 `AwsSqs`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsSqsQueue
<a name="asff-resourcedetails-awssqsqueue"></a>

`AwsSqsQueue` オブジェクトには、Amazon Simple Queue Service キューに関する情報が含まれています。

次の例は、 `AwsSqsQueue` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsSqsQueue` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsSqsQueueDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSqsQueueDetails.html)」を参照してください。

**例**

```
"AwsSqsQueue": {
    "DeadLetterTargetArn": "arn:aws:sqs:us-west-2:123456789012:queue/target",
    "KmsDataKeyReusePeriodSeconds": 60,,
    "KmsMasterKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "QueueName": "sample-queue"
}
```

# ASFF の AwsSsm リソース
<a name="asff-resourcedetails-awsssm"></a>

`AwsSsm` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsSsmPatchCompliance
<a name="asff-resourcedetails-awsssmpatchcompliance"></a>

`AwsSsmPatchCompliance` オブジェクトは、インスタンスにパッチを適用する際に使用したパッチベースラインに基づいて、インスタンスのパッチの状態に関する情報を提供します。

次の例は、 `AwsSsmPatchCompliance` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsSsmPatchCompliance` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsSsmPatchComplianceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSsmPatchComplianceDetails.html)」を参照してください。

**例**

```
"AwsSsmPatchCompliance": {
    "Patch": {
        "ComplianceSummary": {
            "ComplianceType": "Patch",
            "CompliantCriticalCount": 0,
            "CompliantHighCount": 0,
            "CompliantInformationalCount": 0,
            "CompliantLowCount": 0,
            "CompliantMediumCount": 0,
            "CompliantUnspecifiedCount": 461,
            "ExecutionType": "Command",
            "NonCompliantCriticalCount": 0,
            "NonCompliantHighCount": 0,
            "NonCompliantInformationalCount": 0,
            "NonCompliantLowCount": 0,
            "NonCompliantMediumCount": 0,
            "NonCompliantUnspecifiedCount": 0,
            "OverallSeverity": "UNSPECIFIED",
            "PatchBaselineId": "pb-0c5b2769ef7cbe587",
            "PatchGroup": "ExamplePatchGroup",
            "Status": "COMPLIANT"
        }
    }
}
```

# ASFF の AwsStepFunctions リソース
<a name="asff-resourcedetails-awsstepfunctions"></a>

以下は、 `AwsStepFunctions`リソースの AWS Security Finding Format (ASFF) 構文の例です。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsStepFunctionStateMachine
<a name="asff-resourcedetails-awsstepfunctionstatemachine"></a>

`AwsStepFunctionStateMachine` このオブジェクトは、 AWS Step Functions 一連のイベント駆動型ステップで構成されるワークフローであるステートマシンに関する情報を提供します。

次の例は、 `AwsStepFunctionStateMachine` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsStepFunctionStateMachine` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsStepFunctionStateMachine](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsStepFunctionStateMachineDetails.html)」を参照してください。

**例**

```
"AwsStepFunctionStateMachine": {
    "StateMachineArn": "arn:aws:states:us-east-1:123456789012:stateMachine:StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
    "Name": "StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
    "Status": "ACTIVE",
    "RoleArn": "arn:aws:iam::123456789012:role/teststepfunc-StatesExecutionRole-1PNM71RVO1UKT",
    "Type": "STANDARD",
    "LoggingConfiguration": {
        "Level": "OFF",
        "IncludeExecutionData": false
    },
    "TracingConfiguration": {
        "Enabled": false
    }
}
```

# ASFF の AwsWaf リソース
<a name="asff-resourcedetails-awswaf"></a>

`AwsWaf` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsWafRateBasedRule
<a name="asff-resourcedetails-awswafratebasedrule"></a>

`AwsWafRateBasedRule` オブジェクトには、グローバルリソースの AWS WAF レートベースのルールに関する詳細が含まれています。 AWS WAF レートベースのルールは、リクエストを許可、ブロック、またはカウントするタイミングを示す設定を提供します。レートベースのルールには、指定した期間に届くリクエストの数が含まれます。

次の例は、 `AwsWafRateBasedRule` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsWafRateBasedRule` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsWafRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRateBasedRuleDetails.html)」を参照してください。

**例**

```
"AwsWafRateBasedRule":{
    "MatchPredicates" : [{
        "DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
        "Negated" : "True",
        "Type" : "IPMatch" ,
    }],
    "MetricName" : "MetricName",
    "Name" : "Test",
    "RateKey" : "IP",
    "RateLimit" : 235000,
    "RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```

## AwsWafRegionalRateBasedRule
<a name="asff-resourcedetails-awswafregionalratebasedrule"></a>

`AwsWafRegionalRateBasedRule` オブジェクトには、リージョンリソースのレートベースのルールに関する詳細が含まれています。レートベースのルールは、リクエストを許可、ブロック、またはカウントするタイミングを示す設定を提供します。レートベースのルールには、指定した期間に届くリクエストの数が含まれます。

次の例は、 `AwsWafRegionalRateBasedRule` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsWafRegionalRateBasedRule` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsWafRegionalRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRateBasedRuleDetails.html)」を参照してください。

**例**

```
"AwsWafRegionalRateBasedRule":{
    "MatchPredicates" : [{
        "DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
        "Negated" : "True",
        "Type" : "IPMatch" ,
    }],
    "MetricName" : "MetricName",
    "Name" : "Test",
    "RateKey" : "IP",
    "RateLimit" : 235000,
    "RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```

## AwsWafRegionalRule
<a name="asff-resourcedetails-awswafregionalrule"></a>

`AwsWafRegionalRule` オブジェクトは、 AWS WAF リージョンルール に関する詳細を提供します。このルールは、許可、ブロック、またはカウントするウェブリクエストを識別します。

次の例は、 `AwsWafRegionalRule` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsWafRegionalRule` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsWafRegionalRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleDetails.html)」を参照してください。

**例**

```
"AwsWafRegionalRule": { 
    "MetricName": "SampleWAF_Rule__Metric_1",
    "Name": "bb-waf-regional-rule-not-empty-conditions-compliant",
    "RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de95fe",
    "PredicateList": [{
        "DataId": "127d9346-e607-4e93-9286-c1296fb5445a",
        "Negated": false,
        "Type": "GeoMatch"
    }]
}
```

## AwsWafRegionalRuleGroup
<a name="asff-resourcedetails-awswafregionalrulegroup"></a>

`AwsWafRegionalRuleGroup` オブジェクトは、 AWS WAF リージョンルールグループに関する詳細を表示します。ルールグループは、ウェブアクセスコントロールリスト (ウェブ ACL) に追加される事前定義済みルールのコレクションです。

次の例は、 `AwsWafRegionalRuleGroup` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsWafRegionalRuleGroup` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsWafRegionalRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleGroupDetails.html)」を参照してください。

**例**

```
"AwsWafRegionalRuleGroup": { 
    "MetricName": "SampleWAF_Metric_1",
    "Name": "bb-WAFClassicRuleGroupWithRuleCompliant",
    "RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
    "Rules": [{
        "Action": {
            "Type": "ALLOW"
        }
    }],
        "Priority": 1,
        "RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
        "Type": "REGULAR"
}
```

## AwsWafRegionalWebAcl
<a name="asff-resourcedetails-awswafregionalwebacl"></a>

`AwsWafRegionalWebAcl` は、 AWS WAF リージョン別ウェブアクセスコントロールリスト (ウェブ ACL) の詳細を提供します。ウェブ ACL には、許可、ブロック、またはカウントするリクエストを識別するルールが含まれています。

以下は、 AWS Security Finding 形式 (ASFF) の `AwsWafRegionalWebAcl` 検出の例です。`AwsApiGatewayV2Stage` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsWafRegionalWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalWebAclDetails.html)」を参照してください。

**例**

```
"AwsWafRegionalWebAcl": {
    "DefaultAction": "ALLOW",
    "MetricName" : "web-regional-webacl-metric-1",
    "Name": "WebACL_123",
    "RulesList": [
        {
            "Action": {
                "Type": "Block"
            },
            "Priority": 3,
            "RuleId": "24445857-852b-4d47-bd9c-61f05e4d223c",
            "Type": "REGULAR",
            "ExcludedRules": [
                {
                    "ExclusionType": "Exclusion",
                    "RuleId": "Rule_id_1"
                }
            ],
            "OverrideAction": {
                "Type": "OVERRIDE"
            }
        }
    ],
    "WebAclId": "443c76f4-2e72-4c89-a2ee-389d501c1f67"
}
```

## AwsWafRule
<a name="asff-resourcedetails-awswafrule"></a>

`AwsWafRule` は、 AWS WAF ルールに関する情報を提供します。 AWS WAF ルールは、許可、ブロック、またはカウントするウェブリクエストを識別します。

Security AWS Finding 形式 (ASFF) の検出`AwsWafRule`結果の例を次に示します。`AwsApiGatewayV2Stage` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsWafRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleDetails.html)」を参照してください。

**例**

```
"AwsWafRule": {
    "MetricName": "AwsWafRule_Metric_1",
    "Name": "AwsWafRule_Name_1",
    "PredicateList": [{
        "DataId": "cdd225da-32cf-4773-1dc2-3bca3ed9c19c",
        "Negated": false,
        "Type": "GeoMatch"
    }],
    "RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de953e"
}
```

## AwsWafRuleGroup
<a name="asff-resourcedetails-awswafrulegroup"></a>

`AwsWafRuleGroup` は、 AWS WAF ルールグループに関する情報を提供します。 AWS WAF ルールグループは、ウェブアクセスコントロールリスト (ウェブ ACL) に追加される事前定義済みルールのコレクションです。

Security AWS Finding 形式 (ASFF) の検出`AwsWafRuleGroup`結果の例を次に示します。`AwsApiGatewayV2Stage` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsWafRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleGroupDetails.html)」を参照してください。

**例**

```
"AwsWafRuleGroup": {
    "MetricName": "SampleWAF_Metric_1",
    "Name": "bb-WAFRuleGroupWithRuleCompliant",
    "RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
    "Rules": [{
        "Action": {
            "Type": "ALLOW",
        },
        "Priority": 1,
        "RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
        "Type": "REGULAR"
    }]
}
```

## AwsWafv2RuleGroup
<a name="asff-resourcedetails-awswafv2rulegroup"></a>

`AwsWafv2RuleGroup` オブジェクトは、 AWS WAF V2 ルールグループに関する詳細を提供します。

次の例は、 `AwsWafv2RuleGroup` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsWafv2RuleGroup` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsWafv2RuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2RuleGroupDetails.html)」を参照してください。

**例**

```
"AwsWafv2RuleGroup": {
    "Arn": "arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/wafv2rulegroupasff/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Capacity": 1000,
    "Description": "Resource for ASFF",
    "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Name": "wafv2rulegroupasff",
    "Rules": [{
    	"Action": {
    	"Allow": {
    		"CustomRequestHandling": {
    			"InsertHeaders": [
    				{
    				"Name": "AllowActionHeader1Name",
    				"Value": "AllowActionHeader1Value"
    				},
    				{
    				"Name": "AllowActionHeader2Name",
    				"Value": "AllowActionHeader2Value"
    				}
    			]
    		}
    	},
    	"Name": "RuleOne",
    	"Priority": 1,
    	"VisibilityConfig": {
    		"CloudWatchMetricsEnabled": true,
    		"MetricName": "rulegroupasff",
    		"SampledRequestsEnabled": false
    	}
    }],
    "VisibilityConfig": {
    	"CloudWatchMetricsEnabled": true,
    	"MetricName": "rulegroupasff",
    	"SampledRequestsEnabled": false
    }
}
```

## AwsWafWebAcl
<a name="asff-resourcedetails-awswafwebacl"></a>

`AwsWafWebAcl` オブジェクトは、 AWS WAF ウェブ ACL に関する詳細を提供します。

次の例は、 `AwsWafWebAcl` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsWafWebAcl` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsWafWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafWebAclDetails.html)」を参照してください。

**例**

```
"AwsWafWebAcl": {
    "DefaultAction": "ALLOW",
    "Name": "MyWafAcl",
    "Rules": [
        {
            "Action": {
                "Type": "ALLOW"
            },
            "ExcludedRules": [
                {
                    "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98"
                }
            ],
            "OverrideAction": {
                "Type": "NONE"
            },
            "Priority": 1,
            "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98",
            "Type": "REGULAR"
        }
    ],
    "WebAclId": "waf-1234567890"
}
```

## AwsWafv2WebAcl
<a name="asff-resourcedetails-awswafv2webacl"></a>

`AwsWafv2WebAcl` オブジェクトは、 AWS WAF V2 ウェブ ACL に関する詳細を提供します。

次の例は、 `AwsWafv2WebAcl` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsWafv2WebAcl` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsWafv2WebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2WebAclDetails.html)」を参照してください。

**例**

```
"AwsWafv2WebAcl": {
    "Arn": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/WebACL-RoaD4QexqSxG/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Capacity": 1326,
    "CaptchaConfig": {
    	"ImmunityTimeProperty": {
    		"ImmunityTime": 500
    	}
    },
    "DefaultAction": {
    	"Block": {}
    },
    "Description": "Web ACL for JsonBody testing",
    "ManagedbyFirewallManager": false,
    "Name": "WebACL-RoaD4QexqSxG",
    "Rules": [{
    	"Action": {
    		"RuleAction": {
    			"Block": {}
    		}
    	},
    	"Name": "TestJsonBodyRule",
    	"Priority": 1,
    	"VisibilityConfig": {
    		"SampledRequestsEnabled": true,
    		"CloudWatchMetricsEnabled": true,
    		"MetricName": "JsonBodyMatchMetric"
    	}
    }],
    "VisibilityConfig": {
    	"SampledRequestsEnabled": true,
    	"CloudWatchMetricsEnabled": true,
    	"MetricName": "TestingJsonBodyMetric"
    }
}
```

# ASFF の AwsXray リソース
<a name="asff-resourcedetails-awsxray"></a>

`AwsXray` リソースの AWS Security Finding Format (ASFF) 構文の例を次に示します。

AWS Security Hub CSPM は、さまざまなソースから ASFF に検出結果を正規化します。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

## AwsXrayEncryptionConfig
<a name="asff-resourcedetails-awsxrayencryptionconfig"></a>

`AwsXrayEncryptionConfig` オブジェクトには、 の暗号化設定に関する情報が含まれています AWS X-Ray。

次の例は、 `AwsXrayEncryptionConfig` オブジェクト AWS のセキュリティ検出結果形式 (ASFF) を示しています。`AwsXrayEncryptionConfig` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[AwsXrayEncryptionConfigDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsXrayEncryptionConfigDetails.html)」を参照してください。

**例**

```
"AwsXRayEncryptionConfig":{
    "KeyId": "arn:aws:kms:us-east-2:222222222222:key/example-key",
    "Status": "UPDATING",
    "Type":"KMS"
}
```

# ASFF の CodeRepository オブジェクト
<a name="asff-resourcedetails-coderepository"></a>

`CodeRepository` オブジェクトは、 AWS リソースに接続し、脆弱性をスキャンするように Amazon Inspector を設定した外部コードリポジトリに関する情報を提供します。

次の例は、 `CodeRepository` オブジェクトの AWS Security Finding Format (ASFF) 構文を示しています。`CodeRepository` 属性の説明を表示するには、「*AWS Security Hub API リファレンス*」の「[CodeRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CodeRepositoryDetails.html)」を参照してください。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

**例**

```
"CodeRepository": {
    "ProviderType": "GITLAB_SELF_MANAGED",
    "ProjectName": "projectName",
    "CodeSecurityIntegrationArn": "arn:aws:inspector2:us-east-1:123456789012:codesecurity-integration/00000000-0000-0000-0000-000000000000"
}
```

# ASFF の Container オブジェクト
<a name="asff-resourcedetails-container"></a>

次の例は、 `Container` オブジェクトの AWS Security Finding Format (ASFF) 構文を示しています。`Container` 属性の詳細については、「*AWS Security Hub API リファレンス*」の「[ContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ContainerDetails.html)」を参照してください。ASFF の背景情報については、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

**例**

```
"Container": {
    "ContainerRuntime": "docker",
    "ImageId": "image12",
    "ImageName": "1111111/knotejs@sha256:372131c9fef111111111111115f4ed3ea5f9dce4dc3bd34ce21846588a3",
    "LaunchedAt": "2018-09-29T01:25:54Z",
    "Name": "knote",
    "Privileged": true,
    "VolumeMounts": [{
        "Name": "vol-03909e9",
        "MountPath": "/mnt/etc"
    }]
}
```

# ASFF の Other オブジェクト
<a name="asff-resourcedetails-other"></a>

 AWS Security Finding Format (ASFF) では、 `Other` オブジェクトはカスタムフィールドと値を指定します。ASFF の詳細については、[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md) を参照してください。

`Other` オブジェクトを使用すると、リソースのカスタムフィールドと値を指定できます。`Other` オブジェクトは、次の場合に使用できます。
+ リソースタイプに対応する `Details` オブジェクトがない場合。リソースの詳細を指定するには、`Other` オブジェクトを使用します。
+ リソースタイプの `Details` オブジェクトに、特定するすべてのフィールドが含まれていない場合。この場合は、リソースタイプの `Details` オブジェクトを使用して、使用可能な属性を特定します。`Other` オブジェクトを使用して、タイプ固有の `Details` オブジェクトに含まれていない属性に指定してください。
+ リソースタイプが提供されたタイプのいずれでもない場合。この場合、`Resource.Type` を `Other` に設定し、`Other` オブジェクトを使用して詳細を設定します。

**[Type]:** (タイプ) 最大 50 個のキーバリューペアのマップ

各キーバリューペアは、次の要件を満たしている必要があります。
+ キーは 128 文字未満である必要があります。
+ 値は 1,024 文字未満である必要があります。

# Security Hub CSPM のインサイトの表示
<a name="securityhub-insights"></a>

 AWS Security Hub CSPM では、*インサイト*は関連する検出結果のコレクションです。インサイトは、注意と介入が必要な特定のセキュリティ領域を特定できます。たとえば、インサイトによって、不十分なセキュリティ慣行を示す結果の対象として EC2 インスタンスが指摘される場合があります。インサイトには、複数の提供元からの結果がまとめられます。

各インサイトは、group by ステートメントとオプションのフィルターによって定義されます。group by ステートメントは、一致する結果をグループ化する方法を示し、インサイトが適用される項目のタイプを識別します。たとえば、インサイトがリソース識別子によってグループ化されている場合、インサイトによってリソース識別子のリストが生成されます。オプションのフィルターは、インサイトの一致する結果を特定します。例えば、特定のプロバイダーからの結果または特定のタイプのリソースに関連付けられた結果のみが、表示されるようにできます。

Security Hub CSPM には、組み込みのマネージド型インサイトがいくつか用意されています。マネージド型インサイトを変更または削除することはできません。 AWS 環境と使用状況に固有のセキュリティ問題を追跡するには、カスタムインサイトを作成できます。

 AWS Security Hub CSPM コンソールの**インサイト**ページには、使用可能なインサイトのリストが表示されます。

デフォルトでは、リストにはマネージド型インサイトとカスタムインサイトの両方が表示されます。インサイトタイプに基づいてインサイトリストをフィルタリングするには、フィルターフィールドの横にあるドロップダウンメニューからインサイトタイプを選択します。
+ 使用できるインサイトをすべて表示するには、**[All insights]** (すべてのインサイト) を選択します。これはデフォルトのオプションです。
+ マネージド型インサイトのみを表示するには、**[Security Hub CSPM managed insights]** (Security Hub CSPM マネージド型インサイト) を選択します。
+ カスタムインサイトのみを表示するには、**[Custom insights]** (カスタムインサイト) を選択します。

インサイトの名前に基づいてインサイトリストをフィルタリングすることもできます。これを行うために、フィルターフィールドに、リストのフィルタリングに使用するテキストを入力します。フィルターでは、大文字と小文字は区別されません。フィルターは、インサイト名の全体または一部にそのテキストが含まれているインサイトを検索します。

インサイトは、一致する結果を生成する統合または標準を有効にしている場合にのみ、結果を返します。たとえば、マネージド型インサイト **29 などです。Top resources by counts of failed CIS checks** (失敗した CIS チェック数でのトップリソース) は、Center for Internet Security (CIS) AWS Foundations Benchmark 標準のバージョンを有効にした場合にのみ、結果を返します。

# Security Hub CSPM でのインサイトの確認と対応
<a name="securityhub-insights-view-take-action"></a>

インサイトごとに、 AWS Security Hub CSPM はまずフィルター条件に一致する検出結果を決定し、次にグループ化属性を使用して一致する検出結果をグループ化します。

コンソールの **[インサイト]** ページで、結果と検出結果を表示して、それらに基づいてアクションを実行できます。

クロスリージョン集約を有効にすると、集約リージョンでは、マネージド型インサイトの結果 (集約リージョンにサイインしている場合) には、集約リージョンとリンクされたリージョンの検出結果が含まれます。カスタムインサイトの結果では、インサイトがリージョンでフィルタリングされない場合、集約リージョンとリンクされたリージョン (集約リージョンにサイインしている場合) の検出結果も含まれます。他のリージョンでは、インサイト結果に含まれるのはそのリージョンの結果のみです。

クロスリージョン集約の詳細については、「[Security Hub CSPM でのクロスリージョン集約について](finding-aggregation.md)」を参照してください。

## インサイト結果の表示とアクションの実行
<a name="securityhub-insight-results-console"></a>

インサイト結果は、インサイトの結果をグループ化したリストで構成されます。例えば、インサイトがリソース識別子に基づいてグループ化されている場合、インサイト結果はリソース識別子のリストになります。結果のリストの各項目は、その項目に一致する結果の数を示します。

検出結果が、リソース識別子またはリソースタイプでグループ化されている場合、結果には、一致する検出結果のすべてのリソースが含まれます。これには、フィルター条件で指定されたリソースタイプとは異なるタイプのリソースが含まれます。例えば、インサイトでは S3 バケットに関連付けられている結果が識別されます。一致する検出結果に S3 バケットリソースと IAM アクセスキーリソースの両方が含まれている場合、インサイト結果には両方のリソースが含まれます。

Security Hub CSPM コンソールでは、結果のリストは、一致する検出結果が最も多いものから最も少ないものへとソートされます。Security Hub CSPM では 100 件の結果しか表示されません。グループ化値の数が 100 を超える場合、最初の 100 個のみが表示されます。

インサイト結果には、結果のリストに加えて、次の属性に一致した結果の数を要約した一連のチャートが表示されます。
+ **重要度ラベル** - 各重要度ラベルの結果の数
+ **AWS アカウント ID** – 一致する結果の上位 5 つのアカウント IDs 
+ **リソースタイプ** - 一致する結果の上位 5 つのリソースタイプ
+ **リソース ID** - 一致する結果の上位 5 つのリソース ID
+ **製品名** - 一致する結果の上位 5 つの結果プロバイダー

カスタムアクションを設定している場合、選択した結果をカスタムアクションに送信できます。アクションは、`Security Hub Insight Results` イベントタイプの Amazon CloudWatch ルールに関連付けられている必要があります。詳細については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。カスタムアクションを設定していない場合は、**[アクション]** メニューは無効です。

------
#### [ Security Hub CSPM console ]

**インサイト結果を表示してアクションを実行するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. インサイト結果のリストを表示するには、インサイト名を選択します。

1. カスタムアクションに送信する結果ごとにチェックボックスを選択します。

1. **[Actions]** (アクション) メニューから、カスタムアクションを選択します。

------
#### [ Security Hub CSPM API, AWS CLI ]

**インサイト結果を表示してアクションを実行するには (API、 AWS CLI)**

インサイトの結果を表示するには、Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html) オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html) コマンドを実行します。

インサイトを特定して結果を返すには、インサイト ARN が必要です。カスタムインサイトのインサイト ARN を取得するには、 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) API オペレーションまたは [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html) コマンドを使用します。

次の例では、指定されたインサイトの結果を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

プログラムでカスタムアクションを作成する方法については、「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。

------

## インサイト結果の検出結果の表示とアクションの実行 (コンソール)
<a name="securityhub-insight-findings-console"></a>

Security Hub CSPM のコンソールのインサイト結果のリストから、結果ごとに検出結果のリストを表示できます。

**インサイトの結果を表示して、アクションを実行するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. インサイト結果のリストを表示するには、インサイト名を選択します。

1. インサイト結果の結果のリストを表示するには、インサイト結果のリストからその項目を選択します。結果リストには、ワークフローステータスが `NEW` または `NOTIFIED` で、選択されたインサイト結果のアクティブな結果が表示されます。

結果リストから、以下のアクションを実行できます。
+ [Security Hub CSPM での検出結果のフィルタリング](securityhub-findings-manage.md)
+ [検出結果の詳細と履歴の確認](securityhub-findings-viewing.md#finding-view-details-console)
+ [Security Hub CSPM 検出結果のワークフローステータスの設定](findings-workflow-status.md)
+ [Security Hub CSPM の検出結果をカスタム Security Hub CSPM アクションに送信する](findings-custom-action.md)

# Security Hub CSPM のマネージド型インサイト
<a name="securityhub-managed-insights"></a>

AWS Security Hub CSPM は、いくつかのマネージド型インサイトを提供します。

Security Hub CSPM のマネージド型インサイトを編集または削除することはできません。[インサイトの結果と検出結果を表示し、それらに対してアクションを実行](securityhub-insights-view-take-action.md)できます。また、[マネージド型インサイトを新しいカスタムインサイトのベースとして使用](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed)することができます。

すべてのインサイトと同様、マネージド型インサイトは、一致する結果をする製品統合またはセキュリティ標準が有効にされている場合にのみ、結果を返します。

リソース識別子でグループ化されたインサイトの場合、結果には、一致する結果のすべてのリソースの識別子が含まれます。これには、フィルター条件のリソースタイプとは異なるタイプのリソースが含まれます。例えば、次のリストのインサイト 2 では Amazon S3 バケットに関連付けられている結果が識別されます。一致する検出結果に S3 バケットリソースと IAM アクセスキーリソースの両方が含まれている場合、インサイト結果には両方のリソースが含まれます。

Security Hub CSPM には現在、次のマネージド型インサイトが用意されています。

**1.検出結果が最も多い AWS リソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/1`  
**グループ化の基準:** リソース識別子  
**結果フィルター:**  
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**2. パブリック書き込みまたは読み取り許可を含む S3 バケット**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/10`  
**グループ化の基準:** リソース識別子  
**結果フィルター:**  
+ タイプが `Effects/Data Exposure` で始まる
+ リソースタイプが `AwsS3Bucket`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**3. 最も多くの結果を生成している AMI**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/3`  
**グループ化の基準:** EC2 インスタンスイメージ ID  
**結果フィルター:**  
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**4. 既知の戦略、手法、および手順 (TTP) に含まれる EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/14`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `TTPs` で始まる
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**5.疑わしいアクセスキーアクティビティを持つ AWS プリンシパル**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/9`  
**グループ化の基準:** IAM アクセスキーのプリンシパル名  
**結果フィルター:**  
+ リソースタイプが `AwsIamAccessKey`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**6. セキュリティ標準/ベストプラクティスを満たさないインスタンスを AWS リソース化する**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/6`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**7.潜在的なデータ流出に関連する AWS リソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/7`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが Effects/Data Exfiltration/ で始まる
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**8. 不正な AWS リソース消費に関連するリソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/8`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Effects/Resource Consumption` で始まる
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**9. セキュリティ標準/ベストプラクティスを満たさない S3 バケット**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/11`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ リソースタイプが `AwsS3Bucket`
+ タイプが `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**10. 機密データを含む S3 バケット**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/12`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ リソースタイプが `AwsS3Bucket`
+ タイプが `Sensitive Data Identifications/` で始まる
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**11. 漏洩した可能性がある認証情報**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/13`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Sensitive Data Identifications/Passwords/` で始まる
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**12. 重要な脆弱性のセキュリティパッチが欠落している EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/16`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Software and Configuration Checks/Vulnerabilities/CVE` で始まる
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**13. 一般的な異常な動作に関連する EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/17`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Unusual Behaviors` で始まる
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**14. インターネットからアクセス可能なポートを持つ EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/18`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Software and Configuration Checks/AWS Security Best Practices/Network Reachability` で始まる
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**15. セキュリティ標準/ベストプラクティスを満たさない EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/19`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが次のいずれかで始まる。
  + `Software and Configuration Checks/Industry and Regulatory Standards/`
  + `Software and Configuration Checks/AWS Security Best Practices`
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**16. インターネットに開放されている EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/21`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Software and Configuration Checks/AWS Security Best Practices/Network Reachability` で始まる
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**17. 敵対的な偵察に関連付けられている EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/22`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが TTPs/Discovery/Recon で始まる
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**18.マルウェアに関連付けられている AWS リソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/23`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが次のいずれかで始まる。
  + `Effects/Data Exfiltration/Trojan`
  + `TTPs/Initial Access/Trojan`
  + `TTPs/Command and Control/Backdoor`
  + `TTPs/Command and Control/Trojan`
  + `Software and Configuration Checks/Backdoor`
  + `Unusual Behaviors/VM/Backdoor`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**19.暗号通貨の問題に関連する AWS リソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/24`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが次のいずれかで始まる。
  + `Effects/Resource Consumption/Cryptocurrency`
  + `TTPs/Command and Control/CryptoCurrency`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**20.不正アクセスの試みがある AWS リソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/25`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが次のいずれかで始まる。
  + `TTPs/Command and Control/UnauthorizedAccess`
  + `TTPs/Initial Access/UnauthorizedAccess`
  + `Effects/Data Exfiltration/UnauthorizedAccess`
  + `Unusual Behaviors/User/UnauthorizedAccess`
  + `Effects/Resource Consumption/UnauthorizedAccess`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**21. 先週ヒット数が最も多かった脅威インテリジェンス指標**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/26`  
**結果フィルター:**  
+ 過去 7 日以内に作成

**22. 結果数による上位アカウント**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/27`  
**グループ化基準:** AWS アカウント ID  
**結果フィルター:**  
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**23. 結果数による上位製品**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/28`  
**グループ化の基準:** 製品名  
**結果フィルター:**  
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**24. 結果数による重要度**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/29`  
**グループ化の基準:** 重要度ラベル  
**結果フィルター:**  
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**25. 結果数による上位 S3 バケット**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/30`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ リソースタイプが `AwsS3Bucket`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**26. 結果数による上位 EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/31`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**27. 結果数による上位 AMI**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/32`  
**グループ化の基準:** EC2 インスタンスイメージ ID  
**結果フィルター:**  
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**28. 結果数による上位 IAM ユーザー**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/33`  
**グループ化の基準:** IAM アクセスキー ID  
**結果フィルター:**  
+ リソースタイプが `AwsIamAccessKey`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**29. 失敗した CIS チェック数による上位リソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/34`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ ジェネレーター ID が `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule` で始まる
+ 最終日に更新
+ コンプライアンス状況が `FAILED`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**30. 調査数による上位統合**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/35`  
**グループ化の基準:** 製品 ARN  
**結果フィルター:**  
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**31. セキュリティチェックの失敗が最も多いリソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/36`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ 最終日に更新
+ コンプライアンス状況が `FAILED`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**32。不審なアクティビティに関連する IAM ユーザー**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/37`  
**グループ化の基準:** IAM ユーザー  
**結果フィルター:**  
+ リソースタイプが `AwsIamUser`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**33。 AWS Health 検出結果が最も多いリソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/38`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ `ProductName`が`Health`

**34。 AWS Config 検出結果が最も多いリソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/39`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ `ProductName`が`Config`

**35。最も検出結果の多いアプリケーション**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/40`  
**グループ化の基準:** ResourceApplicationArn  
**結果フィルター:**  
+ `RecordState`が`ACTIVE`
+ `Workflow.Status` が `NEW` または `NOTIFIED`

# Security Hub CSPM でのカスタムインサイトについて
<a name="securityhub-custom-insights"></a>

 AWS Security Hub CSPM マネージドインサイトに加えて、Security Hub CSPM でカスタムインサイトを作成して、環境に固有の問題を追跡できます。カスタムインサイトは、問題のキュレーションされたサブセットを追跡するのに役立ちます。

以下に、設定に役立つカスタムインサイトの例をいくつか示します。
+ 管理者アカウントを所有している場合は、カスタムインサイトを設定して、メンバーアカウントに影響を与えているクリティカルな結果および重要度の高い結果を追跡できます。
+ 特定の[統合 AWS サービス](securityhub-internal-providers.md)に依存している場合は、カスタムインサイトを設定して、そのサービスからの重大度の高い検出結果を追跡できます。
+ [サードパーティー統合](securityhub-partner-providers.md)に依存する場合、カスタムインサイトを設定して、その統合された製品からクリティカルな結果と重大度が高い結果を追跡できます。

まったく新しいカスタムインサイトを作成するか、既存のカスタムインサイトまたはマネージド型インサイトから作成を開始できます。

各インサイトは、次のオプションを使用して設定できます。
+ **Grouping attribute** (グループ化属性) - グループ化属性によって、インサイト結果リストに表示される項目が決定します。例えば、グループ化属性が **[製品名]** の場合、インサイト結果には、各検出結果プロバイダー関連付けられている結果の数が表示されます。
+ **Optional filters** (オプションのフィルター) - フィルターにより、インサイトの一致する結果が絞り込まれます。

  検出結果は、提供されたすべてのフィルターに一致する場合にのみインサイト結果に含まれます。例えば、フィルターが「製品名が GuardDuty」と「リソースタイプが `AwsS3Bucket`」である場合、一致となる検出結果はこれらの両方の条件に一致する必要があります。

  ただし、Security Hub CSPM では、同じ属性に異なる値を使用するフィルターにはブール OR 論理を適用します。例えば、フィルターが「製品名が GuardDuty」と「製品名が Amazon Inspector」である場合、検出結果は、Amazon GuardDuty または Amazon Inspector のいずれかによって生成されていれば一致となります。

リソース識別子またはリソースタイプをグループ化属性として使用する場合、インサイト結果には、一致する検出結果のすべてのリソースが含まれます。このリストは、リソースタイプフィルターに一致するリソースに限定されません。例えば、インサイトは S3 バケットに関連付けられている結果を特定し、それらの結果をリソース識別子でグループ化します。一致する結果には、S3 バケットリソースと IAM アクセスキーリソースの両方が含まれます。インサイト結果には、両方のリソースが含まれます。

[クロスリージョン集約](finding-aggregation.md) を有効にしていて、カスタムインサイトを作成すると、インサイトは集約リージョンとリンクされたリージョンでの一致する検出結果に適用されます。ただし、インサイトにリージョンフィルターが含まれている場合は例外です。

# カスタムインサイトの作成
<a name="securityhub-custom-insight-create-api"></a>

 AWS Security Hub CSPM では、カスタムインサイトを使用して特定の検出結果を収集し、環境に固有の問題を追跡できます。カスタムインサイトの背景情報については、「[Security Hub CSPM でのカスタムインサイトについて](securityhub-custom-insights.md)」を参照してください。

お好みの方法を選択し、手順に従って Security Hub CSPM でカスタムインサイトを作成します。

------
#### [ Security Hub CSPM console ]

**カスタムインサイトを作成するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. **[インサイトの作成]** を選択します。

1. インサイトのグループ化属性を選択するには:

   1. 検索ボックスを選択して、フィルターオプションを表示します。

   1. **[Group by]** (グループ化の条件) を選択します。

   1. このインサイトに関連付けられている結果をグループ化するのに使用する属性を選択します。

   1. **[Apply]** (適用) を選択します。

1. 必要に応じて、このインサイトに使用する追加のフィルターを選択します。フィルターごとに、フィルター条件を定義し、**[Apply]** (適用) を選択します。

1. **[Create insight]** (インサイトの作成) を選択します。

1. [**インサイトの名前**] を入力し、[**インサイトの作成**] を選択します。

------
#### [ Security Hub CSPM API ]

**カスタムインサイトを作成するには (API)**

1. カスタムインサイトを作成するには、Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html) オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html) コマンドを実行します。

1. `Name` パラメータにカスタムインサイトの名前を指定します。

1. `Filters` パラメーターを入力して、インサイトに含める結果を指定します。

1. `GroupByAttribute` パラメーターを入力して、インサイトに含まれる結果をグループ化するために使用する属性を指定します。

1. オプションで、特定のフィールドで調査結果をソートする `SortCriteria` パラメーターを指定します。

次の例では、`AwsIamRole` リソースタイプで重要な検出結果を含むカスタムインサイトを作成します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```

------
#### [ PowerShell ]

**カスタムインサイトを作成するには (PowerShell)**

1. `New-SHUBInsight` コマンドレットを使用します。

1. `Name` パラメータにカスタムインサイトの名前を指定します。

1. `Filter` パラメーターを入力して、インサイトに含める結果を指定します。

1. `GroupByAttribute` パラメーターを入力して、インサイトに含まれる結果をグループ化するために使用する属性を指定します。

[クロスリージョン集約](finding-aggregation.md)を有効にしていて、集約リージョンからこのコマンドレットを使用すると、インサイトは集約とリンクされたリージョンでの一致する結果に適用されます。

**例**

```
$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```

------

## マネージド型インサイトからのカスタムインサイトの作成 (コンソールのみ)
<a name="securityhub-custom-insight-frrom-managed"></a>

マネージド型インサイトに変更を保存したり、マネージド型インサイトを削除したりすることはできません。ただし、マネージド型インサイトをカスタムインサイトのベースとして使用することができます。これは Security Hub CSPM コンソールでのみ使用できます。

**マネージド型インサイトからカスタムインサイトを作成するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. 作成元になるマネージド型インサイトを選択します。

1. 必要に応じてインサイト設定を編集します。
   + インサイトで結果のグループ化に使用される属性を変更するには:

     1. 既存のグループ化を削除するには、**[Group by]** (グループ化の条件) 設定の横にある **X** を選択します。

     1. 検索ボックスを選択します。

     1. グループ化に使用する属性を選択します。

     1. **[適用]** を選択します。
   + インサイトからフィルターを削除するには、フィルターの横にある円で囲まれた **X** を選択します。
   + インサイトにフィルターを追加するには:

     1. 検索ボックスを選択します。

     1. フィルターとして使用する属性と値を選択します。

     1. **[Apply]** (適用) を選択します。

1. 更新が完了したら、**[Create insight]** (インサイトの作成) を選択します。

1. プロンプトが表示されたら、**[Insight name]** (インサイト名) に入力し、**[Create insight]** (インサイトの作成) を選択します。

# カスタムインサイトの編集
<a name="securityhub-custom-insight-modify-console"></a>

既存のカスタムインサイトのグループ化値とフィルターを編集できます。変更後、元のインサイトのまま更新内容を保存するか、新しいインサイトとして更新されたバージョンを保存できます。

 AWS Security Hub CSPM では、カスタムインサイトを使用して特定の検出結果を収集し、環境に固有の問題を追跡できます。カスタムインサイトの背景情報については、「[Security Hub CSPM でのカスタムインサイトについて](securityhub-custom-insights.md)」を参照してください。

カスタムインサイトを編集するには、希望の方法を選択し、手順に従います。

------
#### [ Security Hub CSPM console ]

**カスタムインサイトを編集するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. 変更するカスタムインサイトを選択します。

1. 必要に応じてインサイト設定を編集します。
   + インサイトで結果のグループ化に使用される属性を変更するには:

     1. 既存のグループ化を削除するには、**[Group by]** (グループ化の条件) 設定の横にある **X** を選択します。

     1. 検索ボックスを選択します。

     1. グループ化に使用する属性を選択します。

     1. **[適用]** を選択します。
   + インサイトからフィルターを削除するには、フィルターの横にある円で囲まれた **X** を選択します。
   + インサイトにフィルターを追加するには:

     1. 検索ボックスを選択します。

     1. フィルターとして使用する属性と値を選択します。

     1. **[Apply]** (適用) を選択します。

1. 更新が完了したら、**[Save insight]** (インサイトの保存) を選択します。

1. プロンプトが表示されたら、次のいずれかを実行します。
   + 既存のインサイトを更新して変更を反映させる場合は、**[Update *<Insight\$1Name>]*** (<Insight\$1Name> を更新) を選択してから、**[Save insight]** (インサイトの保存) を選択します。
   + 更新内容を使用して新しいインサイトを作成する場合は、**[Save new insight]** (新しいインサイトの保存) を選択します。**[Insight name]** (インサイトの名前) に入力して、**[Save insight]** (インサイトの保存) を選択します。

------
#### [ Security Hub CSPM API ]

**カスタムインサイト (API) を編集するには**

1. Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html) オペレーションを使用します。を使用する場合は、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html) コマンド AWS CLI を実行します。

1. 更新するカスタムインサイトを特定するには、インサイトの Amazon リソースネーム (ARN) を指定します。カスタムインサイトの ARN を取得するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) オペレーションまたは [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html) コマンドを実行します。

1. 必要に応じて、`Name`、`Filters` と `GroupByAttribute` パラメータを更新します。

次の例では、指定されたインサイトを更新します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```

------
#### [ PowerShell ]

**カスタムインサイトを編集するには (PowerShell)**

1. `Update-SHUBInsight` コマンドレットを使用します。

1. カスタムインサイトを特定するには、インサイトの Amazon リソースネーム (ARN) を指定します。カスタムインサイトの ARN を取得するには、`Get-SHUBInsight`コマンドレットを使用します。

1. 必要に応じて、`Name`、`Filter` と `GroupByAttribute` パラメータを更新します。

**例**

```
$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```

------

# カスタムインサイトの削除
<a name="securityhub-custom-insight-delete-console"></a>

 AWS Security Hub CSPM では、カスタムインサイトを使用して特定の検出結果を収集し、環境に固有の問題を追跡できます。カスタムインサイトの背景情報については、「[Security Hub CSPM でのカスタムインサイトについて](securityhub-custom-insights.md)」を参照してください。

カスタムインサイトの削除は、希望の方法を選択し、手順に従います。マネージド型インサイトを削除することはできません。

------
#### [ Security Hub CSPM console ]

**カスタムインサイトを削除するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. 削除するカスタムインサイトを見つけます。

1. そのインサイトで、その他のオプションを表示するためのアイコン (カードの右上隅にある 3 つのドット) を選択します。

1. **[削除]** を選択します。

------
#### [ Security Hub CSPM API ]

**カスタムインサイトを削除するには (API)**

1. Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html) オペレーションを使用します。を使用する場合は、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html) コマンド AWS CLI を実行します。

1. 削除するカスタムインサイトを特定するには、インサイト ARN を指定します。カスタムインサイトの ARN を取得するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) オペレーションまたは [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html) コマンドを実行します。

次の例では、特定のインサイトを削除します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------
#### [ PowerShell ]

**カスタムインサイトを削除するには (PowerShell)**

1. `Remove-SHUBInsight` コマンドレットを使用します。

1. カスタムインサイトを特定するには、インサイト ARN を指定します。カスタムインサイトの ARN を取得するには、`Get-SHUBInsight` コマンドレットを使用します。

**例**

```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Security Hub CSPM の検出結果を自動的に変更して動作を実行する
<a name="automations"></a>

AWS Security Hub CSPM には、仕様に基づいて結果を自動的に変更してアクションを実行する機能があります。

Security Hub CSPM は現在、次の 2 種類の自動化をサポートしています。
+ **自動化ルール** — 定義した基準に基づいて、ほぼリアルタイムで検出結果を自動的に更新および非表示にします。
+ **自動対応と修正** — 特定の検出結果やインサイトに対して実行する自動アクションを定義するカスタム Amazon EventBridge ルールを作成できます。

自動化ルールは、 AWS Security Finding 形式 (ASFF) で検出結果フィールドを自動的に更新する場合に役立ちます。例えば、自動化ルールを使用して、特定のサードパーティー統合の結果の重要度レベルまたはワークフローステータスを更新できます。自動化ルールを使用すると、このサードパーティー製品の各検出結果の重要度レベルまたはワークフローステータスを手動で更新する必要がなくなります。

EventBridge ルールは、特定の検出結果に関して Security Hub CSPM の外部でアクションを実行したり、修正や追加調査のために特定の検出結果をサードパーティーツールに送信したりする場合に役立ちます。ルールを使用して、 AWS Lambda 関数の呼び出しや、特定の検出結果に関する Amazon Simple Notification Service (Amazon SNS) トピックの通知など、サポートされているアクションをトリガーできます。

自動化ルールは、EventBridge ルールが適用される前に有効になります。つまり、EventBridge が検出結果を受信する前に自動化ルールがトリガーされ、検出結果が更新されます。その後、EventBridge のルールが更新された検出結果に適用されます。

セキュリティコントロールの自動化を設定するときは、タイトルや説明ではなく、コントロール ID に基づいてフィルタリングすることをお勧めします。Security Hub CSPM でコントロールのタイトルや説明を更新することがありますが、コントロール ID は変わりません。

**Topics**
+ [Security Hub CSPM の自動化ルールについて](automation-rules.md)
+ [EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)

# Security Hub CSPM の自動化ルールについて
<a name="automation-rules"></a>

自動化ルールを使用して、 AWS Security Hub CSPM の結果を自動的に更新できます。検出結果が取り込まれると、Security Hub CSPM は検出結果の非表示、重要度の変更、メモの追加など、さまざまなルールアクションを適用できます。このようなルールアクションは、指定した条件に一致する検出結果を変更します。

自動化ルールの使用例には、次のようなものがあります。
+ 検出結果のリソース ID がビジネス上重要なリソースを参照している場合、検出結果の重大度を `CRITICAL` に上げます。
+ 検出結果が特定の本番稼働用アカウントのリソースに影響する場合は、検出結果の重要度を `HIGH` から `CRITICAL` に引き上げます。
+ `INFORMATIONAL` 重要度を持つ `SUPPRESSED` ワークフローステータスの特定の検出結果を割り当てます。

Security Hub CSPM 管理者アカウントからのみ自動化ルールを作成および管理できます。

ルールは、新しい検出結果と更新された検出結果の両方に適用されます。カスタムルールを最初から作成することも、Security Hub CSPM が提供するルールテンプレートを使用することもできます。テンプレートから開始し、必要に応じて変更することもできます。

## ルール基準とルールアクションの定義
<a name="automation-rules-how-it-works"></a>

Security Hub CSPM 管理者アカウントから、1 つ以上のルール*条件* と 1 つ以上のルール*アクション*を定義することで、自動化ルールを作成できます。検出結果が定義済みの条件と一致すると、Security Hub CSPM はその結果にルールアクションを適用します。使用可能な条件とアクションの詳細については、「[使用可能なルール基準とルールアクション](#automation-rules-criteria-actions)」を参照してください。

Security Hub CSPM は現在、管理者アカウントごとに最大 100 の自動化ルールをサポートしています。

Security Hub CSPM 管理者アカウントは、自動化ルールを編集、表示、削除できます。ルールは、管理者アカウントとすべてのメンバーアカウントの一致する検出結果に適用されます。メンバーアカウント ID をルール条件に指定することで、Security Hub CSPM 管理者は自動化ルールを使用して特定のメンバーアカウントの検出結果を更新したり、非表示にしたりすることもできます。

自動化ルールは、それが作成された AWS リージョン にのみ適用されます。複数のリージョンにルールを適用するには、管理者がリージョンごとにルールを作成する必要があります。これは、Security Hub CSPM コンソール、Security Hub CSPM API、または [AWS CloudFormation](creating-resources-with-cloudformation.md) を使用して実行できます。[マルチリージョンデプロイスクリプト](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)を使用することも可能です。

## 使用可能なルール基準とルールアクション
<a name="automation-rules-criteria-actions"></a>

現在、自動化ルールの基準として次の AWS Security Finding Format (ASFF) フィールドがサポートされています。


| ルール基準 | フィルター演算子 | フィールドタイプ | 
| --- | --- | --- | 
| AwsAccountId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| AwsAccountName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | 文字列  | 
| CompanyName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | 文字列  | 
| ComplianceAssociatedStandardsId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | 文字列  | 
| ComplianceSecurityControlId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ComplianceStatus  | Is, Is Not  | 選択:[FAILED, NOT\$1AVAILABLE, PASSED, WARNING]  | 
| Confidence  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Number  | 
| CreatedAt  | Start, End, DateRange  | 日付 (形式例: 2022-12-01T21:47:39.269Z)  | 
| Criticality  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Number  | 
| Description  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| FirstObservedAt  | Start, End, DateRange  | 日付 (形式例: 2022-12-01T21:47:39.269Z)  | 
| GeneratorId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| Id  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| LastObservedAt  | Start, End, DateRange  | 日付 (形式例: 2022-12-01T21:47:39.269Z)  | 
| NoteText  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| NoteUpdatedAt  | Start, End, DateRange  | 日付 (形式例: 2022-12-01T21:47:39.269Z)  | 
| NoteUpdatedBy  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ProductArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | 文字列  | 
| ProductName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | 文字列  | 
| RecordState  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | 文字列  | 
| RelatedFindingsId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | 文字列  | 
| RelatedFindingsProductArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | 文字列  | 
| ResourceApplicationArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | 文字列  | 
| ResourceApplicationName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourceDetailsOther  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | マッピング  | 
| ResourceId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourcePartition  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | 文字列  | 
| ResourceRegion  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourceTags  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | マッピング  | 
| ResourceType  | Is, Is Not  | 選択 (ASFF がサポートする[リソース](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html)を参照)  | 
| SeverityLabel  | Is, Is Not  | 選択: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL]  | 
| SourceUrl  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| Title  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | 文字列  | 
| Type  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| UpdatedAt  | Start, End, DateRange  | 日付 (形式例: 2022-12-01T21:47:39.269Z)  | 
| UserDefinedFields  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | マッピング  | 
| VerificationState  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| WorkflowStatus  | Is, Is Not  | 選択: [NEW, NOTIFIED, RESOLVED, SUPPRESSED]  | 

文字列フィールドとしてラベル付けされている条件の場合、同じフィールドで異なるフィルター演算子を使用すると、評価ロジックに影響します。詳細については、「*AWS Security Hub CSPM API リファレンス*」の「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)」を参照してください。

各基準は、一致する検出結果のフィルタリングに使用できる値の最大数をサポートしています。各基準の制限については、「*AWS Security Hub CSPM API リファレンス*」の「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)」を参照してください。

現在、次の ASFF フィールドが自動化ルールのアクションとしてサポートされています。
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

特定の ASFF フィールドの詳細については、「[AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)」を参照してください。

**ヒント**  
 Security Hub CSPM で特定のコントロールに関する検出結果の生成を停止したい場合は、自動化ルールを使用する代わりにコントロールを無効にすることをお勧めします。コントロールを無効にすると、Security Hub CSPM はそのコントロールに対するセキュリティチェックの実行を停止し、検出結果の生成を停止するため、そのコントロールに対する料金は発生しません。自動化ルールを使用し、定義した条件に一致する検出結果に関して、特定の ASFF フィールド値を変更することをおすすめします。コントロールの無効化に関する詳細については、「[Security Hub CSPM でのコントロールの無効化](disable-controls-overview.md)」を参照してください。

## 自動化ルールが評価する検出結果
<a name="automation-rules-findings"></a>

自動化ルールは、ルールの作成*後*に Security Hub CSPM が [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションを通じて生成または取り込む新規および更新された検出結果を評価します。Security Hub CSPM は、12～24 時間ごと、または関連リソースの状態が変化したときに、コントロール検出結果を更新します。詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。

自動化ルールは、プロバイダーが提供する元の検出結果を評価します。プロバイダーは、Security Hub CSPM API の `BatchImportFindings` オペレーションを通じて、新しい検出結果を提供し、既存の検出結果を更新できます。元の検出結果に次のフィールドが存在しない場合、Security Hub CSPM はフィールドを自動的に入力し、オートメーションルールによる評価で入力された値を使用します。
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`

1 つ以上の自動化ルールを作成したら、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) オペレーションを使用して検出結果フィールドを更新しても、ルールはトリガーされません。自動化ルールを作成し、同じ検出結果フィールドに影響する `BatchUpdateFindings` 更新を行うと、最後の更新によってそのフィールドの値を設定します。次の例を見てみましょう。

1. `BatchUpdateFindings` オペレーションを使用して、検出結果の `Workflow.Status` フィールドの値を `NEW` から `NOTIFIED` に変更します。

1. `GetFindings` を呼び出すと、`Workflow.Status` フィールドの値が `NOTIFIED` になりました。

1. 検出結果の `Workflow.Status` フィールドを `NEW` から `SUPPRESSED` に変更する自動化ルールを作成します。(`BatchUpdateFindings` オペレーションを使用して行われた更新はルールで無視されます)。

1. 検出結果プロバイダーは、`BatchImportFindings` オペレーションを使用して検出結果を更新し、検出結果の `Workflow.Status` フィールドの値を `NEW` に変更します。

1. `GetFindings` を呼び出すと、`Workflow.Status` フィールドの値が `SUPPRESSED` になりました。自動化ルールが適用され、ルールが検出結果に対して最後に実行されたアクションであったためです。

Security Hub CSPM コンソールでルールを作成または編集すると、コンソールにルール条件に一致する検出結果のベータが表示されます。自動化ルールは検出結果プロバイダーによって送信された元の検出結果を評価しますが、コンソールベータは [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) オペレーションへのレスポンス (つまり、ルールアクションやその他の更新が検出結果に適用された後) に表示されるため、最終状態の検出結果を反映します。

## ルールの順序の仕組み
<a name="rule-order"></a>

自動化ルールを作成するときは、各ルールに順序を割り当てます。これにより、Security Hub CSPM が自動化ルールを適用する順序が決まり、複数のルールが同じ検出結果または検出結果フィールドに関連する場合に重要になってきます。

複数のルールアクションが同じ検出結果または検出結果フィールドに関連する場合、ルール順序の数値が最も大きいルールが最後に適用され、最終的な結果となります。

Security Hub CSPM コンソールでルールを作成すると、Security Hub CSPM はルールの作成順序に基づいて、ルールの順序を自動的に割り当てます。最後に作成されたルールは、ルール順序の数値が最も小さいため、最初に適用されます。Security Hub CSPM は後続のルールを昇順で適用します。

Security Hub CSPM API または を使用してルールを作成すると AWS CLI、Security Hub CSPM は`RuleOrder`最初に最も低い数値のルールを適用します。その後、後続のルールを昇順で適用します。複数の検出結果に同じ `RuleOrder` がある場合、Security Hub CSPM は `UpdatedAt` フィールドに以前の値のルールを最初に適用します (つまり、最後に編集されたルールが最後に適用されます)。

ルールの順序はいつでも変更できます。

**ルール順序の例**:

**ルール A (ルール順序は `1`)**:
+ ルール A の基準
  + `ProductName` = `Security Hub CSPM`
  + `Resources.Type` は `S3 Bucket`
  + `Compliance.Status` = `FAILED`
  + `RecordState` は `NEW`
  + `Workflow.Status` = `ACTIVE`
+ ルール A のアクション
  + `Confidence` を `95` に更新
  + `Severity` を `CRITICAL` に更新

**ルール B (ルールの順序は `2`)**:
+ ルール B の基準
  + `AwsAccountId` = `123456789012`
+ ルール B のアクション
  + `Severity` を `INFORMATIONAL` に更新

ルール A のアクションは、ルール A の基準に一致する Security Hub CSPM の検出結果に最初に適用されます。次に、ルール B のアクションが指定されたアカウント ID の Security Hub CSPM の検出結果に適用されます。この例では、ルール B が最後に適用されるため、指定されたアカウント ID からの検出結果における `Severity` の最終値は `INFORMATIONAL` です。ルール A のアクションに基づくと、一致した検出結果の `Confidence` の最終値は `95` です。

# 自動化ルールの作成
<a name="create-automation-rules"></a>

自動化ルールを使用して、 AWS Security Hub CSPM の結果を自動的に更新できます。カスタム自動化ルールを最初から作成することも、Security Hub CSPM コンソールで事前に入力されているルールテンプレートを使用することもできます。自動化ルールの仕組みに関する背景情報については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。

一度に作成できる自動化ルールは 1 つだけです。複数の自動化ルールを作成するには、コンソールの手順を複数回実行するか、必要なパラメータを指定して API またはコマンドを複数回呼び出します。

ルールを検出結果に適用させる各リージョンとアカウントで自動化ルールを作成する必要があります。

Security Hub CSPM コンソールで自動化ルールを作成すると、Security Hub CSPM では、そのルールが適用される検出結果のベータが表示されます。ルール条件に CONTAINS または NOT\$1CONTAINS フィルターが含まれている場合のベータは現在サポートされていません。これらのフィルターは、マッピングフィールドタイプと文字列フィールドタイプに対して選択できます。

**重要**  
AWS では、ルール名、説明、またはその他のフィールドに個人を特定できる情報、機密情報、または機密情報を含めないことをお勧めします。

## カスタム自動化ルールの作成
<a name="create-automation-rules-custom"></a>

ご希望の方法を選択し、次の手順を完了させ、カスタム自動化ルールを作成します。

------
#### [ Console ]

**カスタムオー自動化ルールを作成するには (コンソール)**

1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[オートメーション]** を選択します。

1. **[‬ルールを作成]‭** を選択します。**[ルールタイプ]** で **[カスタムルールを作成]** を選択します。

1. **[ルール]** セクションで、一意のルール名とルールの説明を入力します。

1. **[基準]** では、**[キー]**、**[オペレータ]**、および **[値]** のドロップダウンメニューを使用して、ルール条件を指定します。少なくとも 1 つのルール基準を指定する必要があります。

   選択した基準でサポートされている場合、コンソールには、基準に一致する検出結果のベータが表示されます。

1. **[自動アクション]** の場合は、ドロップダウンメニューを使用して、検出結果がルール条件に一致したときに更新する結果フィールドを指定します。少なくとも 1 つのルールアクションを指定する必要があります。

1. **[ルールステータス]** では、ルールを作成した後でそのルールを **[有効]** にするか **[無効]** にするかを選択します。

1. (オプション) **[詳細設定]** セクションを展開します。このルールをルール条件に一致する検出結果に適用する最後のルールにしたい場合は、**[これらの条件に一致する検出結果については後続のルールを無視する]** を選択します。

1. (オプション) **[タグ]** でタグをキーと値のペアとして追加すると、ルールを簡単に識別できるようになります。

1. **[‬ルールを作成]‭** を選択します。

------
#### [ API ]

**カスタム自動化ルールを作成するには (API)**

1. Security Hub CSPM 管理者アカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html) を実行します。この API は、特定の Amazon リソースネーム (ARN) を使用してルールを作成します。

1. ルールの名前と説明を入力します。

1. このルールを、ルール条件に一致する検出結果に適用する最後のルールにする場合は、`IsTerminal` パラメーターを `true` に設定します。

1. `RuleOrder` パラメータでは、ルールの順序を指定します。Security Hub CSPM は、このパラメータで最初に小さい数値のルールを適用します。

1. `RuleStatus` パラメータでは、Security Hub CSPM を有効にするかどうかを指定し、作成後、検出結果にルールを適用し始めます。値を指定しない場合、デフォルトは `ENABLED` になります。値が `DISABLED` の場合、ルールは作成後に一時停止されます。

1. `Criteria` パラメータでは、Security Hub CSPM に検出結果のフィルタリングで使用したい条件を指定します。ルールアクションは、条件に一致する検出結果に適用されます。サポートされている条件のリストについては、「[使用可能なルール基準とルールアクション](automation-rules.md#automation-rules-criteria-actions)」を参照してください。

1. `Actions` パラメータでは、検出結果と定義した条件が一致した場合に Security Hub CSPM に実行させたいアクションを指定します。サポートされているアクションのリストについては、「[使用可能なルール基準とルールアクション](automation-rules.md#automation-rules-criteria-actions)」 を参照してください。

次の AWS CLI コマンド例では、自動化ルールを作成し、ワークフローのステータスと一致する結果のメモを更新します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub create-automation-rule \
--actions '[{
 "Type": "FINDING_FIELDS_UPDATE",
 "FindingFieldsUpdate": {
 "Severity": {
 "Label": "HIGH"
 },
 "Note": {
 "Text": "Known issue that is a risk. Updated by automation rules",
 "UpdatedBy": "sechub-automation"
 }
 }
 }]' \
--criteria '{
 "SeverityLabel": [{
 "Value": "INFORMATIONAL",
 "Comparison": "EQUALS"
 }]
 }' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```

------

## テンプレートからの自動化ルールの作成 (コンソールのみ)
<a name="create-automation-rules-template"></a>

ルールテンプレートには、自動化ルールの一般的なユースケースが反映されています。現在、Security Hub CSPM コンソールのみがルールテンプレートをサポートしています。以下の手順を完了して、コンソールのテンプレートから自動化ルールを作成します。

**テンプレートから自動化ルールを作成するには (コンソール)**

1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[オートメーション]** を選択します。

1. **[‬ルールを作成]‭** を選択します。**[ルールタイプ]** で、**[テンプレートからルールを作成]** を選択します。

1. ドロップダウンメニューからルールテンプレートを選択します。

1. (オプション) 使用状況の必要に応じて、**[ルール]**、**[基準]**、**[自動化アクション]** セクションを変更します。少なくとも 1 つのルール基準と 1 つのルールアクションを指定する必要があります。

   選択した基準でサポートされている場合、コンソールには、基準に一致する検出結果のベータが表示されます。

1. **[ルールステータス]** では、ルールを作成した後でそのルールを **[有効]** にするか **[無効]** にするかを選択します。

1. (オプション) **[詳細設定]** セクションを展開します。このルールをルール条件に一致する検出結果に適用する最後のルールにしたい場合は、**[これらの条件に一致する検出結果については後続のルールを無視する]** を選択します。

1. (オプション) **[タグ]** でタグをキーと値のペアとして追加すると、ルールを簡単に識別できるようになります。

1. **[‬ルールを作成]‭** を選択します。

# 自動化ルールを表示する
<a name="view-automation-rules"></a>

自動化ルールを使用して、 AWS Security Hub CSPM の結果を自動的に更新できます。自動化ルールの仕組みに関する背景情報については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。

ご希望の方法を選択し、手順に従って既存の自動化ルールと各ルールの詳細を確認してください。

自動化ルールによって検出結果がどのように変化したかの履歴を表示するには、「[Security Hub CSPM での検出結果詳細と検出結果履歴のレビュー](securityhub-findings-viewing.md)」を参照してください。

------
#### [ Console ]

**自動化ルールを表示するには (コンソール)**

1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[オートメーション]** を選択します。

1. ルール名を選択します。または、ルールを選択してください。

1. **[アクション]**、**[ログの表示]** の順に選択します。

------
#### [ API ]

**自動化ルール (API) を表示するには**

1. アカウントの自動化ルールを表示するには、Security Hub CSPM 管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html) を実行します。この API は、使用中のルールのルール ARN とその他のメタデータを返します。この API には入力パラメータは必要ありませんが、オプションで結果の数を制限するために `MaxResults` を指定したり、ページ区切りパラメータとして `NextToken` を指定したりできます。`NextToken` の初期値は `NULL` である必要があります。

1. ルールの基準やアクションなど、その他のルールの詳細については、Security Hub CSPM 管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html) を実行してください。詳細を指定する自動化ルールの ARN を指定します。

   次の例では、指定した自動化ルールに関する詳細を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

   ```
   $ aws securityhub batch-get-automation-rules \
   --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
   --region us-east-1
   ```

------

# 自動化ルールの編集
<a name="edit-automation-rules"></a>

自動化ルールを使用して、 AWS Security Hub CSPM の結果を自動的に更新できます。自動化ルールの仕組みに関する背景情報については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。

自動化ルールを作成した後、Security Hub CSPM の委任管理者はルールを編集できます。自動化ルールを編集すると、ルール編集後に Security Hub CSPM が生成または取り込む新しい検出結果や更新された結果に変更が適用されます。

ご希望の方法を選択し、手順に従って自動化ルールの内容を編集します。1 回のリクエストで 1 つ以上のルールを編集できます。ルール順序の編集方法については、「[自動化ルールの順序の編集](edit-rule-order.md)」を参照してください。

------
#### [ Console ]

**自動化ルールを編集するには (コンソール)**

1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[オートメーション]** を選択します。

1. 編集するルールを選択します。**[アクション]**、**[編集]** の順に選択します。

1. 必要に応じてルールを変更し、**[変更を保存]** を選択します。

------
#### [ API ]

**自動化ルール (API) を編集するには**

1. Security Hub CSPM 管理者アカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) を実行します。

1. `RuleArn` パラメータでは、編集するルールの ARN を指定します。

1. 編集するパラメータの新しい値を指定します。`RuleArn` 以外の任意のパラメータを編集できます。

次の例では、指定された自動化ルールを更新します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
    {
      "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
          "Note": {
            "Text": "Known issue that is a risk",
            "UpdatedBy": "sechub-automation"
          },
          "Workflow": {
            "Status": "NEW"
          }
        }
      }],
      "Criteria": {
        "SeverityLabel": [{
         "Value": "LOW",
         "Comparison": "EQUALS"
        }]
      },
      "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
      "RuleOrder": 14,
      "RuleStatus": "DISABLED",
    }
  ]' \
--region us-east-1
```

------

# 自動化ルールの順序の編集
<a name="edit-rule-order"></a>

自動化ルールを使用して、 AWS Security Hub CSPM の結果を自動的に更新できます。自動化ルールの仕組みに関する背景情報については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。

自動化ルールを作成した後、Security Hub CSPM の委任管理者はルールを編集できます。

ルールの条件とアクションはそのままで、Security Hub CSPM が自動化ルールを適用する順序を変更する場合は、ルールの順序のみ編集できます。ご希望の方法を選択し、手順に従ってルールの順序を編集します。

自動化ルールの基準またはアクションを編集する手順については、「[自動化ルールの編集](edit-automation-rules.md)」を参照してください。

------
#### [ Console ]

**自動化ルールの順序を編集するには (コンソール)**

1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[オートメーション]** を選択します。

1. 順序を変更するルールを選択します。**[優先度を編集]** を選択します。

1. ルールの優先度を 1 単位上げるには、**[上に移動]** を選択します。ルールの優先度を 1 単位下げるには、**[下に移動]** を選択します。ルールに **[1]** の順序を割り当てるには、**[先頭に移動]** を選択します (これにより、このルールが他の既存のルールよりも優先されます)。

**注記**  
Security Hub CSPM コンソールでルールを作成すると、Security Hub CSPM はルールの作成順序に基づいて、ルールの順序を自動的に割り当てます。最後に作成されたルールは、ルール順序の数値が最も小さいため、最初に適用されます。

------
#### [ API ]

**自動化ルールの順序を編集するには (API)**

1. Security Hub CSPM 管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) オペレーションを使用します。

1. `RuleArn` パラメータでは、順序を編集するルールの ARN を指定します。

1. `RuleOrder` フィールドの値を変更します。

**注記**  
複数のルールに同じ `RuleOrder` がある場合、Security Hub CSPM は `UpdatedAt` フィールドに以前の値のルールを最初に適用します (つまり、最後に編集されたルールが最後に適用されます)。

------

# 自動化ルールの削除または無効化
<a name="delete-automation-rules"></a>

自動化ルールを使用して、 AWS Security Hub CSPM の結果を自動的に更新できます。自動化ルールの仕組みに関する背景情報については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。

自動化ルールを削除すると、Security Hub CSPM はそのルールをアカウントから削除し、検出結果に適用されなくなります。削除の代わりに、ルールを*無効にする*こともできます。これにより、ルールは後で使用できるよう保持されますが、Security Hub CSPM は、有効にするまで一致する検出結果にはルールを適用しません。

ご希望の方法を選択し、手順に従って自動化ルールを削除します。1 回のリクエストで 1 つ以上のルールを削除できます。

------
#### [ Console ]

**自動化ルールを削除または無効にするには (コンソール)**

1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[オートメーション]** を選択します。

1. 削除するルールを選択します。**[アクション]**、**[削除]** の順に選択します (ルールを保持しながら一時的に無効にするには、**[無効]** を選択します)。

1. 選択を確認して、[**削除**] をクリックします。

------
#### [ API ]

**自動化ルール (API) を削除または無効にするには**

1. Security Hub CSPM 管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html) オペレーションを使用します。

1. `AutomationRulesArns` パラメータでは、削除するルールの ARN を指定します (ルールを保持しながら一時的に無効にするには、`RuleStatus` パラメータの `DISABLED` を指定します)。

次の例は、指定された自動化ルールを削除します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```

------

# 自動化ルールの例
<a name="examples-automation-rules"></a>

このセクションでは、Security Hub CSPM の一般的なユースケースにおける自動化ルールの例を示します。これらの例は、Security Hub CSPM コンソールで利用できるルールテンプレートに対応しています。

## S3 バケットなどの特定のリソースが危険にさらされている場合は、重要度を「重大」に引き上げます。
<a name="example-automation-rule-severity-resource"></a>

この例では、検出結果の `ResourceId` が特定の Amazon Simple Storage Service (Amazon S3) バケットである場合にルール条件が一致します。ルールアクションは、一致した検出結果の重要度を `CRITICAL` に変更することです。このテンプレートを変更して他のリソースに適用できます。

**API リクエストの例**:

```
{
    "IsTerminal": true,
    "RuleName": "Elevate severity of findings that relate to important resources",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub CSPM",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "ResourceId": [{
            "Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "This is a critical resource. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**CLI コマンドの例**:

```
$ 
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \

--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

## 本番稼働用アカウントのリソースに関連する検出結果の重大度を上げます。
<a name="example-automation-rule-severity-change"></a>

この例では、特定の本番稼働用アカウントで重要度 `HIGH` の検出結果が生成されると、ルール条件が一致します。ルールアクションは、一致した検出結果の重要度を `CRITICAL` に変更することです。

**API リクエストの例**:

```
{
    "IsTerminal": false,
    "RuleName": "Elevate severity for production accounts",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub CSPM",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "HIGH",
            "Comparison": "EQUALS"
        }],
        "AwsAccountId": [
        {
            "Value": "111122223333",
            "Comparison": "EQUALS"
        },
        {
            "Value": "123456789012",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "A resource in production accounts is at risk. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**CLI コマンドの例**:

```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

## 情報の検出結果を非表示にする
<a name="example-automation-rule-change-workflow"></a>

この例では、Amazon GuardDuty から Security Hub CSPM に送信された重要度 `INFORMATIONAL` の検出結果に対してルール条件が一致しています。ルールアクションは、一致した検出結果のワークフローステータスを `SUPPRESSED` に変更することです。

**API リクエストの例**:

```
{
    "IsTerminal": false,
    "RuleName": "Suppress informational findings",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
    "Criteria": {
        "ProductName": [{
            "Value": "GuardDuty",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "INFORMATIONAL",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Workflow": {
                "Status": "SUPPRESSED"
            },
            "Note": {
                "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**CLI コマンドの例**:

```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

# EventBridge を使用した自動応答と修復
<a name="securityhub-cloudwatch-events"></a>

Amazon EventBridge でルールを作成することで、 AWS Security Hub CSPM の検出結果に自動的に応答できます。Security Hub CSPM は、検出結果を*イベント*として EventBridge にほぼリアルタイムで送信します。簡単なルールを記述して、注目するイベントと、イベントがルールに一致した場合に自動的に実行するアクションを指定できます。自動的にトリガーできるオペレーションには、以下が含まれます。
+  AWS Lambda 関数の呼び出し
+ Amazon EC2 Run Command の呼び出し
+ Amazon Kinesis Data Streams へのイベントの中継
+  AWS Step Functions ステートマシンのアクティブ化
+ Amazon SNS トピックまたは Amazon SQS キューの通知
+ サードパーティーのチケット発行、チャット、SIEM、またはインシデント対応および管理ツールへの結果の送信

Security Hub CSPM は、すべての新しい結果と既存の結果のすべての更新を EventBridge イベントとして EventBridge に自動的に送信します。また、選択した結果とインサイト結果を EventBridge に送信できるカスタムアクションを作成することもできます。

次に、それぞれの種類のイベントに応答するように EventBridge ルールを設定します。

EventBridge の使用方法の詳細については、「[https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)」を参照してください。

**注記**  
ベストプラクティスとして、EventBridge にアクセスするためにユーザーに付与されたアクセス許可が、必要なアクセス許可のみを付与する最小特権 AWS Identity and Access Management (IAM) ポリシーを使用していることを確認してください。  
詳細については、「[Amazon EventBridge でのアイデンティティとアクセス管理](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html)」を参照してください。

クロスアカウント自動応答と修復用のテンプレートのセットは、 AWS ソリューションでも使用できます。このテンプレートでは、EventBridge イベントルールと Lambda 関数を利用します。 CloudFormation および を使用してソリューションをデプロイします AWS Systems Manager。このソリューションによって、完全に自動化された応答と修復のアクションが作成されます。また、Security Hub CSPM カスタムアクションを使用して、ユーザによってトリガーされる応答と修復のアクションを作成することもできます。ソリューションの設定方法と使用方法の詳細については、「[AWSでの自動化されたセキュリティ対応](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)」ソリューションページを参照してください。

**Topics**
+ [EventBridge の Security Hub CSPM イベントタイプ](securityhub-cwe-integration-types.md)
+ [Security Hub CSPM の EventBridge イベント形式](securityhub-cwe-event-formats.md)
+ [Security Hub CSPM の検出結果の EventBridge ルールの設定](securityhub-cwe-all-findings.md)
+ [カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)

# EventBridge の Security Hub CSPM イベントタイプ
<a name="securityhub-cwe-integration-types"></a>

Security Hub CSPM では、次の Amazon EventBridge イベントタイプを使用して、EventBridge と統合します。

Security Hub CSPM の EventBridge ダッシュボードの **[すべてのイベント]** には、これらのイベントタイプがすべて含まれています。

## すべての結果 (Security Hub Findings - Imported)
<a name="securityhub-cwe-integration-types-all-findings"></a>

 Security Hub CSPM は、すべての新しい検出結果と既存の検出結果のすべての更新を **Security Hub Findings - Imported** イベントとして EventBridge に自動的に送信します。各 **Security Hub Findings - Imported** イベントには 1 つの結果が含まれています。

どの [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) および [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) リクエストでも **Security Hub Findings - Imported** イベントがトリガーされます。

管理者アカウントの場合、EventBridge のイベントフィードには、管理者アカウントとメンバーアカウントの両方からの結果に関するイベントが含まれます。

集約リージョンでは、イベントフィードには、集約リージョンとリンクされたリージョンからの結果のイベントが含まれます。クロスリージョン結果は、ほぼリアルタイムでイベントフィードに追加されます。結果の集約を設定する方法については、「[Security Hub CSPM でのクロスリージョン集約について](finding-aggregation.md)」を参照してください。

検出結果を自動的に修復ワークフロー、サードパーティーツール、または[その他のサポートされている EventBridge ターゲット](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)にルーティングするルールを EventBridge で定義できます。ルールでは、結果に特定の属性値が含まれている場合にのみルールを適用するフィルターを指定できます。

このメソッドを使用して、すべての結果、または固有の特徴を持つすべての結果を応答または修復ワークフローに自動的に送信します。

「[Security Hub CSPM の検出結果の EventBridge ルールの設定](securityhub-cwe-all-findings.md)」を参照してください。

## カスタムアクションの結果 (Security Hub Findings - Custom Action)
<a name="securityhub-cwe-integration-types-finding-custom-action"></a>

Security Hub CSPM では、カスタムアクションに関連付けられた結果も **Security Hub Findings - Custom Action**イベントとして EventBridge に送信します。

これは、Security Hub CSPM コンソールを操作し、特定の検出結果、または少数の一連の検出結果を応答または修復ワークフローに送信するアナリストの役に立ちます。一度に最大 20 件の結果のカスタムアクションを選択できます。各結果は、個別の EventBridge イベントとして EventBridge に送信されます。

カスタムアクションを作成したら、カスタムアクションにカスタムアクション ID を割り当てます。この ID を使用すると、そのカスタムアクション ID に関連付けられた結果を受け取った後、指定されたアクションを実行する EventBridge ルールを作成できます。

「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。

例えば、Security Hub CSPM で `send_to_ticketing` というカスタムアクションを作成するとします。次に EventBridge で、`send_to_ticketing` カスタムアクション ID を含む結果を EventBridge が受信したときにトリガーされるルールを作成します。ルールには、結果をチケット発行システムに送信するロジックが含まれています。次に、Security Hub CSPM 内で結果を選択して Security Hub CSPM のカスタムアクションを使用して、手動で結果をチケット発行システムに送信できます。

さらなる処理のために Security Hub CSPM の検出結果を EventBridge に送信する方法の例については、 AWS パートナーネットワーク (APN) ブログの[AWS 「Security Hub CSPM カスタムアクションを PagerDuty と統合](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/)する方法」および[AWS 「Security Hub CSPM でカスタムアクションを有効にする方法](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/)」を参照してください。

## カスタムアクションのインサイト結果 (Security Hub Insight Results)
<a name="securityhub-cwe-integration-types-insight-custom-action"></a>

カスタムアクションを使用すると、インサイト結果のセットも **Security Hub Insight Results** イベントとして EventBridge に送信できます。インサイト結果は、インサイトに一致するリソースです。インサイト結果を EventBridge に送信するとき、結果を EventBridge に送信しているわけではないことに注意してください。インサイト結果に関連付けられたリソース識別子を送信しているだけです。最大 100 個のリソース識別子を一度に送信できます。

検出結果に対するカスタムアクションと同様に、Security Hub CSPM でカスタムアクションを作成してから、EventBridge でルールを作成します。

「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。

例えば、同僚と共有する必要がある特定のインサイト結果があるとします。この場合、カスタムアクションを使用して、チャットまたはチケット発行システム経由で、そのインサイト結果を同僚に送信できます。

# Security Hub CSPM の EventBridge イベント形式
<a name="securityhub-cwe-event-formats"></a>

**Security Hub Findings - Imported**、**Security Findings - Custom Action**、および **Security Hub Insight Results** イベントタイプでは、次のイベント形式を使用します。

イベント形式は、Security Hub CSPM が EventBridge にイベントを送信するときに使用される形式です。

## Security Hub Findings - Imported
<a name="securityhub-cwe-event-formats-findings-imported"></a>

Security Hub CSPM から EventBridge に送信される **Security Hub Findings - Imported** イベントには、次の形式が使用されます。

```
{
   "version":"0",
   "id":"CWE-event-id",
   "detail-type":"Security Hub Findings - Imported",
   "source":"aws.securityhub",
   "account":"111122223333",
   "time":"2019-04-11T21:52:17Z",
   "region":"us-west-2",
   "resources":[
      "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
   ],
   "detail":{
      "findings": [{
         <finding content>
       }]
   }
}
```

`<finding content>` は、イベントによって送信される結果の JSON 形式のコンテンツです。各イベントは 1 つの結果を送信します。

結果の属性の詳細なリストについては、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

このようなイベントによってトリガーされる EventBridge ルールを設定する方法については、「[Security Hub CSPM の検出結果の EventBridge ルールの設定](securityhub-cwe-all-findings.md)」を参照してください。

## Security Hub Findings - Custom Action
<a name="securityhub-cwe-event-formats-findings-custom-action"></a>

Security Hub CSPM から EventBridge に送信される **Security Hub Findings - Custom Action** イベントには、次の形式が使用されます。各結果は個別のイベントで送信されます。

```
{
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Findings - Custom Action",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2019-04-11T18:43:48Z",
  "region": "us-west-1",
  "resources": [
    "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
  ],
  "detail": {
    "actionName":"custom-action-name",
    "actionDescription": "description of the action",
    "findings": [
      {
        <finding content>
      }
    ]
  }
}
```

`<finding content>` は、イベントによって送信される結果の JSON 形式のコンテンツです。各イベントは 1 つの結果を送信します。

結果の属性の詳細なリストについては、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

このようなイベントによってトリガーされる EventBridge ルールを設定する方法については、「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。

## Security Hub Insight Results
<a name="securityhub-cwe-event-formats-insight-results"></a>

Security Hub CSPM から EventBridge に送信される **Security Hub Insight Results** イベントには、次の形式が使用されます。

```
{ 
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Insight Results",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2017-12-22T18:43:48Z",
  "region": "us-west-1",
  "resources": [
      "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
  ],
  "detail": {
    "actionName":"name of the action",
    "actionDescription":"description of the action",
    "insightArn":"ARN of the insight",
    "insightName":"Name of the insight",
    "resultType":"ResourceAwsIamAccessKeyUserName",
    "number of results":"number of results, max of 100",
    "insightResults": [
        {"result 1": 5},
        {"result 2": 6}
    ]
  }
}
```

このようなイベントによってトリガーされる EventBridge ルールを作成する方法については、「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。

# Security Hub CSPM の検出結果の EventBridge ルールの設定
<a name="securityhub-cwe-all-findings"></a>

**Security Hub Findings - Imported** イベントの受信時に実行するアクションを定義するルールを Amazon EventBridge で作成できます。**Security Hub Findings - Imported** イベントは、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションと [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) オペレーションの両方による更新によってトリガーされます。

各ルールには、ルールをトリガーするイベントを識別するイベントパターンが含まれています。イベントパターンにはイベントソース (`aws.securityhub`) とイベントタイプ (**Security Hub Findings - Imported**) が必ず含まれています。イベントパターンでは、ルールが適用される結果を識別するためのフィルターを指定することもできます。

次に、イベントルールによってルールターゲットが識別されます。ターゲットは、EventBridge が **Security Hub Findings - Imported** イベントを受信し、検索条件がフィルターと一致したときに実行されるアクションです。

ここで説明する手順では、EventBridge コンソールを使用します。このコンソールを使用すると、EventBridge による Amazon CloudWatch Logs への書き込みを有効にする必要なリソースベースポリシーが EventBridge によって自動的に作成されます。

また、EventBridge API の [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) オペレーションを使用することもできます。ただし、EventBridge API を使用する場合は、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、「*Amazon EventBridge ユーザーガイド*」の「[CloudWatch Logs の許可](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)」を参照してください。

## イベントパターンの形式
<a name="securityhub-cwe-all-findings-rule-format"></a>

**Security Hub Findings - Imported** イベントのイベントパターンの形式は次のとおりです。

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}
```
+ `source` は、イベントを生成するサービスとして Security Hub CSPM を識別します。
+ `detail-type` は、イベントのタイプを示します。
+ `detail` はオプションで、イベントパターンのフィルター値を提供します。イベントパターンに `detail` フィールドが含まれていない場合、すべての結果でルールがトリガーされます。

結果は、どの結果属性に基づいてもフィルタリングできます。属性ごとに、1 つ以上の値のカンマ区切りの配列を指定します。

```
"<attribute name>": [ "<value1>", "<value2>"]
```

属性に複数の値を指定すると、それらの値は `OR` で結合されます。結果にリストされている値が含まれている場合、結果は個々の属性のフィルターと一致しています。例えば、`Severity.Label` の値として `INFORMATIONAL` と `LOW` の両方を指定した場合、結果に `INFORMATIONAL` または `LOW` の重要度ラベルが含まれていると、結果は一致となります。

属性が `AND` で結合されている場合、結果が、指定されたすべての属性のフィルター条件に一致すると、その結果は一致となります。

属性値を指定するときは、 AWS Security Finding Format (ASFF) 構造内のその属性の場所を反映する必要があります。

**ヒント**  
コントロールの検出結果をフィルタリングする場合は、`Title` または `Description` ではなく、`SecurityControlId` または `SecurityControlArn` [ASFF フィールド](securityhub-findings-format.md)をフィルターとして使用することをお勧めします。前者のフィールドは変更される可能性がありますが、コントロール ID と ARN は静的な識別子です。

次の例では、イベントパターンによって `ProductArn` と `Severity.Label` のフィルタ値が提供されています。したがって、Amazon Inspector が生成し、その重要度のラベルが `INFORMATIONAL` または `LOW` である場合は、結果が一致します。

```
{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}
```

## イベントルールの作成
<a name="securityhub-cwe-all-findings-predefined-pattern"></a>

定義済みのイベントパターンまたはカスタムのイベントパターンを使用して、EventBridge でルールを作成することができます。定義済みのパターンを選択した場合、EventBridge で `source` と `detail-type` が自動的に入力されます。EventBridge には、次の結果の属性のフィルター値を指定するフィールドもあります。
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`

**EventBridge ルールを作成する (コンソール)**

1. Amazon EventBridge コンソールの [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) を開いてください。

1. 次の値を使用して、検索イベントをモニタリングする EventBridge ルールを作成します。
   + **[ルールタイプ]** で、**[イベントパターンを持つルール]** を選択してください。
   + イベントパターンの作成方法を選択します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
   + **ターゲットタイプ**で**AWS サービス**を選択し、**ターゲットの選択**で Amazon SNS トピックや AWS Lambda 関数などのターゲットを選択します。ターゲットは、ルールで定義したイベントパターンに一致するイベントが返されたときにトリガーされます。

   ルールの作成に関する詳細については、「*Amazon EventBridge ユーザーガイド*」の「[イベントに反応する Amazon EventBridge ルールの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)」を参照してください。

# カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する
<a name="securityhub-cwe-custom-actions"></a>

 AWS Security Hub CSPM カスタムアクションを使用して検出結果またはインサイト結果を Amazon EventBridge に送信するには、まず Security Hub CSPM でカスタムアクションを作成します。次に、EventBridge でカスタムアクションに適用されるルールを定義できます。

最大 50 個のカスタムアクションを作成できます。

クロスリージョン集約を有効にし、集約リージョンの結果を管理する場合は、集約リージョンでカスタムアクションを作成します。

EventBridge のルールでは、カスタムアクションの Amazon リソースネーム (ARN)が使用されます。

# カスタムアクションを作成する
<a name="securityhub-cwe-configure"></a>

 AWS Security Hub CSPM でカスタムアクションを作成するときは、その名前、説明、一意の識別子を指定します。

カスタムアクションは、EventBridge イベントが EventBridge ルールと一致するときに実行するアクションを指定します。Security Hub CSPM は、各検出結果をイベントとして EventBridge に送信します。

ご希望の方法を選択し、次の手順を従ってカスタムアクションを作成します。

------
#### [ Console ]

**Security Hub CSPM (コンソール) でカスタムアクションを作成するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Settings]** (設定) を選択して、**[Custom actions]** (カスタムアクション) を選択します。

1. **[Create custom action]** (カスタムアクションの作成) を選択します。

1. アクションの **[Name]** (名前)、**[Description]** (説明)、および **[Custom action ID]** (カスタムアクション ID) を指定します。

   **[Name]** (名前) は 20 文字未満で指定する必要があります。

   **[Custom action ID]** (カスタムアクション ID) は AWS アカウントごとに一意にする必要があります。

1. **[Create custom action]** (カスタムアクションの作成) を選択します。

1. **[Custom action ARN]** (カスタムアクション ARN) を書き留めます。この ARN は、EventBridge でルールを作成してこのアクションに関連付けるときに使用する必要があります。

------
#### [ API ]

**カスタムアクションを作成するには (API)**

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html) 操作を使用します。を使用している場合は AWS CLI、[create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html) コマンドを実行します。

次の例では、カスタムアクションを作成して、検出結果を修復ツールに送信します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```

------

# EventBridge でルールを定義する
<a name="securityhub-cwe-define-rule"></a>

Amazon EventBridge でカスタムアクションをトリガーするには、EventBridge で対応するルールを作成する必要があります。ルールの定義には、カスタムアクションの Amazon リソースネーム (ARN) が含まれます。

**Security Hub Findings - Custom Action** イベントのイベントパターンの形式は次のとおりです。

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

**Security Hub Insight Results** イベントのイベントパターンの形式は次のとおりです。

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

どちらのパターンでも、`<custom action ARN>` がカスタムアクションの ARN です。したがって、複数のカスタムアクションに適用されるルールを構成できます。

ここで説明する手順では、EventBridge コンソールを使用します。このコンソールを使用すると、EventBridge による CloudWatch Logs への書き込みを有効にする必要なリソースベースポリシーが EventBridge によって自動的に作成されます。

また、EventBridge API の [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) API オペレーションを使用することもできます。ただし、EventBridge API を使用する場合は、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、「*Amazon EventBridge ユーザーガイド*」の「[CloudWatch Logs permissions](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)」を参照してください。

**EventBridge でルールを定義するには (EventBridge コンソール)**

1. Amazon EventBridge コンソール ([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)) を開きます。

1. ナビゲーションペインで **[ルール]** を選択します。

1. **[ルールの作成]** を選択します。

1. ルールの名前と説明を入力します。

1. **[イベントバス]** では、このルールに関連付けるイベントバスを選択します。このルールをアカウントからのイベントと一致させるには、**[default]** (デフォルト) を選択します。アカウントの AWS サービスがイベントを発行すると、常にアカウントのデフォルトのイベントバスに移動します。

1. **[Rule type]** (ルールタイプ) では、**[Rule with an event pattern]** (イベントパターンを持つルール) を選択します。

1. **[Next]** (次へ) を選択します。

1. **[Event source]** (イベントソース) で、**[AWS events]** (イベント) を選択します。

1. **[イベントパターン]** で、**[イベントパターンフォーム]** を選択します。

1. **[イベントパターンフォーム]** では、**AWS [サービス]** を選択します。

1. **[AWS のサービス]** で、**[Security Hub]** を選択します。

1. [**イベントタイプ**] の場合は、次のいずれかの操作を実行します。
   + 結果をカスタムアクションに送信するときに適用するルールを作成するには、**[Security Hub Findings - Custom Action]** (Security Hub 結果 - カスタムアクション) を選択します。
   + インサイト結果をカスタムアクションに送信するときに適用するルールを作成するには、**[Security Hub Insight Results]** (Security Hub インサイト結果) を選択します。

1. **[Specific custom action ARNs]** (特定のカスタムアクション ARN) を選択し、カスタムアクション ARN を追加します。

   このルールを複数のカスタムアクションに適用する場合は、**[Add]** (追加) を選択し、カスタムアクション ARN をさらに追加します。

1. [**次へ**] を選択します。

1. **[Select targets]** (ターゲットの選択) で、このルールが一致した場合に呼び出すターゲットを選択し設定します。

1. [**次へ**] を選択します。

1. (オプション) ルールに 1 つ以上のタグを入力します。詳細については、*Amazon EventBridge ユーザーガイド*の[Amazon EventBridge のタグ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)を参照してください。

1. **次へ**をクリックします。

1. ルールの詳細を確認し、**ルールの作成** を選択します。

   アカウントで、結果またはインサイト結果に対してカスタムアクションを実行すると、EventBridge でイベントが生成されます。

# 結果とインサイト結果のカスタムアクションを選択する
<a name="securityhub-cwe-send"></a>

 AWS Security Hub CSPM カスタムアクションと Amazon EventBridge ルールを作成したら、検出結果とインサイト結果を EventBridge に送信して、自動管理と処理を行うことができます。

イベントは、そのイベントが表示されているアカウントでのみ、EventBridge に送信されます。管理者アカウントを使用して結果を表示すると、イベントは管理者アカウントで EventBridge に送信されます。

 AWS API コールを有効にするには、ターゲットコードの実装でロールをメンバーアカウントに切り替える必要があります。つまり、切り替えるロールは、アクションが必要な各メンバーにもデプロイされる必要があります。

**検出結果を EventBridge に送信するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. 結果のリストを表示します。
   + **[Findings]** (結果) では、有効になっているすべての製品の統合とコントロールの結果を表示できます。
   + **[セキュリティ標準]** では、特定のコントロールから生成された検出結果のリストに移動できます。詳細については、「[Security Hub CSPM でのコントロールの詳細の確認](securityhub-standards-control-details.md)」を参照してください。
   + **[Integrations]** (統合) では、有効にした統合によって生成された結果のリストに移動できます。詳細については、「[Security Hub CSPM 統合からの検出結果の表示](securityhub-integration-view-findings.md)」を参照してください。
   + **[Insights]** (インサイト) では、インサイト結果のリストに移動できます。詳細については、「[Security Hub CSPM でのインサイトの確認と対応](securityhub-insights-view-take-action.md)」を参照してください。

1. 結果を選択して、EventBridge に送信します。一度に最大 20 件の結果を選択できます。

1. **[Actions]** (アクション) ドロップダウンから、適用する EventBridge ルールと一致するカスタムアクションを選択します。

   Security Hub CSPM によって、検出結果ごとに個別の **Security Hub Findings – Custom Action** イベントが送信されます。

**インサイト結果を EventBridge に送信するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. **[Insights]** (インサイト) ページで、EventBridge に送信する結果が含まれているインサイトを選択します。

1. EventBridge に送信するインサイト結果を選択します。一度に最大 20 件の結果を選択できます。

1. **[Actions]** (アクション) ドロップダウンから、適用する EventBridge ルールと一致するカスタムアクションを選択します。

# Security Hub CSPM のダッシュボードでの作業
<a name="dashboard"></a>

Security Hub CSPM コンソールで、**[概要]** ダッシュボードにリスク、攻撃シーケンス、セキュリティカバレッジの概要が表示されます。このダッシュボードは、さまざまなセキュリティ機能の重要度とアカウントカバレッジに基づいてリスクと攻撃シーケンスを特定するのに役立ちます。ダッシュボードを開くたびに、自動的に更新されます。ただし、セキュリティスコアとコントロールステータスは 24 時間ごとに更新されます。

**[概要]** ダッシュボードは、さまざまなセキュリティウィジェットを追加または削除することでカスタマイズできます。フィルター条件を指定して、特定のタイプのデータを取得して表示することもできます。ダッシュボードをカスタマイズすると、Security Hub はカスタマイズ設定を保存します。アカウントの他のユーザーがダッシュボードをカスタマイズした場合、その変更は自分のカスタマイズ設定とは別に保存されます。

Security Hub CSPM でクロスリージョン集約を設定した場合、**[概要]** ダッシュボードに集約データが表示されます。アカウントが組織の委任管理者アカウントである場合、データにはアカウントとメンバーアカウントの検出結果が含まれます。アカウントがメンバーアカウントまたはスタンドアロンアカウントの場合、データにはそのアカウントの検出結果のみが含まれます。

**Topics**
+ [[概要] ダッシュボードで利用できるウィジェット](#available-widgets)
+ [ダッシュボードのフィルタリング](filters-dashboard.md)
+ [ダッシュボードのカスタマイズ](customize-dashboard.md)

## [概要] ダッシュボードで利用できるウィジェット
<a name="available-widgets"></a>

**概要**ダッシュボードには、最新のクラウドセキュリティ脅威の状況を反映したウィジェットが含まれており、 AWS 顧客のセキュリティオペレーションとエクスペリエンスに導かれています。ウィジェットには、デフォルトで表示されるものもあれば、表示されないものもあります。ウィジェットを追加または削除することで、ダッシュボードの表示をカスタマイズできます。

ウィジェットを追加するには、ダッシュボードの上部にある **[ウィジェットの追加]** を選択します。その後、使用可能なウィジェットのリストを参照するか、検索バーにウィジェットのタイトルを入力できます。追加するウィジェットを見つけたら、ダッシュボードに表示する場所にドラッグします。詳細については、「[ ダッシュボードのカスタマイズ](customize-dashboard.md)」を参照してください。

### デフォルトで表示されるウィジェット
<a name="widgets-shown-default"></a>

デフォルトでは、**[概要]** ダッシュボードには以下のウィジェットが表示されます。

**上位の脅威シーケンス**  
重要度が最も高い脅威シーケンスを表示します。Amazon GuardDuty の*攻撃シーケンスの検出結果と呼ばれる脅威シーケンスの検出結果は*、複数のイベントを関連付けて AWS 、環境に対する潜在的な脅威を特定します。脅威シーケンスには、さらなる侵害につながる可能性のある、環境内で進行中または直近 24 時間以内に発生した攻撃動作が含まれる場合があります。Security Hub CSPM で脅威シーケンスの検出結果を受信するには、GuardDuty と GuardDuty S3 Protection が有効になっている必要があります。

**トップリスク**  
環境内の上位リスクの概要を表示します。ウィジェットの上部には、各重要度レベルのリスク数が表示されます。重要度レベルを選択すると、選択した重要度レベルにフィルタリングされたリスクを含む **[リスク]** ページに移動します。ご使用の環境内で、発生頻度が最も多いリスクが最初に表示されます。このウィジェットは、軽減するリスクの優先順位付けに役立ちます。

**セキュリティカバレッジ**  
カバレッジコントロールの検出結果に基づいて、セキュリティカバレッジの範囲を要約します。カバレッジコントロールは、特定の AWS のサービス とその機能が有効になっているかどうかを確認します (例: [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1))。このウィジェットは、カバレッジコントロールの `PASSED` 検出結果があることを確認するのに役立ちます。Security Hub CSPM コンソールには、欠落しているセキュリティ機能を有効にするために、このウィジェットからのリンクが用意されています。中央設定を使用して、複数の AWS アカウント と で欠落しているセキュリティ機能を有効にすることをお勧めします AWS リージョン。詳細については、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

**セキュリティ標準**  
最新の概要セキュリティスコアと Security Hub CSPM 標準ごとのセキュリティスコアが表示されます。セキュリティスコア (0～100%) は、有効になっているすべてのコントロールに対する合格したコントロールの割合を表します。スコアの詳細については、「[セキュリティスコアの計算方法](standards-security-score.md#standard-security-score-calculation)」を参照してください。このウィジェットは、全体的なセキュリティ体制を把握するのに役立ちます。

**最も検出結果の多いアセット**  
検出結果が最も多いリソース、アカウント、アプリケーションの概要を示します。リストは、検出結果の数によって降順にソートされます。ウィジェットの各タブには、そのカテゴリの上位 6 つの項目が重大度とリソースタイプ別にグループ化されて表示されます。**[合計検出結果]** 列で数値を選択すると、Security Hub CSPM にはアセットの検出結果を表示するページが開きます。このウィジェットは、どのコアアセットに潜在的なセキュリティ脅威があるかをすばやく特定するのに役立ちます。

**リージョン別の検出結果**  
Security Hub CSPM が有効になっている AWS リージョン ごとの検出結果の総数を、重大度でグループ化して表示します。このウィジェットは、特定のリージョンに影響を与える可能性のあるセキュリティ問題を特定するのに役立ちます。集約リージョンでダッシュボードを開くと、このウィジェットはリンクされたリージョンごとに発生する可能性のあるセキュリティ問題をモニタするのに役立ちます。

**最も一般的な脅威のタイプ**  
 AWS 環境内の最も一般的な 10 種類の脅威の内訳を提供します。これには、権限のエスカレーションや、公開されている認証情報の使用、悪意のある IP アドレスでの通信などの脅威が含まれます。  
このデータを表示するには、[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) が有効になっている必要があります。有効になっている場合は、このウィジェットで脅威の種類を選択して GuardDuty コンソールを開き、この脅威に関連する検出結果を確認します。このウィジェットは、他のセキュリティ問題との関連で潜在的な脅威を評価するのに役立ちます。

**エクスプロイトを伴うソフトウェアの脆弱性**  
 AWS 環境に存在し、既知のエクスプロイトがあるソフトウェアの脆弱性の概要を提供します。また、修正できる脆弱性と修正できない脆弱性の内訳を確認することもできます。  
このデータを表示するには、[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html) が有効になっている必要があります。有効になっている場合は、このウィジェットで統計を選択して Amazon Inspector コンソールを開き、脆弱性に関する詳細を確認します。このウィジェットは、他のセキュリティ問題との関連でソフトウェアの脆弱性を評価するのに役立ちます。

**時間の経過に伴う新しい検出結果の数**  
過去 90 日間の新しい日次検出結果の数の傾向を示します。データを重大度別またはプロバイダー別に分類して、さらに詳しい情報を得ることができます。このウィジェットは、過去 90 日間の特定の時期に検出結果の数が急増または減少したかどうかを把握するのに役立ちます。

**最も検出結果の多いリソース**  
最も多くの検出結果を生成したリソースの概要を、Amazon Simple Storage Service (Amazon S3) バケット、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、および AWS Lambda 関数のリソースタイプ別に示します。  
ウィジェットの各タブは、上記のリソースタイプの 1 つに焦点を当て、最も多くの検出結果を生成した 10 個のリソースインスタンスを一覧表示します。特定のリソースの検出結果を確認するには、リソースインスタンスを選択します。このウィジェットは、一般的な AWS リソースに関連付けられているセキュリティ検出結果をトリアージするのに役立ちます。

### デフォルトでは非表示のウィジェット
<a name="widgets-hidden-default"></a>

**[概要]** ダッシュボードでは以下のウィジェットも使用できますが、デフォルトでは非表示になっています。

**最も検出結果の多い AMI**  
最も多くの検出結果が得られた 10 個の Amazon マシンイメージ (AMI) のリストを表示します。このデータは、アカウントで Amazon EC2 が有効になっている場合にのみ利用できます。どの AMI が潜在的なセキュリティリスクをもたらすかを特定するのに役立ちます。

**最も検出結果の多い IAM プリンシパル**  
最も多くの検出結果を生成した 10 AWS Identity and Access Management (IAM) ユーザーのリストを提供します。このウィジェットは、管理タスクや請求タスクを実行するのに役立ちます。Security Hub CSPM の使用状況に最も影響を与えているユーザーが表示されます。

**最も検出結果の多いアカウント (重大度別)**  
最も多くの検出結果が得られた 10 個のアカウントのグラフを、重大度別にグループ化して表示します。このウィジェットは、分析と対策の取り組みをどのアカウントに集中させるかを判断するのに役立ちます。

**最も検出結果の多いアカウント (リソースタイプ別)**  
最も多くの検出結果が得られた 10 個のアカウントのグラフを、リソースタイプ別にグループ化して表示します。このウィジェットは、どのアカウントとリソースタイプを分析と対策で優先するかについて判断するのに役立ちます。

**インサイト**  
[Security Hub CSPM が管理する 5 つのインサイト](securityhub-managed-insights.md)と、それらによって生成された検出結果の数を一覧表示します。インサイトは、注意が必要な特定のセキュリティ領域を識別します。

** AWS 統合からの最新の検出結果**  
[統合された AWS のサービス](securityhub-internal-providers.md) から Security Hub CSPM で受信した検出結果の数を表示します。また、各統合サービスから最近の検出結果を取得した日時も表示されます。このウィジェットは、複数の から統合された結果データを提供します AWS のサービス。ドリルダウンするには、統合サービスを選択します。これにより、そのサービスのコンソールが Security Hub CSPM で開きます。

# Security Hub CSPM の [概要] ダッシュボードをフィルタリング
<a name="filters-dashboard"></a>

Security Hub CSPM コンソールの **[概要]** ダッシュボードをキュレートして、自分に最も関連性の高いセキュリティデータのみを含めることができます。例えば、アプリケーションチームのメンバーであれば、本稼働環境にある重要なアプリケーション専用のビューを作成できます。セキュリティチームのメンバーであれば、重大度の高い検出結果に焦点を当てるのに役立つ専用ビューを作成するとよいでしょう。

これらのキュレートされたビューを作成するには、ダッシュボードの上にあるフィルターボックスにフィルター条件を入力します。フィルター条件を適用すると、その条件は **[インサイト]** ウィジェットと **[セキュリティ基準]** ウィジェット内のデータを除く、ダッシュボード上のすべてのデータとウィジェットに適用されます。ダッシュボードで使用可能なウィジェットのリストについては、「[[概要] ダッシュボードで利用できるウィジェット](dashboard.md#available-widgets)」を参照してください。

以下のフィールドを使用してデータをフィルタリングできます。
+ アカウント名
+ アカウント ID
+ アプリケーション ARN
+ アプリケーション名
+ 製品名 (Security Hub CSPM に結果を送信する AWS のサービス またはサードパーティー製品の場合)
+ レコードの状態
+ リージョン
+ リソースタグ
+ 緊急度
+ ワークフローステータス

デフォルトでは、`Workflow.Status` が `NOTIFIED` または `NEW`、`RecordState` が `ACTIVE` という条件を使用してダッシュボードデータをフィルタリングします。これらの条件は、ダッシュボードの上、フィルターボックスの下に表示されます。これらの条件を削除するには、削除する条件のフィルタートークンで **[X]** を選択します。

再使用するフィルター条件を適用する場合は、*フィルターセット*として保存できます。フィルターセットは一連のフィルター条件であり、**[概要]** ダッシュボードでデータを確認するときに再適用するために作成し保存します。アプリケーション ARN、アプリケーション名、リソースタグのフィールドを除く使用可能なフィールドのいずれかを使用するフィルターセットを作成して保存できます。

## フィルターセットの作成と保存
<a name="save-filter-set"></a>

フィルターセットを作成して保存するには、以下の手順に従います。

**フィルターセットを作成して保存するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **概要**を選択します。

1. **[概要]** ダッシュボードの上にあるフィルターボックスに、フィルターセットのフィルター条件を入力します。

1. **[フィルターをクリア]** メニューで、**[新しいフィルターセットを保存]** を選択します。

1. **[フィルターセットを保存]** ダイアログボックスで、フィルターセットの名前を入力します。

1. (オプション) **[概要]** ページを開くたびにこのフィルターセットをデフォルトで使用するには、このオプションを選択してデフォルトビューとして設定します。

1. **[保存]** を選択します。

作成して保存したフィルターセットを切り替えるには、**[概要]** ダッシュボードの上にある **[フィルターセットを選択]** メニューを使用します。フィルタセットを選択すると、Security Hub CSPM はフィルタセットの条件をダッシュボード上のデータに適用します。

## フィルターセットの更新または削除
<a name="update-delete-filter-set"></a>

既存のフィルターセットを更新または削除するには、以下の手順を実行します。現在 **[概要]** ダッシュボードのデフォルトビューとして設定されているフィルターセットを削除すると、デフォルトビューはデフォルトの Security Hub CSPM ビューにリセットされます。

**フィルターセットを更新または削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **概要**を選択します。

1. **[概要]** ページの上にある **[フィルターセットを選択]** メニューで、フィルターセットを選択します。

1. **[フィルターをクリア]** メニューで、以下のいずれかを実行します。
   + フィルターセットを更新するには、**[現在のフィルターセットを更新]** を選択します。次に、表示されるダイアログボックスに変更内容を入力します。
   + フィルターセットを削除するには、**[現在のフィルターセットを削除]** を選択します。次に、表示されたダイアログボックスで、**[削除]** を選択します。

# Security Hub CSPM の [概要] ダッシュボードをカスタマイズ
<a name="customize-dashboard"></a>

Security Hub CSPM コンソールの **[概要]** ダッシュボードはいくつかの方法でカスタマイズできます。例えば、ダッシュボードにウィジェットを追加したり、削除したりできます。ダッシュボード上のウィジェットの配置やサイズを変更することもできます。使用可能なウィジェットのリストとそれぞれの説明については、「[[概要] ダッシュボードで利用できるウィジェット](dashboard.md#available-widgets)」を参照してください。

ダッシュボードをカスタマイズすると、Security Hub CSPM は変更をすぐに適用し、新しいダッシュボード設定を保存します。変更は、すべての AWS リージョン およびブラウザのダッシュボードのビューに適用されます。

****[概要]** ダッシュボードをカスタマイズするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **概要**を選択します。

1. 次のいずれかを実行します。
   + ウィジェットを追加するには、ページの右上隅の **[ウィジェットを追加]** を選択します。検索バーに、追加するウィジェットのタイトルを入力します。次に、ウィジェットを目的の位置にドラッグします。
   + ウィジェットを削除するには、ウィジェットの右上隅にある 3 つのドットを選択します。
   + ウィジェットを移動するには、ウィジェットの左上隅にあるハンドルを選択し、ウィジェットを目的の位置にドラッグします。
   + ウィジェットのサイズを変更するには、ウィジェットの右下隅にあるリサイズハンドルを選択します。ウィジェットの端を、希望のサイズになるまでドラッグします。

後で元の設定に戻すには、ページ上部の **[デフォルトのレイアウトにリセット]** を選択します。

# Security Hub CSPM のリージョンの制限
<a name="securityhub-regions"></a>

一部の AWS Security Hub CSPM 機能は、特定の でのみ使用できます AWS リージョン。以下のセクションでは、これらのリージョン制限を示します。Security Hub CSPM を現在利用できるすべてのリージョンの完全なリストについては、「*AWS 全般のリファレンス*」の「[AWS Security Hub endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/sechub.html)」を参照してください。

## クロスリージョン集約の制限
<a name="securityhub-regions-finding-aggregation-support"></a>

では AWS GovCloud (US) Regions、[クロスリージョン集約](finding-aggregation.md)は、 の検出結果、検出結果の更新、インサイト AWS GovCloud (US) Regions に対してのみ使用できます。具体的には、 AWS GovCloud (米国東部) リージョンと GovCloud AWS GovCloud (米国西部) リージョン間でのみ、検出結果、検出結果の更新、インサイトを集約できます。

中国リージョンでは、クロスリージョン集約は、中国リージョンの結果、結果の更新、インサイトにのみ使用できます。具体的には、中国 (北京) と中国 (寧夏) のリージョン間のみの検出結果、検出結果の更新、インサイトのみを集約できます。

デフォルトで無効になっているリージョンは、集約リージョンとして使用できません。デフォルトで無効になっているリージョンのリストについては、「 *AWS アカウント管理 リファレンスガイド*」の[「アカウント AWS リージョン で有効または無効に](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)する」を参照してください。

## リージョン別の統合の可用性
<a name="securityhub-regions-integration-support"></a>

一部の統合は、すべてで利用できるわけではありません AWS リージョン。Security Hub CSPM コンソールで現在サインインしているリージョンで統合が使用できない場合、**[統合]** ページには表示されません。

### 中国 (北京) および中国 (寧夏) リージョンでサポートされている統合
<a name="securityhub-regions-integration-support-china"></a>

中国 (北京) および中国 (寧夏) リージョンでは、Security Hub CSPM は以下の [AWS のサービスとの統合](securityhub-internal-providers.md)のみをサポートしています。
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Identity and Access Management Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender
+ AWS Systems Manager Explorer
+ AWS Systems Manager OpsCenter
+ AWS Systems Manager パッチマネージャー

中国 (北京) および中国 (寧夏) リージョンでは、Security Hub CSPM は以下の[サードパーティーの統合](securityhub-partner-providers.md)のみをサポートしています。
+ Cloud Custodian
+ FireEye Helix
+ Helecloud
+ IBM QRadar
+ PagerDuty
+ Palo Alto Networks Cortex XSOAR
+ Palo Alto Networks VM-Series
+ Prowler
+ RSA Archer
+ Splunk Enterprise
+ Splunk Phantom
+ ThreatModeler

### AWS GovCloud (米国東部) リージョンと AWS GovCloud (米国西部) リージョンでサポートされている統合
<a name="securityhub-regions-integration-support-govcloud"></a>

 AWS GovCloud (米国東部) および AWS GovCloud (米国西部) リージョンでは、Security Hub CSPM は [との次の統合 AWS のサービス](securityhub-internal-providers.md)のみをサポートします。
+ AWS Config
+ Amazon Detective
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Health
+ IAM Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender

 AWS GovCloud (米国東部) および AWS GovCloud (米国西部) リージョンでは、Security Hub CSPM は次の[サードパーティー統合](securityhub-partner-providers.md)のみをサポートしています。
+ Atlassian Jira Service Management
+ Atlassian Jira Service Management Cloud
+ Atlassian OpsGenie
+ Caveonix Cloud
+ Cloud Custodian
+ Cloud Storage Security Antivirus for Amazon S3
+ CrowdStrike Falcon
+ FireEye Helix
+ Forcepoint CASB
+ Forcepoint DLP
+ Forcepoint NGFW
+ Fugue
+ Kion
+ MicroFocus ArcSight
+ NETSCOUT Cyber Investigator
+ PagerDuty
+ Palo Alto Networks – Prisma Cloud Compute
+ Palo Alto Networks – Prisma Cloud Enterprise
+ Palo Alto Networks – VM-Series ( AWS GovCloud (米国西部) でのみ利用できます)
+ Prowler
+ Rackspace Technology – Cloud Native Security
+ Rapid7 InsightConnect
+ RSA Archer
+ ServiceNow ITSM
+ Slack
+ ThreatModeler
+ Vectra AI Cognito Detect

## リージョン別の標準の有無
<a name="securityhub-regions-standards-support"></a>

[AWS Control Tower サービスマネージド標準](service-managed-standard-aws-control-tower.md)は、 がサポート AWS リージョン する AWS Control Tower でのみ使用できます。が AWS Control Tower 現在サポートしているリージョンのリストについては、「 *AWS Control Tower ユーザーガイド*」の[「 の AWS リージョン 仕組み AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)」を参照してください。

[AWS リソースタグ付け標準](standards-tagging.md)は、アジアパシフィック (台北) リージョンでは利用できません。

その他のセキュリティ標準は、Security Hub CSPM が現在利用できる全リージョンで利用可能です。

## リージョン別のコントロールの可用性
<a name="securityhub-regions-control-support"></a>

一部の Security Hub CSPM コントロールは、一部の では使用できません AWS リージョン。各リージョンで使用できないコントロールのリストについては、「[Security Hub CSPM コントロールのリージョンの制限](regions-controls.md)」を参照してください。

現在サインインしているリージョンで使用できない場合、そのコントロールは Security Hub CSPM コンソールのコントロールリストに表示されません。例外は集約リージョンです。集約リージョンを設定し、そのリージョンにサインインすると、コンソールには、集約リージョンまたは 1 つもしくは複数のリンクされたリージョンで利用可能なコントロールが表示されます。

# Security Hub CSPM コントロールのリージョンの制限
<a name="regions-controls"></a>

一部の AWS Security Hub CSPM コントロールは、一部の では使用できません AWS リージョン。このページでは、特定のリージョンで使用できないコントロールを指定します。

現在サインインしているリージョンで使用できない場合、そのコントロールは Security Hub CSPM コンソールのコントロールリストに表示されません。例外は集約リージョンです。集約リージョンを設定し、そのリージョンにサインインすると、コンソールには、集約リージョンまたは 1 つもしくは複数のリンクされたリージョンで利用可能なコントロールが表示されます。

**Topics**
+ [米国東部 (バージニア北部)](#securityhub-control-support-useast1)
+ [米国東部 (オハイオ)](#securityhub-control-support-useast2)
+ [米国西部 (北カリフォルニア)](#securityhub-control-support-uswest1)
+ [米国西部 (オレゴン)](#securityhub-control-support-uswest2)
+ [アフリカ (ケープタウン)](#securityhub-control-support-afsouth1)
+ [アジアパシフィック (香港)](#securityhub-control-support-apeast1)
+ [アジアパシフィック (ハイデラバード)](#securityhub-control-support-apsouth2)
+ [アジアパシフィック (ジャカルタ)](#securityhub-control-support-apsoutheast3)
+ [アジアパシフィック (マレーシア)](#securityhub-control-support-apsoutheast5)
+ [アジアパシフィック (メルボルン)](#securityhub-control-support-apsoutheast4)
+ [アジアパシフィック (ムンバイ)](#securityhub-control-support-apsouth1)
+ [アジアパシフィック (ニュージーランド)](#securityhub-control-support-apsoutheast6)
+ [アジアパシフィック (大阪)](#securityhub-control-support-apnortheast3)
+ [アジアパシフィック (ソウル)](#securityhub-control-support-apnortheast2)
+ [アジアパシフィック (シンガポール)](#securityhub-control-support-apsoutheast1)
+ [アジアパシフィック (シドニー)](#securityhub-control-support-apsoutheast2)
+ [アジアパシフィック (台北)](#securityhub-control-support-apeast2)
+ [アジアパシフィック (タイ)](#securityhub-control-support-apsoutheast7)
+ [アジアパシフィック (東京)](#securityhub-control-support-apnortheast1)
+ [カナダ (中部)](#securityhub-control-support-cacentral1)
+ [カナダ西部 (カルガリー)](#securityhub-control-support-cawest1)
+ [中国 (北京)](#securityhub-control-support-cnnorth1)
+ [中国 (寧夏)](#securityhub-control-support-cnnorthwest1)
+ [欧州 (フランクフルト)](#securityhub-control-support-eucentral1)
+ [欧州 (アイルランド)](#securityhub-control-support-euwest1)
+ [欧州 (ロンドン)](#securityhub-control-support-euwest2)
+ [欧州 (ミラノ)](#securityhub-control-support-eusouth1)
+ [欧州 (パリ)](#securityhub-control-support-euwest3)
+ [欧州 (スペイン)](#securityhub-control-support-eusouth2)
+ [欧州 (ストックホルム)](#securityhub-control-support-eunorth1)
+ [欧州 (チューリッヒ)](#securityhub-control-support-eucentral2)
+ [イスラエル (テルアビブ)](#securityhub-control-support-ilcentral1)
+ [メキシコ (中部)](#securityhub-control-support-mxcentral1)
+ [中東 (バーレーン)](#securityhub-control-support-mesouth1)
+ [中東 (アラブ首長国連邦)](#securityhub-control-support-mecentral1)
+ [南米 (サンパウロ)](#securityhub-control-support-saeast1)
+ [AWS GovCloud (米国東部)](#securityhub-control-support-usgoveast1)
+ [AWS GovCloud (米国西部)](#securityhub-control-support-usgovwest1)

## 米国東部 (バージニア北部)
<a name="securityhub-control-support-useast1"></a>

米国東部 (バージニア北部) リージョンでは、以下のコントロールはサポートされていません。
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 

## 米国東部 (オハイオ)
<a name="securityhub-control-support-useast2"></a>

米国東部 (オハイオ) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## 米国西部 (北カリフォルニア)
<a name="securityhub-control-support-uswest1"></a>

米国西部 (北カリフォルニア) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.47] タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります](rds-controls.md#rds-47) 
+  [[RDS.48] タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります](rds-controls.md#rds-48) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## 米国西部 (オレゴン)
<a name="securityhub-control-support-uswest2"></a>

米国西部 (オレゴン) でリージョンは、以下のコントロールはサポートされていません。
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## アフリカ (ケープタウン)
<a name="securityhub-control-support-afsouth1"></a>

アフリカ (ケープタウン) リージョンでは、以下のコントロールはサポートされていません。
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります](es-controls.md#es-3) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## アジアパシフィック (香港)
<a name="securityhub-control-support-apeast1"></a>

アジアパシフィック (香港) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SES.1] SES 連絡先リストにはタグを付ける必要があります](ses-controls.md#ses-1) 
+  [[SES.2] SES 設定セットにはタグを付ける必要があります](ses-controls.md#ses-2) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## アジアパシフィック (ハイデラバード)
<a name="securityhub-control-support-apsouth2"></a>

アジアパシフィック (ハイデラバード) リージョンでは、以下のコントロールはサポートされていません。
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-40) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## アジアパシフィック (ジャカルタ)
<a name="securityhub-control-support-apsoutheast3"></a>

アジアパシフィック (ジャカルタ) リージョンでは、以下のコントロールはサポートされていません。
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## アジアパシフィック (マレーシア)
<a name="securityhub-control-support-apsoutheast5"></a>

アジアパシフィック (マレーシア) リージョンでは、以下のコントロールはサポートされていません。
+  [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1) 
+  [[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2) 
+  [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1) 
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[Backup.2] AWS Backup 復旧ポイントにはタグを付ける必要があります](backup-controls.md#backup-2) 
+  [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4) 
+  [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1) 
+  [[Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります](batch-controls.md#batch-2) 
+  [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3) 
+  [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] CodeBuild レポートグループのエクスポートは保管時に暗号化する必要があります](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-4) 
+  [[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります](cognito-controls.md#cognito-6) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync タスクではログ記録が有効になっている必要があります](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync タスクにはタグを付ける必要があります](datasync-controls.md#datasync-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28) 
+  [[EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-40) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります](ec2-controls.md#ec2-171) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 
+  [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1) 
+  [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2) 
+  [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR リポジトリはカスタマーマネージドで暗号化する必要があります AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5) 
+  [[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9) 
+  [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12) 
+  [[ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません](ecs-controls.md#ecs-17) 
+  [[ECS.19] ECS キャパシティプロバイダーはマネージド終了保護を有効にする必要があります](ecs-controls.md#ecs-19) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3) 
+  [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4) 
+  [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6) 
+  [[EFS .7] EFS ファイルシステムでは、自動バックアップが有効になっている必要があります](efs-controls.md#efs-7) 
+  [[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8) 
+  [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) 
+  [[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3) 
+  [[EKS.7] EKS ID プロバイダーの設定にはタグを付ける必要があります](eks-controls.md#eks-7) 
+  [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12) 
+  [[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[ES.9] Elasticsearch ドメインにはタグを付ける必要があります](es-controls.md#es-9) 
+  [[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] AWS Glue ジョブにはタグを付ける必要があります](glue-controls.md#glue-1) 
+  [[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります](glue-controls.md#glue-3) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10) 
+  [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11) 
+  [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12) 
+  [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13) 
+  [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14) 
+  [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15) 
+  [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16) 
+  [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[KMS.5] KMS キーはパブリックにアクセスしないでください](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1) 
+  [[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2) 
+  [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1) 
+  [[PCA.2] AWS プライベート CA 認証機関にはタグを付ける必要があります](pca-controls.md#pca-2) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります](rds-controls.md#rds-18) 
+  [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24) 
+  [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25) 
+  [[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります](rds-controls.md#rds-26) 
+  [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-36) 
+  [[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37) 
+  [[RDS.38] RDS for PostgreSQL DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-38) 
+  [[RDS.39] RDS for MySQL DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-39) 
+  [[RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-40) 
+  [[RDS.41] RDS for SQL Server DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-41) 
+  [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42) 
+  [[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43) 
+  [[RDS.44] RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-44) 
+  [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 
+  [[RDS.46] RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません](rds-controls.md#rds-46) 
+  [[RDS.47] タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります](rds-controls.md#rds-47) 
+  [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Redshift クラスターサブネットグループには、複数のアベイラビリティーゾーンからのサブネットが必要です](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7) 
+  [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10) 
+  [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11) 
+  [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12) 
+  [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13) 
+  [[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19) 
+  [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20) 
+  [[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22) 
+  [[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sns-controls.md#sns-4) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM ドキュメントにはタグを付ける必要があります](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family 証明書にはタグを付ける必要があります](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Transfer Family コネクタにはタグを付ける必要があります](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります](transfer-controls.md#transfer-7) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## アジアパシフィック (メルボルン)
<a name="securityhub-control-support-apsoutheast4"></a>

アジアパシフィック (メルボルン) リージョンでは、以下のコントロールはサポートされていません。
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1) 
+  [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3) 
+  [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-40) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 
+  [[FSx.3] FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-3) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10) 
+  [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11) 
+  [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12) 
+  [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13) 
+  [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14) 
+  [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15) 
+  [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16) 
+  [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES 連絡先リストにはタグを付ける必要があります](ses-controls.md#ses-1) 
+  [[SES.2] SES 設定セットにはタグを付ける必要があります](ses-controls.md#ses-2) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## アジアパシフィック (ムンバイ)
<a name="securityhub-control-support-apsouth1"></a>

アジアパシフィック (ムンバイ) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## アジアパシフィック (ニュージーランド)
<a name="securityhub-control-support-apsoutheast6"></a>

アジアパシフィック (ニュージーランド) リージョンでは、以下のコントロールはサポートされていません。
+  [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1) 
+  [[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2) 
+  [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1) 
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.1] API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIsにはタグを付ける必要があります](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Athena.2] Athena データカタログにはタグを付ける必要があります](athena-controls.md#athena-2) 
+  [[Athena.3] Athena ワークグループにはタグを付ける必要があります](athena-controls.md#athena-3) 
+  [[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[Backup.2] AWS Backup 復旧ポイントにはタグを付ける必要があります](backup-controls.md#backup-2) 
+  [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4) 
+  [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1) 
+  [[Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります](batch-controls.md#batch-2) 
+  [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3) 
+  [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] CodeBuild レポートグループのエクスポートは保管時に暗号化する必要があります](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-4) 
+  [[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります](cognito-controls.md#cognito-6) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync タスクではログ記録が有効になっている必要があります](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync タスクにはタグを付ける必要があります](datasync-controls.md#datasync-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28) 
+  [[EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-40) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります](ec2-controls.md#ec2-171) 
+  [[EC2.172] EC2 VPC パブリックアクセスのブロック設定はインターネットゲートウェイトラフィックをブロックする必要があります](ec2-controls.md#ec2-172) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 
+  [[EC2.182] Amazon EBS スナップショットはパブリックにアクセスできません](ec2-controls.md#ec2-182) 
+  [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1) 
+  [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2) 
+  [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR リポジトリはカスタマーマネージドで暗号化する必要があります AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5) 
+  [[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9) 
+  [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12) 
+  [[ECS.16] ECS タスクセットはパブリック IP アドレスを自動的に割り当てないでください。](ecs-controls.md#ecs-16) 
+  [[ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません](ecs-controls.md#ecs-17) 
+  [[ECS.18] ECS タスク定義ではEFS ボリュームの転送時の暗号化を使用する必要があります](ecs-controls.md#ecs-18) 
+  [[ECS.19] ECS キャパシティプロバイダーはマネージド終了保護を有効にする必要があります](ecs-controls.md#ecs-19) 
+  [[ECS.20] ECS タスク定義では、Linux コンテナ定義で非ルートユーザーを設定する必要があります](ecs-controls.md#ecs-20) 
+  [[ECS.21] ECS タスク定義では、Windows コンテナ定義で管理者以外のユーザーを設定する必要があります](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3) 
+  [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4) 
+  [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6) 
+  [[EFS .7] EFS ファイルシステムでは、自動バックアップが有効になっている必要があります](efs-controls.md#efs-7) 
+  [[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8) 
+  [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) 
+  [[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3) 
+  [[EKS.7] EKS ID プロバイダーの設定にはタグを付ける必要があります](eks-controls.md#eks-7) 
+  [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8) 
+  [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12) 
+  [[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.16] Application Load Balancer は AWS WAF ウェブ ACL に関連付ける必要があります](elb-controls.md#elb-16) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります](elb-controls.md#elb-21) 
+  [[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります](elb-controls.md#elb-22) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4) 
+  [[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります](es-controls.md#es-3) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[ES.9] Elasticsearch ドメインにはタグを付ける必要があります](es-controls.md#es-9) 
+  [[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] AWS Glue ジョブにはタグを付ける必要があります](glue-controls.md#glue-1) 
+  [[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります](glue-controls.md#glue-3) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10) 
+  [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11) 
+  [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12) 
+  [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13) 
+  [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14) 
+  [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15) 
+  [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16) 
+  [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[KMS.5] KMS キーはパブリックにアクセスしないでください](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1) 
+  [[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2) 
+  [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1) 
+  [[PCA.2] AWS プライベート CA 認証機関にはタグを付ける必要があります](pca-controls.md#pca-2) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります](rds-controls.md#rds-18) 
+  [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24) 
+  [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25) 
+  [[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります](rds-controls.md#rds-26) 
+  [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-36) 
+  [[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37) 
+  [[RDS.38] RDS for PostgreSQL DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-38) 
+  [[RDS.39] RDS for MySQL DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-39) 
+  [[RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-40) 
+  [[RDS.41] RDS for SQL Server DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-41) 
+  [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42) 
+  [[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43) 
+  [[RDS.44] RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-44) 
+  [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 
+  [[RDS.46] RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません](rds-controls.md#rds-46) 
+  [[RDS.47] タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります](rds-controls.md#rds-47) 
+  [[RDS.48] タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります](rds-controls.md#rds-48) 
+  [[RDS.50] RDS DB クラスターには十分なバックアップ保持期間を設定する必要があります](rds-controls.md#rds-50) 
+  [[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1) 
+  [[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Redshift クラスターにはタグを付ける必要があります](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Redshift クラスタースナップショットにはタグを付ける必要があります](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Redshift クラスターサブネットグループには、複数のアベイラビリティーゾーンからのサブネットが必要です](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7) 
+  [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10) 
+  [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11) 
+  [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12) 
+  [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13) 
+  [[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19) 
+  [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20) 
+  [[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22) 
+  [[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES 連絡先リストにはタグを付ける必要があります](ses-controls.md#ses-1) 
+  [[SES.2] SES 設定セットにはタグを付ける必要があります](ses-controls.md#ses-2) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sns-controls.md#sns-4) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2) 
+  [[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM ドキュメントにはタグを付ける必要があります](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.1] AWS Transfer Family ワークフローにはタグを付ける必要があります](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family 証明書にはタグを付ける必要があります](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Transfer Family コネクタにはタグを付ける必要があります](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります](transfer-controls.md#transfer-7) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります](waf-controls.md#waf-11) 
+  [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## アジアパシフィック (大阪)
<a name="securityhub-control-support-apnortheast3"></a>

アジアパシフィック (大阪) ニュージーランドでは、以下のコントロールはサポートされていません。
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2) 
+  [[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## アジアパシフィック (ソウル)
<a name="securityhub-control-support-apnortheast2"></a>

アジアパシフィック (ソウル) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## アジアパシフィック (シンガポール)
<a name="securityhub-control-support-apsoutheast1"></a>

アジアパシフィック (シンガポール) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## アジアパシフィック (シドニー)
<a name="securityhub-control-support-apsoutheast2"></a>

アジアパシフィック (シドニー) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## アジアパシフィック (台北)
<a name="securityhub-control-support-apeast2"></a>

アジアパシフィック (台北) リージョンでは、以下のコントロールはサポートされていません。
+  [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1) 
+  [[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2) 
+  [[ACM.3] ACM 証明書にはタグを付ける必要があります](acm-controls.md#acm-3) 
+  [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1) 
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.1] API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIsにはタグを付ける必要があります](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Athena.2] Athena データカタログにはタグを付ける必要があります](athena-controls.md#athena-2) 
+  [[Athena.3] Athena ワークグループにはタグを付ける必要があります](athena-controls.md#athena-3) 
+  [[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります](athena-controls.md#athena-4) 
+  [[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9) 
+  [[AutoScaling.10] EC2 Auto Scaling グループにタグを付ける必要があります](autoscaling-controls.md#autoscaling-10) 
+  [[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません](autoscaling-controls.md#autoscaling-5) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[Backup.2] AWS Backup 復旧ポイントにはタグを付ける必要があります](backup-controls.md#backup-2) 
+  [[Backup.3] AWS Backup ボールトにはタグを付ける必要があります](backup-controls.md#backup-3) 
+  [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4) 
+  [[Backup.5] AWS Backup バックアッププランにはタグを付ける必要があります](backup-controls.md#backup-5) 
+  [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1) 
+  [[Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります](batch-controls.md#batch-2) 
+  [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3) 
+  [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4) 
+  [[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります](cloudformation-controls.md#cloudformation-2) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.9] CloudTrail 証跡にはタグを付ける必要があります](cloudtrail-controls.md#cloudtrail-9) 
+  [[CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] CodeBuild レポートグループのエクスポートは保管時に暗号化する必要があります](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-4) 
+  [[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります](cognito-controls.md#cognito-6) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync タスクではログ記録が有効になっている必要があります](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync タスクにはタグを付ける必要があります](datasync-controls.md#datasync-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります](dms-controls.md#dms-1) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.5] DynamoDB テーブルにはタグを付ける必要があります](dynamodb-controls.md#dynamodb-5) 
+  [[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします](ec2-controls.md#ec2-10) 
+  [[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません](ec2-controls.md#ec2-19) 
+  [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28) 
+  [[EC2.33] EC2 Transit Gateway アタッチメントにはタグを付ける必要があります](ec2-controls.md#ec2-33) 
+  [[EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-34) 
+  [[EC2.35] EC2 ネットワークインターフェイスにはタグを付ける必要があります](ec2-controls.md#ec2-35) 
+  [[EC2.36] EC2 カスタマーゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-36) 
+  [[EC2.37] EC2 Elastic IP アドレスにはタグを付ける必要があります](ec2-controls.md#ec2-37) 
+  [[EC2.38] EC2 インスタンスにはタグを付ける必要があります](ec2-controls.md#ec2-38) 
+  [[EC2.39] EC2 インターネットゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-39) 
+  [[EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-40) 
+  [[EC2.41] EC2 ネットワーク ACL にはタグを付ける必要があります](ec2-controls.md#ec2-41) 
+  [[EC2.42] EC2 ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-42) 
+  [[EC2.43] EC2 セキュリティグループにはタグを付ける必要があります](ec2-controls.md#ec2-43) 
+  [[EC2.44] EC2 サブネットにはタグを付ける必要があります](ec2-controls.md#ec2-44) 
+  [[EC2.45] EC2 ボリュームにはタグを付ける必要があります](ec2-controls.md#ec2-45) 
+  [[EC2.46] Amazon VPC にはタグを付ける必要があります](ec2-controls.md#ec2-46) 
+  [[EC2.47] Amazon VPC エンドポイントサービスはタグを付ける必要があります](ec2-controls.md#ec2-47) 
+  [[EC2.48] Amazon VPC フローログにはタグを付ける必要があります](ec2-controls.md#ec2-48) 
+  [[EC2.49] Amazon VPC ピアリング接続にはタグを付ける必要があります](ec2-controls.md#ec2-49) 
+  [[EC2.50] EC2 VPN ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-50) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.52] EC2 Transit Gateway にはタグを付ける必要があります](ec2-controls.md#ec2-52) 
+  [[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります](ec2-controls.md#ec2-171) 
+  [[EC2.172] EC2 VPC パブリックアクセスのブロック設定はインターネットゲートウェイトラフィックをブロックする必要があります](ec2-controls.md#ec2-172) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 
+  [[EC2.182] Amazon EBS スナップショットはパブリックにアクセスできません](ec2-controls.md#ec2-182) 
+  [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1) 
+  [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2) 
+  [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR リポジトリはカスタマーマネージドで暗号化する必要があります AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。](ecs-controls.md#ecs-1) 
+  [[ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください](ecs-controls.md#ecs-2) 
+  [[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5) 
+  [[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9) 
+  [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12) 
+  [[ECS.13] ECS サービスにはタグを付ける必要があります](ecs-controls.md#ecs-13) 
+  [[ECS.14] ECS クラスターにはタグを付ける必要があります](ecs-controls.md#ecs-14) 
+  [[ECS.15] ECS タスク定義にはタグを付ける必要があります](ecs-controls.md#ecs-15) 
+  [[ECS.16] ECS タスクセットはパブリック IP アドレスを自動的に割り当てないでください。](ecs-controls.md#ecs-16) 
+  [[ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません](ecs-controls.md#ecs-17) 
+  [[ECS.18] ECS タスク定義ではEFS ボリュームの転送時の暗号化を使用する必要があります](ecs-controls.md#ecs-18) 
+  [[ECS.19] ECS キャパシティプロバイダーはマネージド終了保護を有効にする必要があります](ecs-controls.md#ecs-19) 
+  [[ECS.20] ECS タスク定義では、Linux コンテナ定義で非ルートユーザーを設定する必要があります](ecs-controls.md#ecs-20) 
+  [[ECS.21] ECS タスク定義では、Windows コンテナ定義で管理者以外のユーザーを設定する必要があります](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3) 
+  [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4) 
+  [[EFS .5] EFS アクセスポイントにはタグを付ける必要があります](efs-controls.md#efs-5) 
+  [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6) 
+  [[EFS .7] EFS ファイルシステムでは、自動バックアップが有効になっている必要があります](efs-controls.md#efs-7) 
+  [[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8) 
+  [[EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります](eks-controls.md#eks-1) 
+  [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) 
+  [[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3) 
+  [[EKS.6] EKS クラスターにはタグを付ける必要があります](eks-controls.md#eks-6) 
+  [[EKS.7] EKS ID プロバイダーの設定にはタグを付ける必要があります](eks-controls.md#eks-7) 
+  [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8) 
+  [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります](elb-controls.md#elb-3) 
+  [[ELB.7] Classic Load Balancers は、Connection Draining を有効にする必要があります](elb-controls.md#elb-7) 
+  [[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります](elb-controls.md#elb-8) 
+  [[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12) 
+  [[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.16] Application Load Balancer は AWS WAF ウェブ ACL に関連付ける必要があります](elb-controls.md#elb-16) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります](elb-controls.md#elb-21) 
+  [[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります](elb-controls.md#elb-22) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4) 
+  [[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります](es-controls.md#es-1) 
+  [[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります](es-controls.md#es-2) 
+  [[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります](es-controls.md#es-3) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります](es-controls.md#es-5) 
+  [[ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です](es-controls.md#es-6) 
+  [[ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。](es-controls.md#es-7) 
+  [[ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](es-controls.md#es-8) 
+  [[ES.9] Elasticsearch ドメインにはタグを付ける必要があります](es-controls.md#es-9) 
+  [[EventBridge.2] EventBridge イベントバスにはタグを付ける必要があります](eventbridge-controls.md#eventbridge-2) 
+  [[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] AWS Glue ジョブにはタグを付ける必要があります](glue-controls.md#glue-1) 
+  [[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります](glue-controls.md#glue-3) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10) 
+  [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11) 
+  [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12) 
+  [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13) 
+  [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14) 
+  [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15) 
+  [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16) 
+  [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 
+  [[IAM.23] IAM Access Analyzer アナライザーにはタグを付ける必要があります](iam-controls.md#iam-23) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.2] Kinesis ストリームにはタグを付ける必要があります](kinesis-controls.md#kinesis-2) 
+  [[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[KMS.3] AWS KMS keys を意図せずに削除しないでください](kms-controls.md#kms-3) 
+  [[KMS.5] KMS キーはパブリックにアクセスしないでください](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Lambda 関数にはタグを付ける必要があります](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1) 
+  [[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2) 
+  [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります](networkfirewall-controls.md#networkfirewall-7) 
+  [[NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります](networkfirewall-controls.md#networkfirewall-8) 
+  [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1) 
+  [[PCA.2] AWS プライベート CA 認証機関にはタグを付ける必要があります](pca-controls.md#pca-2) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.16] Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります](rds-controls.md#rds-16) 
+  [[RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります](rds-controls.md#rds-17) 
+  [[RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります](rds-controls.md#rds-18) 
+  [[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-19) 
+  [[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-20) 
+  [[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-21) 
+  [[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-22) 
+  [[RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります](rds-controls.md#rds-23) 
+  [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24) 
+  [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25) 
+  [[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります](rds-controls.md#rds-26) 
+  [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27) 
+  [[RDS.28] RDS DB クラスターにはタグを付ける必要があります](rds-controls.md#rds-28) 
+  [[RDS.29] RDS DB クラスタースナップショットにはタグを付ける必要があります](rds-controls.md#rds-29) 
+  [[RDS.30] RDS DB インスタンスにはタグを付ける必要があります](rds-controls.md#rds-30) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.32] RDS DB スナップショットにはタグを付ける必要があります](rds-controls.md#rds-32) 
+  [[RDS.33] RDS DB サブネットグループにはタグを付ける必要があります](rds-controls.md#rds-33) 
+  [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-36) 
+  [[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37) 
+  [[RDS.38] RDS for PostgreSQL DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-38) 
+  [[RDS.39] RDS for MySQL DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-39) 
+  [[RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-40) 
+  [[RDS.41] RDS for SQL Server DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-41) 
+  [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42) 
+  [[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43) 
+  [[RDS.44] RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-44) 
+  [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 
+  [[RDS.46] RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません](rds-controls.md#rds-46) 
+  [[RDS.47] タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります](rds-controls.md#rds-47) 
+  [[RDS.48] タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります](rds-controls.md#rds-48) 
+  [[RDS.50] RDS DB クラスターには十分なバックアップ保持期間を設定する必要があります](rds-controls.md#rds-50) 
+  [[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Redshift クラスターにはタグを付ける必要があります](redshift-controls.md#redshift-11) 
+  [[Redshift.12] Redshift イベント通知サブスクリプションにはタグを付ける必要があります](redshift-controls.md#redshift-12) 
+  [[Redshift.13] Redshift クラスタースナップショットにはタグを付ける必要があります](redshift-controls.md#redshift-13) 
+  [[Redshift.14] Redshift クラスターサブネットグループにはタグを付ける必要があります](redshift-controls.md#redshift-14) 
+  [[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Redshift クラスターサブネットグループには、複数のアベイラビリティーゾーンからのサブネットが必要です](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7) 
+  [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10) 
+  [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11) 
+  [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12) 
+  [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13) 
+  [[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19) 
+  [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20) 
+  [[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22) 
+  [[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES 連絡先リストにはタグを付ける必要があります](ses-controls.md#ses-1) 
+  [[SES.2] SES 設定セットにはタグを付ける必要があります](ses-controls.md#ses-2) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-4) 
+  [[SecretsManager.5] Secrets Manager のシークレットにはタグを付ける必要があります](secretsmanager-controls.md#secretsmanager-5) 
+  [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.3] SNS トピックにはタグを付ける必要があります](sns-controls.md#sns-3) 
+  [[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sns-controls.md#sns-4) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2) 
+  [[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM ドキュメントにはタグを付ける必要があります](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.1] AWS Transfer Family ワークフローにはタグを付ける必要があります](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family 証明書にはタグを付ける必要があります](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Transfer Family コネクタにはタグを付ける必要があります](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります](transfer-controls.md#transfer-7) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります](waf-controls.md#waf-11) 
+  [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## アジアパシフィック (タイ)
<a name="securityhub-control-support-apsoutheast7"></a>

アジアパシフィック (タイ) リージョンでは、以下のコントロールはサポートされていません。
+  [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1) 
+  [[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2) 
+  [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1) 
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Athena.2] Athena データカタログにはタグを付ける必要があります](athena-controls.md#athena-2) 
+  [[Athena.3] Athena ワークグループにはタグを付ける必要があります](athena-controls.md#athena-3) 
+  [[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[Backup.2] AWS Backup 復旧ポイントにはタグを付ける必要があります](backup-controls.md#backup-2) 
+  [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4) 
+  [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1) 
+  [[Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります](batch-controls.md#batch-2) 
+  [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3) 
+  [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] CodeBuild レポートグループのエクスポートは保管時に暗号化する必要があります](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-4) 
+  [[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります](cognito-controls.md#cognito-6) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync タスクではログ記録が有効になっている必要があります](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync タスクにはタグを付ける必要があります](datasync-controls.md#datasync-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28) 
+  [[EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-40) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります](ec2-controls.md#ec2-171) 
+  [[EC2.172] EC2 VPC パブリックアクセスのブロック設定はインターネットゲートウェイトラフィックをブロックする必要があります](ec2-controls.md#ec2-172) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 
+  [[EC2.182] Amazon EBS スナップショットはパブリックにアクセスできません](ec2-controls.md#ec2-182) 
+  [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1) 
+  [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2) 
+  [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR リポジトリはカスタマーマネージドで暗号化する必要があります AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5) 
+  [[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9) 
+  [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12) 
+  [[ECS.16] ECS タスクセットはパブリック IP アドレスを自動的に割り当てないでください。](ecs-controls.md#ecs-16) 
+  [[ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません](ecs-controls.md#ecs-17) 
+  [[ECS.18] ECS タスク定義ではEFS ボリュームの転送時の暗号化を使用する必要があります](ecs-controls.md#ecs-18) 
+  [[ECS.19] ECS キャパシティプロバイダーはマネージド終了保護を有効にする必要があります](ecs-controls.md#ecs-19) 
+  [[ECS.20] ECS タスク定義では、Linux コンテナ定義で非ルートユーザーを設定する必要があります](ecs-controls.md#ecs-20) 
+  [[ECS.21] ECS タスク定義では、Windows コンテナ定義で管理者以外のユーザーを設定する必要があります](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3) 
+  [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4) 
+  [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6) 
+  [[EFS .7] EFS ファイルシステムでは、自動バックアップが有効になっている必要があります](efs-controls.md#efs-7) 
+  [[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8) 
+  [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) 
+  [[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3) 
+  [[EKS.7] EKS ID プロバイダーの設定にはタグを付ける必要があります](eks-controls.md#eks-7) 
+  [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12) 
+  [[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[ES.9] Elasticsearch ドメインにはタグを付ける必要があります](es-controls.md#es-9) 
+  [[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] AWS Glue ジョブにはタグを付ける必要があります](glue-controls.md#glue-1) 
+  [[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります](glue-controls.md#glue-3) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10) 
+  [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11) 
+  [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12) 
+  [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13) 
+  [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14) 
+  [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15) 
+  [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16) 
+  [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[KMS.5] KMS キーはパブリックにアクセスしないでください](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1) 
+  [[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2) 
+  [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1) 
+  [[PCA.2] AWS プライベート CA 認証機関にはタグを付ける必要があります](pca-controls.md#pca-2) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります](rds-controls.md#rds-18) 
+  [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24) 
+  [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25) 
+  [[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります](rds-controls.md#rds-26) 
+  [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-36) 
+  [[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37) 
+  [[RDS.38] RDS for PostgreSQL DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-38) 
+  [[RDS.39] RDS for MySQL DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-39) 
+  [[RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-40) 
+  [[RDS.41] RDS for SQL Server DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-41) 
+  [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42) 
+  [[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43) 
+  [[RDS.44] RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-44) 
+  [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 
+  [[RDS.46] RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません](rds-controls.md#rds-46) 
+  [[RDS.47] タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります](rds-controls.md#rds-47) 
+  [[RDS.48] タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります](rds-controls.md#rds-48) 
+  [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Redshift クラスターサブネットグループには、複数のアベイラビリティーゾーンからのサブネットが必要です](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7) 
+  [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10) 
+  [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11) 
+  [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12) 
+  [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13) 
+  [[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19) 
+  [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20) 
+  [[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22) 
+  [[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES 連絡先リストにはタグを付ける必要があります](ses-controls.md#ses-1) 
+  [[SES.2] SES 設定セットにはタグを付ける必要があります](ses-controls.md#ses-2) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sns-controls.md#sns-4) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM ドキュメントにはタグを付ける必要があります](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.1] AWS Transfer Family ワークフローにはタグを付ける必要があります](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family 証明書にはタグを付ける必要があります](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Transfer Family コネクタにはタグを付ける必要があります](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります](transfer-controls.md#transfer-7) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## アジアパシフィック (東京)
<a name="securityhub-control-support-apnortheast1"></a>

アジアパシフィック (東京) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## カナダ (中部)
<a name="securityhub-control-support-cacentral1"></a>

カナダ (中部) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です](kinesis-controls.md#kinesis-3) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## カナダ西部 (カルガリー)
<a name="securityhub-control-support-cawest1"></a>

カナダ西部 (カルガリー) リージョンでは、以下のコントロールはサポートされていません。
+  [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1) 
+  [[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2) 
+  [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1) 
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4) 
+  [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1) 
+  [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3) 
+  [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] CodeBuild レポートグループのエクスポートは保管時に暗号化する必要があります](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync タスクではログ記録が有効になっている必要があります](datasync-controls.md#datasync-1) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28) 
+  [[EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-40) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります](ec2-controls.md#ec2-171) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 
+  [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1) 
+  [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2) 
+  [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR リポジトリはカスタマーマネージドで暗号化する必要があります AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5) 
+  [[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9) 
+  [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12) 
+  [[ECS.16] ECS タスクセットはパブリック IP アドレスを自動的に割り当てないでください。](ecs-controls.md#ecs-16) 
+  [[ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません](ecs-controls.md#ecs-17) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3) 
+  [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4) 
+  [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6) 
+  [[EFS .7] EFS ファイルシステムでは、自動バックアップが有効になっている必要があります](efs-controls.md#efs-7) 
+  [[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8) 
+  [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) 
+  [[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3) 
+  [[EKS.7] EKS ID プロバイダーの設定にはタグを付ける必要があります](eks-controls.md#eks-7) 
+  [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8) 
+  [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12) 
+  [[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります](glue-controls.md#glue-3) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10) 
+  [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11) 
+  [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12) 
+  [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13) 
+  [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14) 
+  [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15) 
+  [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16) 
+  [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[KMS.5] KMS キーはパブリックにアクセスしないでください](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1) 
+  [[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2) 
+  [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります](rds-controls.md#rds-18) 
+  [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24) 
+  [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25) 
+  [[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります](rds-controls.md#rds-26) 
+  [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-36) 
+  [[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37) 
+  [[RDS.38] RDS for PostgreSQL DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-38) 
+  [[RDS.39] RDS for MySQL DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-39) 
+  [[RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-40) 
+  [[RDS.41] RDS for SQL Server DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-41) 
+  [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42) 
+  [[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43) 
+  [[RDS.44] RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-44) 
+  [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 
+  [[RDS.46] RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません](rds-controls.md#rds-46) 
+  [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Redshift クラスターサブネットグループには、複数のアベイラビリティーゾーンからのサブネットが必要です](redshift-controls.md#redshift-16) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7) 
+  [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10) 
+  [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11) 
+  [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12) 
+  [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13) 
+  [[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19) 
+  [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20) 
+  [[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22) 
+  [[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sns-controls.md#sns-4) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## 中国 (北京)
<a name="securityhub-control-support-cnnorth1"></a>

中国 (北京) リージョンでは、以下のコントロールはサポートされていません。
+  [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1) 
+  [[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2) 
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4) 
+  [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1) 
+  [[Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります](batch-controls.md#batch-2) 
+  [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3) 
+  [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-4) 
+  [[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります](cognito-controls.md#cognito-6) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync タスクにはタグを付ける必要があります](datasync-controls.md#datasync-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります](ec2-controls.md#ec2-20) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28) 
+  [[EC2.36] EC2 カスタマーゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-36) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります](ec2-controls.md#ec2-171) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6) 
+  [[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3) 
+  [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります](elb-controls.md#elb-21) 
+  [[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります](elb-controls.md#elb-22) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.23] IAM Access Analyzer アナライザーにはタグを付ける必要があります](iam-controls.md#iam-23) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2) 
+  [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1) 
+  [[PCA.2] AWS プライベート CA 認証機関にはタグを付ける必要があります](pca-controls.md#pca-2) 
+  [[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります](rds-controls.md#rds-7) 
+  [[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります](rds-controls.md#rds-12) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15) 
+  [[RDS.16] Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります](rds-controls.md#rds-16) 
+  [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24) 
+  [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25) 
+  [[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります](rds-controls.md#rds-26) 
+  [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27) 
+  [[RDS.28] RDS DB クラスターにはタグを付ける必要があります](rds-controls.md#rds-28) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37) 
+  [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42) 
+  [[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43) 
+  [[RDS.44] RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-44) 
+  [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 
+  [[RDS.47] タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります](rds-controls.md#rds-47) 
+  [[RDS.48] タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります](rds-controls.md#rds-48) 
+  [[RDS.50] RDS DB クラスターには十分なバックアップ保持期間を設定する必要があります](rds-controls.md#rds-50) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22) 
+  [[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES 連絡先リストにはタグを付ける必要があります](ses-controls.md#ses-1) 
+  [[SES.2] SES 設定セットにはタグを付ける必要があります](ses-controls.md#ses-2) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] SSM ドキュメントにはタグを付ける必要があります](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family 証明書にはタグを付ける必要があります](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Transfer Family コネクタにはタグを付ける必要があります](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります](transfer-controls.md#transfer-7) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## 中国 (寧夏)
<a name="securityhub-control-support-cnnorthwest1"></a>

中国 (寧夏) リージョンでは、以下のコントロールはサポートされていません。
+  [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1) 
+  [[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2) 
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4) 
+  [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1) 
+  [[Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります](batch-controls.md#batch-2) 
+  [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3) 
+  [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-4) 
+  [[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります](cognito-controls.md#cognito-6) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync タスクにはタグを付ける必要があります](datasync-controls.md#datasync-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります](ec2-controls.md#ec2-20) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28) 
+  [[EC2.36] EC2 カスタマーゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-36) 
+  [[EC2.50] EC2 VPN ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-50) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります](ec2-controls.md#ec2-171) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3) 
+  [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4) 
+  [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6) 
+  [[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3) 
+  [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります](elb-controls.md#elb-21) 
+  [[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります](elb-controls.md#elb-22) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります](glue-controls.md#glue-3) 
+  [[GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.23] IAM Access Analyzer アナライザーにはタグを付ける必要があります](iam-controls.md#iam-23) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Lambda 関数は VPC 内に存在する必要があります](lambda-controls.md#lambda-3) 
+  [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Lambda 関数にはタグを付ける必要があります](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2) 
+  [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1) 
+  [[PCA.2] AWS プライベート CA 認証機関にはタグを付ける必要があります](pca-controls.md#pca-2) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24) 
+  [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25) 
+  [[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります](rds-controls.md#rds-26) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42) 
+  [[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43) 
+  [[RDS.44] RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-44) 
+  [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 
+  [[RDS.50] RDS DB クラスターには十分なバックアップ保持期間を設定する必要があります](rds-controls.md#rds-50) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] SSM ドキュメントにはタグを付ける必要があります](ssm-controls.md#ssm-5) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family 証明書にはタグを付ける必要があります](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Transfer Family コネクタにはタグを付ける必要があります](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります](transfer-controls.md#transfer-7) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## 欧州 (フランクフルト)
<a name="securityhub-control-support-eucentral1"></a>

欧州 (フランクフルト) リージョンでは、以下のコントロールはサポートされていません。
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## 欧州 (アイルランド)
<a name="securityhub-control-support-euwest1"></a>

欧州 (アイルランド) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## 欧州 (ロンドン)
<a name="securityhub-control-support-euwest2"></a>

欧州 (ロンドン) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## 欧州 (ミラノ)
<a name="securityhub-control-support-eusouth1"></a>

欧州 (ミラノ) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## 欧州 (パリ)
<a name="securityhub-control-support-euwest3"></a>

欧州 (パリ) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## 欧州 (スペイン)
<a name="securityhub-control-support-eusouth2"></a>

欧州 (スペイン) リージョンでは、以下のコントロールはサポートされていません。
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします](ec2-controls.md#ec2-1) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-40) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります](lambda-controls.md#lambda-1) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES 連絡先リストにはタグを付ける必要があります](ses-controls.md#ses-1) 
+  [[SES.2] SES 設定セットにはタグを付ける必要があります](ses-controls.md#ses-2) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## 欧州 (ストックホルム)
<a name="securityhub-control-support-eunorth1"></a>

欧州 (ストックホルム) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## 欧州 (チューリッヒ)
<a name="securityhub-control-support-eucentral2"></a>

欧州 (チューリッヒ) リージョンでは、以下のコントロールはサポートされていません。
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## イスラエル (テルアビブ)
<a name="securityhub-control-support-ilcentral1"></a>

イスラエル (テルアビブ) リージョンでは、以下のコントロールはサポートされていません。
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4) 
+  [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1) 
+  [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3) 
+  [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28) 
+  [[EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-40) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 
+  [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2) 
+  [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR リポジトリはカスタマーマネージドで暗号化する必要があります AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3) 
+  [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4) 
+  [[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8) 
+  [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) 
+  [[EKS.7] EKS ID プロバイダーの設定にはタグを付ける必要があります](eks-controls.md#eks-7) 
+  [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8) 
+  [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10) 
+  [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11) 
+  [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12) 
+  [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13) 
+  [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14) 
+  [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15) 
+  [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16) 
+  [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1) 
+  [[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1) 
+  [[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります](rds-controls.md#rds-4) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります](rds-controls.md#rds-26) 
+  [[RDS.29] RDS DB クラスタースナップショットにはタグを付ける必要があります](rds-controls.md#rds-29) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37) 
+  [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## メキシコ (中部)
<a name="securityhub-control-support-mxcentral1"></a>

メキシコ (中部) リージョンでは、以下のコントロールはサポートされていません。
+  [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1) 
+  [[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2) 
+  [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1) 
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIsにはタグを付ける必要があります](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[Backup.2] AWS Backup 復旧ポイントにはタグを付ける必要があります](backup-controls.md#backup-2) 
+  [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4) 
+  [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1) 
+  [[Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります](batch-controls.md#batch-2) 
+  [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3) 
+  [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] CodeBuild レポートグループのエクスポートは保管時に暗号化する必要があります](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-4) 
+  [[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります](cognito-controls.md#cognito-6) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync タスクではログ記録が有効になっている必要があります](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync タスクにはタグを付ける必要があります](datasync-controls.md#datasync-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28) 
+  [[EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-40) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります](ec2-controls.md#ec2-171) 
+  [[EC2.172] EC2 VPC パブリックアクセスのブロック設定はインターネットゲートウェイトラフィックをブロックする必要があります](ec2-controls.md#ec2-172) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 
+  [[EC2.182] Amazon EBS スナップショットはパブリックにアクセスできません](ec2-controls.md#ec2-182) 
+  [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1) 
+  [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2) 
+  [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR リポジトリはカスタマーマネージドで暗号化する必要があります AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5) 
+  [[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9) 
+  [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12) 
+  [[ECS.16] ECS タスクセットはパブリック IP アドレスを自動的に割り当てないでください。](ecs-controls.md#ecs-16) 
+  [[ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません](ecs-controls.md#ecs-17) 
+  [[ECS.18] ECS タスク定義ではEFS ボリュームの転送時の暗号化を使用する必要があります](ecs-controls.md#ecs-18) 
+  [[ECS.19] ECS キャパシティプロバイダーはマネージド終了保護を有効にする必要があります](ecs-controls.md#ecs-19) 
+  [[ECS.20] ECS タスク定義では、Linux コンテナ定義で非ルートユーザーを設定する必要があります](ecs-controls.md#ecs-20) 
+  [[ECS.21] ECS タスク定義では、Windows コンテナ定義で管理者以外のユーザーを設定する必要があります](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3) 
+  [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4) 
+  [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6) 
+  [[EFS .7] EFS ファイルシステムでは、自動バックアップが有効になっている必要があります](efs-controls.md#efs-7) 
+  [[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8) 
+  [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) 
+  [[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3) 
+  [[EKS.7] EKS ID プロバイダーの設定にはタグを付ける必要があります](eks-controls.md#eks-7) 
+  [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12) 
+  [[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4) 
+  [[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります](es-controls.md#es-3) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[ES.9] Elasticsearch ドメインにはタグを付ける必要があります](es-controls.md#es-9) 
+  [[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] AWS Glue ジョブにはタグを付ける必要があります](glue-controls.md#glue-1) 
+  [[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります](glue-controls.md#glue-3) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10) 
+  [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11) 
+  [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12) 
+  [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13) 
+  [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14) 
+  [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15) 
+  [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16) 
+  [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[KMS.5] KMS キーはパブリックにアクセスしないでください](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1) 
+  [[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2) 
+  [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1) 
+  [[PCA.2] AWS プライベート CA 認証機関にはタグを付ける必要があります](pca-controls.md#pca-2) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります](rds-controls.md#rds-18) 
+  [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24) 
+  [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25) 
+  [[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります](rds-controls.md#rds-26) 
+  [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-36) 
+  [[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37) 
+  [[RDS.38] RDS for PostgreSQL DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-38) 
+  [[RDS.39] RDS for MySQL DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-39) 
+  [[RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-40) 
+  [[RDS.41] RDS for SQL Server DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-41) 
+  [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42) 
+  [[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43) 
+  [[RDS.44] RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-44) 
+  [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 
+  [[RDS.46] RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません](rds-controls.md#rds-46) 
+  [[RDS.47] タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります](rds-controls.md#rds-47) 
+  [[RDS.48] タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります](rds-controls.md#rds-48) 
+  [[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Redshift クラスターにはタグを付ける必要があります](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Redshift クラスタースナップショットにはタグを付ける必要があります](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Redshift クラスターサブネットグループには、複数のアベイラビリティーゾーンからのサブネットが必要です](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7) 
+  [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10) 
+  [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11) 
+  [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12) 
+  [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13) 
+  [[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19) 
+  [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20) 
+  [[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22) 
+  [[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES 連絡先リストにはタグを付ける必要があります](ses-controls.md#ses-1) 
+  [[SES.2] SES 設定セットにはタグを付ける必要があります](ses-controls.md#ses-2) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sns-controls.md#sns-4) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM ドキュメントにはタグを付ける必要があります](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family 証明書にはタグを付ける必要があります](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Transfer Family コネクタにはタグを付ける必要があります](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります](transfer-controls.md#transfer-7) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## 中東 (バーレーン)
<a name="securityhub-control-support-mesouth1"></a>

中東 (バーレーン) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります](ec2-controls.md#ec2-20) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR リポジトリはカスタマーマネージドで暗号化する必要があります AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません](ecs-controls.md#ecs-17) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.3] FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.41] RDS for SQL Server DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-41) 
+  [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42) 
+  [[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43) 
+  [[RDS.44] RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-44) 
+  [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 
+  [[RDS.46] RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません](rds-controls.md#rds-46) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります](sagemaker-controls.md#sagemaker-8) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## 中東 (アラブ首長国連邦)
<a name="securityhub-control-support-mecentral1"></a>

中東 (アラブ首長国連邦) リージョンでは、以下のコントロールはサポートされていません。
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1) 
+  [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4) 
+  [[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3) 
+  [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4) 
+  [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12) 
+  [[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4) 
+  [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17) 
+  [[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) 
+  [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) 
+  [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) 
+  [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) 
+  [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) 
+  [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) 
+  [[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1) 
+  [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2) 
+  [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES 連絡先リストにはタグを付ける必要があります](ses-controls.md#ses-1) 
+  [[SES.2] SES 設定セットにはタグを付ける必要があります](ses-controls.md#ses-2) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## 南米 (サンパウロ)
<a name="securityhub-control-support-saeast1"></a>

南米 (サンパウロ) リージョンでは、以下のコントロールはサポートされていません。
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります](cognito-controls.md#cognito-5) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 

## AWS GovCloud (米国東部)
<a name="securityhub-control-support-usgoveast1"></a>

以下のコントロールは、 AWS GovCloud (米国東部) リージョンではサポートされていません。
+  [[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2) 
+  [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1) 
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIsにはタグを付ける必要があります](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4) 
+  [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1) 
+  [[Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります](batch-controls.md#batch-2) 
+  [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3) 
+  [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-4) 
+  [[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります](cognito-controls.md#cognito-6) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2) 
+  [[DataSync.2] DataSync タスクにはタグを付ける必要があります](datasync-controls.md#datasync-2) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.47] Amazon VPC エンドポイントサービスはタグを付ける必要があります](ec2-controls.md#ec2-47) 
+  [[EC2.52] EC2 Transit Gateway にはタグを付ける必要があります](ec2-controls.md#ec2-52) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1) 
+  [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2) 
+  [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5) 
+  [[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9) 
+  [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12) 
+  [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3) 
+  [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4) 
+  [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) 
+  [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12) 
+  [[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります](elb-controls.md#elb-21) 
+  [[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります](elb-controls.md#elb-22) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります](glue-controls.md#glue-3) 
+  [[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) 
+  [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] KMS キーはパブリックにアクセスしないでください](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1) 
+  [[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2) 
+  [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1) 
+  [[PCA.2] AWS プライベート CA 認証機関にはタグを付ける必要があります](pca-controls.md#pca-2) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15) 
+  [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24) 
+  [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25) 
+  [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27) 
+  [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43) 
+  [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 
+  [[RDS.47] タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります](rds-controls.md#rds-47) 
+  [[RDS.48] タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります](rds-controls.md#rds-48) 
+  [[RDS.50] RDS DB クラスターには十分なバックアップ保持期間を設定する必要があります](rds-controls.md#rds-50) 
+  [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10) 
+  [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11) 
+  [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12) 
+  [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13) 
+  [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES 連絡先リストにはタグを付ける必要があります](ses-controls.md#ses-1) 
+  [[SES.2] SES 設定セットにはタグを付ける必要があります](ses-controls.md#ses-2) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sns-controls.md#sns-4) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM ドキュメントにはタグを付ける必要があります](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6) 
+  [[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family 証明書にはタグを付ける必要があります](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Transfer Family コネクタにはタグを付ける必要があります](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります](transfer-controls.md#transfer-7) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2) 

## AWS GovCloud (米国西部)
<a name="securityhub-control-support-usgovwest1"></a>

以下のコントロールは、 AWS GovCloud (米国西部) リージョンではサポートされていません。
+  [[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2) 
+  [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1) 
+  [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2) 
+  [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIsにはタグを付ける必要があります](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4) 
+  [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1) 
+  [[Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります](batch-controls.md#batch-2) 
+  [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3) 
+  [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-1) 
+  [[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-4) 
+  [[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります](cognito-controls.md#cognito-6) 
+  [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1) 
+  [[DataSync.2] DataSync タスクにはタグを付ける必要があります](datasync-controls.md#datasync-2) 
+  [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2) 
+  [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6) 
+  [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7) 
+  [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8) 
+  [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) 
+  [[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23) 
+  [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28) 
+  [[EC2.38] EC2 インスタンスにはタグを付ける必要があります](ec2-controls.md#ec2-38) 
+  [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170) 
+  [[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179) 
+  [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1) 
+  [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2) 
+  [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3) 
+  [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4) 
+  [[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5) 
+  [[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9) 
+  [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12) 
+  [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3) 
+  [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4) 
+  [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2) 
+  [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12) 
+  [[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14) 
+  [[ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります](elb-controls.md#elb-21) 
+  [[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります](elb-controls.md#elb-22) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4) 
+  [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4) 
+  [[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) 
+  [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) 
+  [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21) 
+  [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24) 
+  [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25) 
+  [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) 
+  [[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3) 
+  [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1) 
+  [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2) 
+  [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3) 
+  [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1) 
+  [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2) 
+  [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3) 
+  [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4) 
+  [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5) 
+  [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1) 
+  [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2) 
+  [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] KMS キーはパブリックにアクセスしないでください](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) 
+  [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2) 
+  [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6) 
+  [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1) 
+  [[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3) 
+  [[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5) 
+  [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2) 
+  [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9) 
+  [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8) 
+  [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1) 
+  [[PCA.2] AWS プライベート CA 認証機関にはタグを付ける必要があります](pca-controls.md#pca-2) 
+  [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14) 
+  [[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15) 
+  [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24) 
+  [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25) 
+  [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27) 
+  [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34) 
+  [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35) 
+  [[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43) 
+  [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45) 
+  [[RDS.47] タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります](rds-controls.md#rds-47) 
+  [[RDS.48] タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります](rds-controls.md#rds-48) 
+  [[RDS.50] RDS DB クラスターには十分なバックアップ保持期間を設定する必要があります](rds-controls.md#rds-50) 
+  [[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Redshift クラスターにはタグを付ける必要があります](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Redshift クラスタースナップショットにはタグを付ける必要があります](redshift-controls.md#redshift-13) 
+  [[Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2) 
+  [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10) 
+  [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11) 
+  [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12) 
+  [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13) 
+  [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20) 
+  [[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24) 
+  [[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25) 
+  [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3) 
+  [[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sns-controls.md#sns-4) 
+  [[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3) 
+  [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM ドキュメントにはタグを付ける必要があります](ssm-controls.md#ssm-5) 
+  [[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family 証明書にはタグを付ける必要があります](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Transfer Family コネクタにはタグを付ける必要があります](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります](transfer-controls.md#transfer-7) 
+  [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10) 
+  [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12) 

# CloudFormation を使用した Security Hub CSPM リソースの作成
<a name="creating-resources-with-cloudformation"></a>

AWS Security Hub CSPM は と統合されています。これは AWS CloudFormation、 AWS リソースとインフラストラクチャの作成と管理に費やす時間を短縮できるように、リソースのモデル化とセットアップに役立つサービスです。必要なすべての AWS リソース (オートメーションルールなど) を記述するテンプレートを作成し、それらのリソースを CloudFormation プロビジョニングして設定します。

を使用すると CloudFormation、テンプレートを再利用して Security Hub CSPM リソースを一貫して繰り返しセットアップできます。リソースを一度記述し、複数の AWS アカウント およびリージョンで同じリソースを何度もプロビジョニングします。

## Security Hub CSPM と CloudFormation テンプレート
<a name="working-with-templates"></a>

Security Hub CSPM および関連サービスのリソースをプロビジョニングして設定するには、[CloudFormation テンプレート](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html)がどう機能するのか理解しておく必要があります。テンプレートは、JSON または YAML 形式のテキストファイルです。これらのテンプレートは、 CloudFormation スタックでプロビジョニングするリソースを記述します。

JSON または YAML に慣れていない場合は、 CloudFormation デザイナー を使用して CloudFormation テンプレートの使用を開始できます。詳細については、 *AWS CloudFormation ユーザーガイド*の[CloudFormation 「デザイナーとは](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html)」を参照してください。

次のタイプの Security Hub CSPM リソースの CloudFormation テンプレートを作成できます。
+ Security Hub CSPM の有効化
+ 組織の Security Hub CSPM の委任管理者の指定
+ Security Hub CSPM で組織を設定する方法を指定する
+ セキュリティ標準の有効化
+ クロスリージョン集約の有効化
+ 中央設定ポリシーを作成し、アカウント、組織単位 (OU)、またはルートに関連付ける
+ カスタムインサイトの作成
+ 自動化ルールの作成
+ コントロールパラメータのカスタマイズ
+ サードパーティー製品統合のサブスクライブ

リソースの JSON テンプレートと YAML テンプレートの例を含む詳細情報については、「*AWS CloudFormation ユーザーガイド*」の「[AWS Security Hub CSPM リソースタイプのリファレンス](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SecurityHub.html)」を参照してください。

## の詳細 CloudFormation
<a name="learn-more-cloudformation"></a>

詳細については CloudFormation、次のリソースを参照してください。
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation ユーザーガイド](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API リファレンス](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation コマンドラインインターフェイスユーザーガイド](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)

# Amazon SNS での Security Hub CSPM の発表のサブスクライブ
<a name="securityhub-announcements"></a>

このセクションでは、 AWS Security Hub CSPM に関する通知を受信するために、Amazon Simple Notification Service (Amazon SNS) で Security Hub CSPM の発表をサブスクライブする方法について説明します。

サブスクライブした後、次のイベントに関する通知を受信するようになります (各イベントに対応する `AnnouncementType` を以下に示します)。
+ `GENERAL` – Security Hub CSPM サービスに関する一般的な通知。
+ `UPCOMING_STANDARDS_CONTROLS` – 指定された Security Hub CSPM コントロールまたは標準がまもなくリリースされる予定です。このタイプの発表は、リリースに先立って対応と修正のワークフローを準備するのに役立ちます。
+ `NEW_REGIONS` – 新たに AWS リージョンで Security Hub CSPM がサポートされます。
+ `NEW_STANDARDS_CONTROLS` – 新しい Security Hub CSPM コントロールまたは標準が追加されました。
+ `UPDATED_STANDARDS_CONTROLS` – 既存の Security Hub CSPM コントロールまたは標準が更新されました。
+ `RETIRED_STANDARDS_CONTROLS` – 既存の Security Hub CSPM コントロールまたは標準が廃止されました。
+ `UPDATED_ASFF` – AWS Security Finding Format (ASFF) の構文、フィールド、または値が更新されました。
+ `NEW_INTEGRATION` – 他の AWS サービスまたはサードパーティー製品との新しい統合が利用可能になりました。
+ `NEW_FEATURE` – Security Hub CSPM の新しい機能を利用できるようになりました。
+ `UPDATED_FEATURE` – Security Hub CSPM の既存の機能が更新されました。

Amazon SNS がサポートするすべての形式で通知を使用できます。[Security Hub CSPM が利用可能なすべてのAWS リージョン](https://docs.aws.amazon.com/general/latest/gr/sechub.html) で、Security Hub CSPM の発表をサブスクライブできます。

Amazon SNS トピックにサブスクライブするには、ユーザーは、`Subscribe` 許可が必要です。これは、Amazon SNS ポリシー、IAM ポリシー、またはその両方で実現できます。詳細については、「[IAM and Amazon SNS policies together](https://docs.aws.amazon.com/sns/latest/dg/sns-using-identity-based-policies.html#iam-and-sns-policies)」(IAM と Amazon SNS のポリシーを一緒に) の「*Amazon Simple 通知サービス デベロッパーガイド*」を参照してください。

**注記**  
Security Hub CSPM は、 全体の Security Hub CSPM サービスの更新に関する Amazon SNS の発表をサブスクライブしている AWS アカウントに送信します。Security Hub CSPM アカウント内の結果に関する通知を受け取るには、「[Security Hub CSPM での検出結果詳細と検出結果履歴のレビュー](securityhub-findings-viewing.md)」を参照してください。

Amazon SNS トピックについて Amazon Simple Queue Service (Amazon SQS) キューをサブスクライブできますが、同じリージョンにある Amazon SNS トピックの Amazon リソースネーム (ARN) を使用する必要があります。詳細については、「*Amazon Simple Queue Service デベロッパーガイド*」の「[Amazon SNS トピックへのキューのサブスクライブ](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-subscribe-queue-sns-topic.html)」を参照してください。

 AWS Lambda 関数を使用して、通知を受信したときにイベントを呼び出すこともできます。サンプル関数コードを含む詳細については、「 *AWS Lambda デベロッパーガイド*」の[「チュートリアル: Amazon Simple Notification Service AWS Lambda での の使用](https://docs.aws.amazon.com/lambda/latest/dg/with-sns-example.html)」を参照してください。

各リージョンの Amazon SNS トピックの ARN は次のとおりです。


| AWS リージョン | Amazon SNS トピックの ARN | 
| --- | --- | 
| 米国東部(オハイオ) | arn:aws:sns:us-east-2:291342846459:SecurityHubAnnouncements | 
| 米国東部 (バージニア北部) | arn:aws:sns:us-east-1:088139225913:SecurityHubAnnouncements | 
| 米国西部 (北カリフォルニア) | arn:aws:sns:us-west-1:137690824926:SecurityHubAnnouncements | 
| 米国西部 (オレゴン) | arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements | 
| アフリカ (ケープタウン) | arn:aws:sns:af-south-1:463142546776:SecurityHubAnnouncements | 
| アジアパシフィック (香港) | arn:aws:sns:ap-east-1:464812404305:SecurityHubAnnouncements | 
| アジアパシフィック (ハイデラバード) | arn:aws:sns:ap-south-2:849907286123:SecurityHubAnnouncements | 
| アジアパシフィック (ジャカルタ) | arn:aws:sns:ap-southeast-3:627843640627:SecurityHubAnnouncements | 
| アジアパシフィック (ムンバイ) | arn:aws:sns:ap-south-1:707356269775:SecurityHubAnnouncements | 
| アジアパシフィック (大阪) | arn:aws:sns:ap-northeast-3:633550238216:SecurityHubAnnouncements | 
| アジアパシフィック (ソウル) | arn:aws:sns:ap-northeast-2:374299265323:SecurityHubAnnouncements | 
| アジアパシフィック (シンガポール) | arn:aws:sns:ap-southeast-1:512267288502:SecurityHubAnnouncements | 
| アジアパシフィック (シドニー) | arn:aws:sns:ap-southeast-2:475730049140:SecurityHubAnnouncements | 
| アジアパシフィック (東京) | arn:aws:sns:ap-northeast-1:592469075483:SecurityHubAnnouncements | 
| カナダ (中部) | arn:aws:sns:ca-central-1:137749997395:SecurityHubAnnouncements | 
| 中国 (北京) | arn:aws-cn:sns:cn-north-1:672341567257:SecurityHubAnnouncements | 
| 中国 (寧夏) | arn:aws-cn:sns:cn-northwest-1:672534482217:SecurityHubAnnouncements | 
| 欧州 (フランクフルト) | arn:aws:sns:eu-central-1:871975303681:SecurityHubAnnouncements | 
| 欧州 (アイルランド) | arn:aws:sns:eu-west-1:705756202095:SecurityHubAnnouncements | 
| 欧州 (ロンドン) | arn:aws:sns:eu-west-2:883600840440:SecurityHubAnnouncements | 
| 欧州 (ミラノ) | arn:aws:sns:eu-south-1:151363035580:SecurityHubAnnouncements | 
| 欧州 (パリ) | arn:aws:sns:eu-west-3:313420042571:SecurityHubAnnouncements | 
| 欧州 (スペイン) | arn:aws:sns:eu-south-2:777487947751:SecurityHubAnnouncements | 
| 欧州 (ストックホルム) | arn:aws:sns:eu-north-1:191971010772:SecurityHubAnnouncements | 
| 欧州 (チューリッヒ) | arn:aws:sns:eu-central-2:704347005078:SecurityHubAnnouncements | 
| イスラエル (テルアビブ) | arn:aws:sns:il-central-1:726652212146:SecurityHubAnnouncements | 
| 中東 (バーレーン) | arn:aws:sns:me-south-1:585146626860:SecurityHubAnnouncements | 
| 中東 (アラブ首長国連邦) | arn:aws:sns:me-central-1:431548502100:SecurityHubAnnouncements | 
| 南米 (サンパウロ) | arn:aws:sns:sa-east-1:359811883282:SecurityHubAnnouncements | 
| AWS GovCloud (米国東部) | arn:aws-us-gov:sns:us-gov-east-1:239368469855:SecurityHubAnnouncements | 
| AWS GovCloud (米国西部) | arn:aws-us-gov:sns:us-gov-west-1:239334163374:SecurityHubAnnouncements | 

メッセージは通常、[パーティション](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)内のリージョン間で同じであるため、各パーティションの 1 つのリージョンにサブスクライブすれば、そのパーティションのすべてのリージョンに影響する発表を受け取ることができます。メンバーアカウントに関連する発表は、管理者アカウントではレプリケートされません。その結果、管理者アカウントを含む各アカウントには、各発表のコピーが 1 つだけ存在することになります。Security Hub CSPM の発表をサブスクライブするために使用するアカウントを決定できます。

Security Hub CSPM の発表をサブスクライブするコストの詳細については、「[Amazon SNS 料金](https://aws.amazon.com/sns/pricing/)」を参照してください。

**Security Hub CSPM の発表のサブスクライブ (コンソール)**

1. Amazon SNS コンソールの[https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)を開いてください。

1. リージョンのリストで、Security Hub CSPM の発表をサブスクライブするリージョンを選択します。この例では、`us-west-2` リージョンを使用します。

1. ナビゲーションペインで、**[Subscriptions]** (サブスクリプション) を選択して、**[Create subscription]** (サブスクリプションの作成) を選択します。

1. **[Topic ARN]** (トピック ARN) ボックスにトピック ARN を入力します。例えば、`arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements`。

1. **[プロトコル]** で、Security Hub CSPM の発表を受け取る方法を選択します。**[Email]** (E メール) を選択した場合、**[Endpoint]** (エンドポイント) で、発表の受信に使用する E メールアドレスを入力します。

1. [**Create subscription**] を選択してください。

1. サブスクリプションを確認します。例えば、E メールプロトコルを選択した場合、指定した E メールに Amazon SNS からサブスクリプションの確認メッセージが送信されます。

**Security Hub CSPM の発表のサブスクライブ (AWS CLI)**

1. 次のコマンドを実行します。

   ```
    aws  sns --region us-west-2 subscribe --topic-arn arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements --protocol email --notification-endpoint your_email@your_domain.com
   ```

1. サブスクリプションを確認します。例えば、E メールプロトコルを選択した場合、指定した E メールに Amazon SNS からサブスクリプションの確認メッセージが送信されます。

## Amazon SNS メッセージ形式
<a name="securityhub-announcements-example"></a>

以下の例は、新しいセキュリティコントロールの導入に関する Amazon SNS からの Security Hub CSPM の発表を示しています。メッセージの内容は発表のタイプによって異なりますが、形式はすべての発表タイプで同じです。オプションで、発表に関する詳細を指定する `Link` フィールドを含めることができます。

**例: 新しいコントロールに関する Security Hub CSPM の発表 (E メールプロトコル)**

```
{
"AnnouncementType":"NEW_STANDARDS_CONTROLS",
"Title":"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard",
"Description":"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9), 
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured Security Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. "
}
```

**例: 新しいコントロールに関する Security Hub CSPM の発表 (E メール JSON プロトコル)**

```
{
  "Type" : "Notification",
  "MessageId" : "d124c9cf-326a-5931-9263-92a92e7af49f",
  "TopicArn" : "arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements",
  "Message" : "{\"AnnouncementType\":\"NEW_STANDARDS_CONTROLS\",\"Title\":\"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard\",\"Description\":\"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9), 
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured SSecurity Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. \"}",
  "Timestamp" : "2022-08-04T19:11:12.652Z",
  "SignatureVersion" : "1",
  "Signature" : "HTHgNFRYMetCvisulgLM4CVySvK9qCXFPHQDxYl9tuCFQuIrd7YO4m4YFR28XKMgzqrF20YP+EilipUm2SOTpEEtOTekU5bn74+YmNZfwr4aPFx0vUuQCVOshmHl37hjkiLjhCg/t53QQiLfP7MH+MTXIUPR37k5SuFCXvjpRQ8ynV532AH3Wpv0HmojDLMg+eg51V1fUsOG8yiJVCBEJhJ1yS+gkwJdhRk2UQab9RcAmE6COK3hRWcjDwqTXz5nR6Ywv1ZqZfLIl7gYKslt+jsyd/k+7kOqGmOJRDr7qhE7H+7vaGRLOptsQnbW8VmeYnDbahEO8FV+Mp1rpV+7Qg==",
  "SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-56e67fcb41f6fec09b0196692625d385.pem",
  "UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements:9d0230d7-d582-451d-9f15-0c32818bf61f"
}
```

# Security Hub CSPM の無効化
<a name="securityhub-disable"></a>

 AWS Security Hub CSPM コンソールまたは Security Hub API を使用して、Security Hub CSPM を無効にすることができます。Security Hub CSPM を無効にしても、後で再度有効にできます。

組織で中央設定を使用している場合、 Security Hub 委任管理者は、特定のアカウントや組織単位 (OU) でのみ Security Hub CSPM を無効にし、他のアカウントや OU では有効のままにしておく設定ポリシーを作成することができます。設定ポリシーは、ホームリージョンおよびリンクされたすべてのリージョンで有効になります。詳細については、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

アカウントで Security Hub CSPM を無効にすると、次のようになります。
+ アカウントでは、すべての Security Hub CSPM 標準およびコントロールが無効となります。
+ Security Hub CSPM は、そのアカウントの検出結果の生成、更新、取り込みを停止します。
+ 30 日後、Security Hub CSPM はそのアカウントの既存のアーカイブされた検出結果をすべて完全に削除します。Security Hub CSPM を使用して検出結果を復元することはできません。
+ 90 日後、Security Hub CSPM はアカウントの既存のアクティブな検出結果をすべて完全に削除します。Security Hub CSPM を使用して検出結果を復元することはできません。
+ 90 日後、Security Hub CSPM は、そのアカウントの既存のインサイトと Security Hub CSPM 設定をすべて完全に削除します。これらのデータおよび設定は復元できません。

既存の検出結果を保持するには、Security Hub CSPM を無効にする前に、検出結果を S3 バケットにエクスポートできます。これを行うには、Amazon EventBridge ルールでカスタムアクションを使用します。詳細については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。

アカウントの Security Hub CSPM を無効にしてから 90 日以内に再度有効にすると、既存のアクティブな検出結果、およびアカウントのインサイトと Security Hub CSPM 設定へのアクセスが回復します。30 日以内に Security Hub CSPM を再度有効にすると、アカウントの既存のアーカイブされた検出結果へのアクセスも回復します。ただし、Security Hub CSPM を無効にすると AWS 環境の状態が反映されるため、既存の検出結果は不正確になる可能性があります。さらに、個々の標準とコントロールを再度有効にすると、Security Hub CSPM は、有効にする標準とコントロールに応じて、最初に特定の AWS リソースに対して重複した検出結果を生成することがあります。このような理由から、次のいずれかを実行することをお勧めします。
+ Security Hub CSPM を無効にする前に、既存のすべての検出結果のワークフローステータスを `RESOLVED` に変更します。詳細については、「[検出結果のワークフローステータスを設定する](findings-workflow-status.md)」を参照してください。
+ Security Hub CSPM を無効にする少なくとも 6 日前に、すべての標準を無効にします。その後、Security Hub CSPM は、すべての既存の検出結果をベストエフォートベースでアーカイブ化します。通常は 3～5 日以内にアーカイブ化が完了します。詳細については、「[セキュリティ標準の無効化](disable-standards.md)」を参照してください。

次の場合は、Security Hub CSPM を無効にすることはできません。
+ お使いのアカウントが組織の Security Hub CSPM 委任管理者アカウントである場合。中央設定を使用している場合、Security Hub CSPM を無効にする設定ポリシーを、委任管理者アカウントに関連付けることはできません。関連付けは他のアカウントについては成功する可能性がありますが、Security Hub CSPM はこのようなポリシーを委任管理者アカウントに適用しません。
+ お使いのアカウントが招待による Security Hub 管理者アカウントであり、メンバーアカウントをお持ちの場合。Security Hub CSPM を無効にするには、すべてのメンバーアカウントの関連付けを解除する必要があります。この方法の詳細は、「[Security Hub CSPM でメンバーアカウントの関連付けを解除する](securityhub-disassociate-members.md)」を参照してください。

メンバーアカウントの所有者が Security Hub CSPM を無効にする前に、そのアカウントと管理者アカウントとの関連付けを解除する必要があります。組織アカウントの場合、メンバーアカウントの関連付けを解除できるのは管理者アカウントのみです。詳細については、「[組織から Security Hub CSPM メンバーアカウントの関連付けを解除する](accounts-orgs-disassociate.md)」を参照してください。手動で招待されたアカウントの場合、管理者アカウントまたはメンバーアカウントのいずれかでメンバーアカウントの関連付けを解除できます。詳細については、[Security Hub CSPM でメンバーアカウントの関連付けを解除する](securityhub-disassociate-members.md)または[Security Hub CSPM 管理者アカウントとの関連付けを解除する](securityhub-disassociate-from-admin.md)を参照してください。中央設定を使用している場合は、特定のメンバーアカウントについて Security Hub CSPM を無効にするポリシーを作成できるため、関連付けを解除する必要はありません。

アカウントの Security Hub CSPM を無効にすると、現在の でのみ無効になります AWS リージョン。ただし、中央設定を使用して特定のアカウントで Security Hub CSPM を無効にすると、ホームリージョンおよびすべてのリンクされたリージョンで無効になります。

ご希望の方法を選択し、手順に従って Security Hub CSPM を無効にします。

------
#### [ Security Hub CSPM console ]

コンソールを使用して Security Hub CSPM を無効にするには、以下のステップに従います。

**Security Hub CSPM を無効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインの **[設定]**で、**[全般設定]** を選択します。

1. **[Security Hub CSPM の無効化]**セクションで、**[Security Hub CSPM の無効化]** を選択します。

1. 確認を求められたら、**[Security Hub CSPM を無効化する]** を選択します。

------
#### [ Security Hub API ]

Security Hub CSPM をプログラムで無効にするには、 AWS Security Hub API の [DisableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableSecurityHub.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、 [disable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-security-hub.html) コマンドを実行します。たとえば、次のコマンドは、現在の で Security Hub CSPM を無効にします AWS リージョン。

```
$ aws securityhub disable-security-hub
```

------

# のセキュリティ AWS Security Hub CSPM
<a name="security"></a>

でのクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャからメリットを得られます。

セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。
+ **クラウドのセキュリティ** – クラウドで AWS AWS サービスを実行するインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。[「AWS 」 コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。「 AWS Security Hub CSPM」 に適用されるコンプライアンスプログラムの詳細については、「[コンプライアンスプログラムによる対象範囲内の 「AWS 」 のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウドのセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。

このドキュメントは、Security Hub CSPM を使用する際に責任共有モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するように Security Hub CSPM を設定する方法について説明します。また、Security Hub CSPM リソースのモニタリングと保護に役立つ他の AWS サービスの使用方法についても説明します。

**Topics**
+ [でのデータ保護 AWS Security Hub CSPM](data-protection.md)
+ [AWS Security Hub CSPM の Identity and Access Management](security-iam.md)
+ [のコンプライアンス検証 AWS Security Hub CSPM](securityhub-compliance.md)
+ [AWS Security Hub の耐障害性](disaster-recovery-resiliency.md)
+ [のインフラストラクチャセキュリティ AWS Security Hub CSPM](infrastructure-security.md)
+ [AWS Security Hub CSPM およびインターフェイス VPC エンドポイント (AWS PrivateLink)](security-vpc-endpoints.md)

# でのデータ保護 AWS Security Hub CSPM
<a name="data-protection"></a>

責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、 でのデータ保護に適用されます AWS Security Hub CSPM。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+  AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Security Hub CSPM AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

Security Hub CSPM はマルチテナントサービスです。データ保護を確保するために、Security Hub CSPM は保管中のデータとコンポーネントサービス間の転送中のデータを暗号化します。

# AWS Security Hub CSPM の Identity and Access Management
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を認証 (サインイン) し、誰を認可する (Security Hub リソースの使用を許可する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。

**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [Security Hub と IAM の連携方法](security_iam_service-with-iam.md)
+ [のアイデンティティベースのポリシーの例 AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
+ [のサービスにリンクされたロール AWS Security Hub CSPM](using-service-linked-roles.md)
+ [AWS Security Hub の マネージドポリシー](security-iam-awsmanpol.md)
+ [AWS Security Hub CSPM ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)

## オーディエンス
<a name="security_iam_audience"></a>

 AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[AWS Security Hub CSPM ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Security Hub と IAM の連携方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[のアイデンティティベースのポリシーの例 AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)」を参照)

## アイデンティティを使用した認証
<a name="security_iam_authentication"></a>

認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。

 AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。

プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。

### AWS アカウント ルートユーザー
<a name="security_iam_authentication-rootuser"></a>

 を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。

### フェデレーテッドアイデンティティ
<a name="security_iam_authentication-federated"></a>

ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。

*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID Directory Service ソースの認証情報 AWS のサービス を使用して にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。

アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。

### IAM ユーザーとグループ
<a name="security_iam_authentication-iamuser"></a>

*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。

### IAM ロール
<a name="security_iam_authentication-iamrole"></a>

*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。

IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。

## ポリシーを使用したアクセスの管理
<a name="security_iam_access-manage"></a>

でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。

管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。

デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。

### アイデンティティベースのポリシー
<a name="security_iam_access-manage-id-based-policies"></a>

アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。

アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。

### リソースベースのポリシー
<a name="security_iam_access-manage-resource-based-policies"></a>

リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。

リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。

### その他のポリシータイプ
<a name="security_iam_access-manage-other-policies"></a>

AWS は、より一般的なポリシータイプによって付与されるアクセス許可の上限を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。

### 複数のポリシータイプ
<a name="security_iam_access-manage-multiple-policies"></a>

1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。

# Security Hub と IAM の連携方法
<a name="security_iam_service-with-iam"></a>

 AWS Identity and Access Management (IAM) を使用して へのアクセスを管理する前に AWS Security Hub CSPM、Security Hub CSPM で使用できる IAM 機能を確認してください。


**で使用できる IAM 機能 AWS Security Hub CSPM**  

| IAM 機能 | Security Hub CSPM のサポート | 
| --- | --- | 
|  [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)  |   あり  | 
|  [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)  |   なし   | 
|  [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions)  |   あり  | 
|  [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources)  |   いいえ   | 
|  [ポリシー条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   はい  | 
|  [アクセスコントロールリスト (ACL) ](#security_iam_service-with-iam-acls)  |   いいえ   | 
|  [属性ベースのアクセス制御 (ABAC) – ポリシー内のタグ](#security_iam_service-with-iam-tags)  |   はい  | 
|  [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds)  |   あり  | 
|  [転送アクセスセッション (FAS)](#security_iam_service-with-iam-principal-permissions)  |   あり  | 
|  [サービスロール](#security_iam_service-with-iam-roles-service)  |   いいえ   | 
|  [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked)  |   はい  | 

Security Hub CSPM およびその他の がほとんどの IAM 機能と AWS のサービス 連携する方法の概要については、[AWS のサービス 「IAM ユーザーガイド」の「IAM と連携する ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。 **

## Security Hub CSPM のアイデンティティベースのポリシー
<a name="security_iam_service-with-iam-id-based-policies"></a>

**ID ベースのポリシーのサポート:** あり

アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。

IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

Security Hub CSPM は、アイデンティティベースのポリシーをサポートしています。詳細については、「[のアイデンティティベースのポリシーの例 AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)」を参照してください。

## Security Hub CSPM のリソースベースのポリシー
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**リソースベースのポリシーのサポート:** なし 

リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー*や Amazon S3 *バケットポリシー*があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。

クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。

Security Hub CSPM はリソースベースのポリシーをサポートしていません。IAM ポリシーを Security Hub CSPM リソースに直接アタッチすることはできません。

## Security Hub CSPM のポリシーアクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**ポリシーアクションのサポート:** あり

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Security Hub CSPM のポリシーアクションは、アクションの前に次のプレフィックスを使用します。

```
securityhub:
```

例えば、Security Hub CSPM API の `EnableSecurityHub`オペレーションに対応するアクションである Security Hub CSPM を有効にするアクセス許可をユーザーに付与するには、ポリシーに `securityhub:EnableSecurityHub`アクションを含めます。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。Security Hub CSPM は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

```
"Action": "securityhub:EnableSecurityHub"
```

単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。例えば、次のようになります。

```
"Action": [
      "securityhub:EnableSecurityHub",
      "securityhub:BatchEnableStandards"
```

ワイルドカード (\$1) を使用して複数のアクションを指定することもできます。例えば、`Get` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

```
"Action": "securityhub:Get*"
```

ただしベストプラクティスとして、最小特権 の原則に準拠したポリシーを作成してください。別の言い方をすると、特定タスクの実行にのみ必要とされる権限のみが含まれたポリシーを作成してください。

`BatchGetSecurityControls`、`BatchGetStandardsControlAssociations`、および `ListStandardsControlAssociations` にアクセスするには、ユーザーが `DescribeStandardsControl` オペレーションにアクセスできる必要があります。

`BatchUpdateStandardsControlAssociations` および `UpdateSecurityControl` にアクセスするには、ユーザーが `UpdateStandardsControls` オペレーションにアクセスできる必要があります。

Security Hub CSPM アクションのリストについては、*「サービス認可リファレンス*」の[「 で定義されるアクション AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions)」を参照してください。Security Hub CSPM アクションを指定するポリシーの例については、「」を参照してください[のアイデンティティベースのポリシーの例 AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)。

## Security Hub CSPM のポリシーリソース
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**ポリシーリソースのサポート:** なし 

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。

`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。

```
"Resource": "*"
```

Security Hub CSPM では、次のリソースタイプを定義します。
+ [Hub] (ハブ)
+ 製品
+ *クロスリージョンアグリゲーター*とも呼ばれるアグリゲーターの検出
+ 自動化ルール
+ 設定ポリシー

ARN を使用して、ポリシーでこれらのタイプのリソースを指定できます。

Security Hub CSPM リソースタイプとそれぞれの ARN 構文のリストについては、*「サービス認可リファレンス*」の「 [で定義されるリソースタイプ AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies)」を参照してください。リソースタイプごとに指定できるアクションについては、「*サービス認可リファレンス*」の「[AWS Security Hub CSPMで定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions)」を参照してください。リソースを指定するポリシーの例については、[のアイデンティティベースのポリシーの例 AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)を参照してください。

## Security Hub CSPM のポリシー条件キー
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**サービス固有のポリシー条件キーのサポート:** あり

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

Security Hub CSPM 条件キーのリストについては、*「サービス認可リファレンス*[」の「 の条件キー AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys)」を参照してください。どのアクションおよびリソースで条件キーを使用できるかについては、「[AWS Security Hub CSPMで定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions)」を参照してください。条件キーを使用するポリシーの例については、「[のアイデンティティベースのポリシーの例 AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)」を参照してください。

## Security Hub CSPM のアクセスコントロールリスト (ACLs)
<a name="security_iam_service-with-iam-acls"></a>

**ACL のサポート:** なし 

アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。

Security Hub CSPM は ACLs をサポートしていません。つまり、ACL を Security Hub CSPM リソースにアタッチすることはできません。

## Security Hub CSPM を使用した属性ベースのアクセスコントロール (ABAC)
<a name="security_iam_service-with-iam-tags"></a>

**ABAC (ポリシー内のタグ) のサポート:** あり

属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。

タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。

サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。

ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。

Security Hub CSPM リソースにタグをアタッチできます。ポリシーの `Condition` 要素にタグ情報を指定することで、リソースへのアクセスを制御することもできます。

Security Hub CSPM リソースのタグ付けについては、「」を参照してください[Security Hub リソースのタグ付け](tagging-resources.md)。タグに基づいてリソースへのアクセスを制御するアイデンティティベースのポリシーの例については、[のアイデンティティベースのポリシーの例 AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)をご参照ください。

## Security Hub CSPM での一時的な認証情報の使用
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**一時的な認証情報のサポート:** あり

一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたは切り替えロールを使用する場合に自動的に作成されます。 AWS では、長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。

Security Hub CSPM は、一時的な認証情報の使用をサポートしています。

## Security Hub CSPM の転送アクセスセッション
<a name="security_iam_service-with-iam-principal-permissions"></a>

**転送アクセスセッション (FAS) のサポート:** あり

 転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。

例えば、Security Hub CSPM を と統合 AWS のサービス するとき、 AWS Organizations および Organizations 内の組織の委任 Security Hub CSPM 管理者アカウントを指定するときに、Security Hub CSPM はダウンストリームに FAS リクエストを実行します。

その他のタスクでは、Security Hub CSPM はサービスにリンクされたロールを使用してユーザーに代わってアクションを実行します。このロールの詳細については、[のサービスにリンクされたロール AWS Security Hub CSPM](using-service-linked-roles.md)を参照してください。

## Security Hub CSPM のサービスロール
<a name="security_iam_service-with-iam-roles-service"></a>

Security Hub CSPM はサービスロールを引き受けたり使用したりしません。ユーザーに代わってアクションを実行するために、Security Hub CSPM はサービスにリンクされたロールを使用します。このロールの詳細については、[のサービスにリンクされたロール AWS Security Hub CSPM](using-service-linked-roles.md)を参照してください。

**警告**  
サービスロールのアクセス許可を変更すると、Security Hub CSPM の使用に伴う運用上の問題が発生する可能性があります。Security Hub CSPM が指示する場合にのみ、サービスロールを編集します。

## Security Hub CSPM のサービスにリンクされたロール
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**サービスリンクロールのサポート:** あり

 サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。

Security Hub CSPM は、サービスにリンクされたロールを使用してユーザーに代わってアクションを実行します。このロールの詳細については、[のサービスにリンクされたロール AWS Security Hub CSPM](using-service-linked-roles.md)を参照してください。

# のアイデンティティベースのポリシーの例 AWS Security Hub CSPM
<a name="security_iam_id-based-policy-examples"></a>

デフォルトでは、ユーザーとロールには Security Hub CSPM リソースを作成または変更するアクセス許可はありません。また、 AWS マネジメントコンソール、 AWS CLI、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、指定されたリソースで特定の API 操作を実行するための許可をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらのアクセス許可が必要なユーザーまたはグループにそのポリシーをアタッチします。

JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「**IAM ユーザーガイド」の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。

**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Security Hub CSPM コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [例: ユーザーにそれぞれのアクセス権限の表示を許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [例: ユーザーに設定ポリシーの作成と管理を許可する](#security_iam_id-based-policy-examples-create-configuration-policy)
+ [例: ユーザーに検出結果の表示を許可する](#security_iam_id-based-policy-examples-view-findings)
+ [例: ユーザーに自動化ルールの作成と管理を許可する](#security_iam_id-based-policy-examples-create-automation-rule)

## ポリシーに関するベストプラクティス
<a name="security_iam_service-with-iam-policy-best-practices"></a>

ID ベースのポリシーは、あるユーザーがアカウント内で Security Hub リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。

IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。

## Security Hub CSPM コンソールの使用
<a name="security_iam_id-based-policy-examples-console"></a>

 AWS Security Hub CSPM コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の Security Hub CSPM リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。

 AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。

これらのユーザーとロールが Security Hub CSPM コンソールを使用できるようにするには、次の AWS 管理ポリシーもエンティティにアタッチします。詳細については、*IAM ユーザーガイド*」の「[ユーザーへの許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## 例: ユーザーにそれぞれのアクセス権限の表示を許可する
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## 例: ユーザーに設定ポリシーの作成と管理を許可する
<a name="security_iam_id-based-policy-examples-create-configuration-policy"></a>

この例では、ユーザーが設定ポリシーを作成、表示、更新、削除できるようにする IAM ポリシーを作成する方法を示します。このポリシー例では、ポリシーの関連付けを開始、停止、表示することもできます。この IAM ポリシーを機能させるには、ユーザーは組織の委任 Security Hub CSPM 管理者である必要があります。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndUpdateConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:CreateConfigurationPolicy",
                "securityhub:UpdateConfigurationPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetConfigurationPolicy",
                "securityhub:ListConfigurationPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:DeleteConfigurationPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewConfigurationPolicyAssociation",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchGetConfigurationPolicyAssociations",
                "securityhub:GetConfigurationPolicyAssociation",
                "securityhub:ListConfigurationPolicyAssociations"
            ],
            "Resource": "*"
        },
        {
            "Sid": "UpdateConfigurationPolicyAssociation",
            "Effect": "Allow",
            "Action": [
                "securityhub:StartConfigurationPolicyAssociation",
                "securityhub:StartConfigurationPolicyDisassociation"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## 例: ユーザーに検出結果の表示を許可する
<a name="security_iam_id-based-policy-examples-view-findings"></a>

この例では、Security Hub CSPM の検出結果の表示をユーザーに許可する IAM ポリシーを作成する方法を示します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReviewFindings",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetFindings"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## 例: ユーザーに自動化ルールの作成と管理を許可する
<a name="security_iam_id-based-policy-examples-create-automation-rule"></a>

この例では、Security Hub CSPM 自動化ルールの作成、表示、更新、削除をユーザーに許可する IAM ポリシーを作成する方法を示します。この IAM ポリシーを使用するには、ユーザーが Security Hub CSPM 管理者である必要があります。アクセス許可を制限するには、例えば、ユーザーに自動化ルールの表示のみを許可するには、作成、更新、削除のアクセス許可を削除できます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndUpdateAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:CreateAutomationRule",
                "securityhub:BatchUpdateAutomationRules"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchGetAutomationRules",
                "securityhub:ListAutomationRules"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchDeleteAutomationRules"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# のサービスにリンクされたロール AWS Security Hub CSPM
<a name="using-service-linked-roles"></a>

AWS Security Hub CSPM は、 という名前の AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します`AWSServiceRoleForSecurityHub`。このサービスにリンクされたロールは、Security Hub CSPM に直接リンクされた IAM ロールです。これは Security Hub CSPM によって事前定義されており、Security Hub CSPM がユーザーに代わって他の を呼び出し AWS のサービス て AWS リソースをモニタリングするために必要なすべてのアクセス許可が含まれています。Security Hub CSPM は、Security Hub CSPM AWS リージョン が利用可能なすべての で、このサービスにリンクされたロールを使用します。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Security Hub CSPM の設定が簡単になります。Security Hub CSPM は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Security Hub CSPM のみがロールを引き受けることができます。定義される許可には、信頼ポリシーや許可ポリシーなどがあり、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールの詳細を確認するには、Security Hub CSPM コンソールを使用できます。ナビゲーションペインの **[設定]** で、**[全般設定]** を選択します。次に、**[サービスアクセス許可]** セクションで、**[サービスアクセス許可の表示]** を選択します。

Security Hub のサービスにリンクされたロールを削除できるのは、Security Hub CSPM が有効になっているすべてのリージョンで Security Hub CSPM を無効にした後のみです。これにより、Security Hub CSPM リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。

サービスにリンクされたロールをサポートするその他のサービスについては、「*IAM ユーザーガイド*」の「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照のうえで、**[サービスにリンクされたロール]** 列の値が **[はい]** になっているサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、**[Yes]** (はい) リンクを選択します。

**Topics**
+ [Security Hub CSPM のサービスにリンクされたロールのアクセス許可](#slr-permissions)
+ [Security Hub CSPM のサービスにリンクされたロールの作成](#create-slr)
+ [Security Hub CSPM のサービスにリンクされたロールの編集](#edit-slr)
+ [Security Hub CSPM のサービスにリンクされたロールの削除](#delete-slr)
+ [AWS Security Hub V2 のサービスにリンクされたロール](#slr-permissions-v2)

## Security Hub CSPM のサービスにリンクされたロールのアクセス許可
<a name="slr-permissions"></a>

Security Hub CSPM は、 という名前のサービスにリンクされたロールを使用します`AWSServiceRoleForSecurityHub`。これは、 が リソースにアクセス AWS Security Hub CSPM するために必要なサービスにリンクされたロールです。このサービスにリンクされたロールにより、Security Hub CSPM は他の からの検出結果の受信 AWS のサービス や、コントロールのセキュリティチェックを実行するために必要な AWS Config インフラストラクチャの設定などのタスクを実行できます。`AWSServiceRoleForSecurityHub` サービスにリンクされたロールは、ロールを継承するために `securityhub.amazonaws.com` のサービスを信頼します。

`AWSServiceRoleForSecurityHub` サービスにリンクされたロールは、マネージドポリシーである [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy) を使用します。

IAM アイデンティティ (ロール、グループ、ユーザーなど) に、サービスにリンクされたロールの作成、編集、削除を許可する設定をする必要があります。`AWSServiceRoleForSecurityHub` サービスにリンクされたロールを正常に作成するには、Security Hub CSPM へのアクセスに使用する IAM ID に必要なアクセス許可が必要です。必要な許可を付与するには、次のポリシーを IAM アイデンティティにアタッチします。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Security Hub CSPM のサービスにリンクされたロールの作成
<a name="create-slr"></a>

`AWSServiceRoleForSecurityHub` サービスにリンクされたロールは、Security Hub CSPM を初めて有効にするか、以前に有効にしていなかったリージョンで Security Hub CSPM を有効にすると、自動的に作成されます。あるいは、IAM コンソール、IAM CLI、もしくは IAM API を使って、`AWSServiceRoleForSecurityHub` のサービスリンクロールを手動で作成することもできます。IAM ロールを手動で作成する方法の詳細は、「IAM ユーザーガイド」の「[サービスにリンクされたロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。

**重要**  
Security Hub CSPM 管理者アカウント用に作成されたサービスにリンクされたロールは、関連する Security Hub CSPM メンバーアカウントには適用されません。

## Security Hub CSPM のサービスにリンクされたロールの編集
<a name="edit-slr"></a>

Security Hub CSPM では、`AWSServiceRoleForSecurityHub`サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## Security Hub CSPM のサービスにリンクされたロールの削除
<a name="delete-slr"></a>

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。

Security Hub CSPM を無効にすると、Security Hub CSPM は`AWSServiceRoleForSecurityHub`サービスにリンクされたロールを自動的に削除しません。Security Hub CSPM を再度有効にすると、サービスは既存のサービスにリンクされたロールの使用を再開できます。Security Hub CSPM を使用する必要がなくなった場合は、サービスにリンクされたロールを手動で削除できます。

**重要**  
`AWSServiceRoleForSecurityHub` サービスにリンクされたロールを削除する前に、そのロールが有効になっているすべてのリージョンで Security Hub CSPM を無効にする必要があります。詳細については、「[Security Hub CSPM の無効化](securityhub-disable.md)」を参照してください。サービスにリンクされたロールを削除しようとしたときに Security Hub CSPM が無効になっていない場合、削除は失敗します。

`AWSServiceRoleForSecurityHub` のサービスリンクロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## AWS Security Hub V2 のサービスにリンクされたロール
<a name="slr-permissions-v2"></a>

 は、 という名前のサービスにリンクされたロールを使用します`AWSServiceRoleForSecurityHubV2`。このサービスにリンクされたロールにより、 は組織およびユーザーに代わって の AWS Config ルールとリソースを管理できます。`AWSServiceRoleForSecurityHubV2` サービスにリンクされたロールは、ロールを継承するために `securityhub.amazonaws.com` のサービスを信頼します。

`AWSServiceRoleForSecurityHubV2` サービスにリンクされたロールは、マネージドポリシーである [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) を使用します。

**アクセス許可の詳細**  
 このポリシーには、以下のアクセス許可が含まれています。
+  `cloudwatch` – ロールがメトリクスデータを取得して、 リソースの計測機能をサポートできるようにします。
+  `config` – グローバルレコーダーのサポートなど、 リソースのサービスにリンクされた設定 AWS Config レコーダーを管理できるようにします。
+  `ecr` – ロールが Amazon Elastic Container Registry イメージとリポジトリに関する情報を取得して、計測機能をサポートできるようにします。
+  `iam` – 計測機能をサポートするために、ロールが のサービスにリンクされたロールを作成し AWS Config 、アカウント情報を取得できるようにします。
+  `lambda` – ロールが計測機能をサポートする AWS Lambda 関数情報を取得できるようにします。
+  `organizations` – ロールが組織のアカウントおよび組織単位 (OU) 情報を取得できるようにします。
+  `securityhub` – ロールが設定を管理できるようにします。
+  `tag` – ロールがリソースタグに関する情報を取得できるようにします。

IAM アイデンティティ (ロール、グループ、ユーザーなど) に、サービスにリンクされたロールの作成、編集、削除を許可する設定をする必要があります。`AWSServiceRoleForSecurityHubV2` サービスにリンクされたロールを正常に作成するには、アクセスに使用する IAM ID に必要なアクセス許可が必要です。必要な許可を付与するには、次のポリシーを IAM アイデンティティにアタッチします。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

### AWS Security Hub V2 のサービスにリンクされたロールの作成
<a name="create-slr-v2"></a>

`AWSServiceRoleForSecurityHubV2` サービスにリンクされたロールは、 を初めて有効にするか、以前に有効にしていなかったリージョンで を有効にしたときに自動的に作成されます。あるいは、IAM コンソール、IAM CLI、もしくは IAM API を使って、`AWSServiceRoleForSecurityHubV2` のサービスリンクロールを手動で作成することもできます。IAM ロールを手動で作成する方法の詳細は、「IAM ユーザーガイド」の「[サービスにリンクされたロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。

**重要**  
管理者アカウント用に作成されたサービスにリンクされたロールは、関連付けられたメンバーアカウントには適用されません。

### AWS Security Hub V2 のサービスにリンクされたロールの編集
<a name="edit-slr-v2"></a>

 では、`AWSServiceRoleForSecurityHubV2`サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

### AWS Security Hub V2 のサービスにリンクされたロールの削除
<a name="delete-slr-v2"></a>

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。

を無効にすると、 は`AWSServiceRoleForSecurityHubV2`サービスにリンクされたロールを自動的に削除しません。を再度有効にすると、サービスは既存のサービスにリンクされたロールの使用を再開できます。を使用する必要がなくなった場合は、サービスにリンクされたロールを手動で削除できます。

**重要**  
`AWSServiceRoleForSecurityHubV2` サービスにリンクされたロールを削除する前に、そのロールが有効になっているすべてのリージョンで を無効にする必要があります。詳細については、「[Security Hub CSPM の無効化](securityhub-disable.md)」を参照してください。サービスにリンクされたロールを削除しようとしたときに、 が無効になっていない場合、削除は失敗します。

`AWSServiceRoleForSecurityHubV2` のサービスリンクロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

# AWS Security Hub の マネージドポリシー
<a name="security-iam-awsmanpol"></a>

 AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。

 AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

 AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。

詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。



## AWS 管理ポリシー: AWSSecurityHubFullAccess
<a name="security-iam-awsmanpol-awssecurityhubfullaccess"></a>

`AWSSecurityHubFullAccess` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、プリンシパルが Security Hub のすべてのアクションにフルアクセスすることを可能にする管理者許可を付与します。このポリシーは、アカウントの Security Hub CSPM を手動で有効にする前に、プリンシパルに添付しておく必要があります。例えば、これらの許可を持つプリンシパルは、検出結果のステータスを閲覧および更新できます。また、カスタムインサイトの設定、統合の有効化、標準とコントロールの有効化と無効化を行うこともできます。管理者アカウントのプリンシパルは、メンバーアカウントを管理することもできます。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `securityhub` – すべての Security Hub CSPM アクションへのフルアクセスをプリンシパルに許可します。
+ `guardduty` – プリンシパルが Amazon GuardDuty でディテクターの完全なライフサイクル管理、組織管理者管理、メンバーアカウント管理、および組織全体の設定を実行できるようにします。これには、GetDetector、ListDetector、CreateDetector、UpdateDetector、DeleteDetector、EnableOrganizationAdminAccount、ListOrganizationAdminAccounts、CreateMembers、UpdateOrganizationConfiguration、DescribeOrganizationConfiguration などの API アクションが含まれます。
+ `iam` – プリンシパルが Security Hub CSPM と Security Hub のサービスにリンクされたロールを作成し、ロール、ポリシー、ポリシーバージョンを取得できるようにします。
+ `inspector` – プリンシパルが Amazon Inspector でアカウントステータスに関する情報の取得、有効化または無効化、管理者管理の委任、組織設定管理の実行を行うことができます。これには、API アクション BatchGetAccountStatus、Enable、Disable、EnableDelegatedAdminAccount、DisableDelegatedAdminAccount、ListDelegatedAdminAccounts、UpdateOrganizationConfiguration、DescribeOrganizationConfiguration が含まれます。
+ `pricing` – プリンシパルが AWS のサービス および 製品の料金表を取得できるようにします。
+ `account` – Security Hub のリージョン管理をサポートするアカウントリージョンに関する情報の取得をプリンシパルに許可します。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html)」を参照してください。

## AWS 管理ポリシー: AWSSecurityHubReadOnlyAccess
<a name="security-iam-awsmanpol-awssecurityhubreadonlyaccess"></a>

`AWSSecurityHubReadOnlyAccess` ポリシーを IAM IDにアタッチできます。

このポリシーは、ユーザーが Security Hub CSPM 内の情報を確認できるようにするための読み取り専用の許可を付与します。このポリシーが添付されているプリンシパルは、Security Hub で更新を実行できません。例えば、これらの許可を持つプリンシパルは、アカウントに関連付けられた結果のリストを表示できますが、結果のステータスを変更することはできません。インサイトの結果を表示することはできますが、カスタムインサイトを作成したり設定したりすることはできません。コントロールや製品統合を設定することはできません。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `securityhub` – ユーザーは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、`Get`、`List`、または `Describe` で始まる API オペレーションが含まれます。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html)」を参照してください。

## AWS 管理ポリシー: AWSSecurityHubOrganizationsAccess
<a name="security-iam-awsmanpol-awssecurityhuborganizationsaccess"></a>

 `AWSSecurityHubOrganizationsAccess` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 の組織の Security Hub、Security Hub CSPM、Amazon GuardDuty、Amazon Inspector を有効化および管理するための管理アクセス許可を付与します AWS Organizations。このポリシーのアクセス許可により、組織管理アカウントは Security Hub、Security Hub CSPM、Amazon GuardDuty、Amazon Inspector の委任管理者アカウントを指定できます。また、Security Hub 委任管理者アカウントで、組織アカウントをメンバーアカウントとして有効化することもできます。

このポリシーは、 のアクセス許可のみを提供します AWS Organizations。組織管理アカウントおよび Security Hub 委任管理者アカウントは、関連する各種アクションに対する許可も必要とします。これらの許可は、`AWSSecurityHubFullAccess` マネージドポリシーを使用して付与することができます。

管理アカウントで委任管理者ポリシーを作成または更新するには、このポリシーで指定されていない追加のアクセス許可が必要です。これらのアクションを実行するには、AWSOrganizationsFullAccess ポリシーのアクセス許可を追加`organizations:PutResourcePolicy`またはアタッチすることをお勧めします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `organizations:ListAccounts` - 組織に属するアカウントリストの取得をプリンシパルに許可します。
+ `organizations:DescribeOrganization` - 組織に関する情報の取得をプリンシパルに許可します。
+ `organizations:ListRoots` - 組織ルートの一覧表示をプリンシパルに許可します。
+ `organizations:ListDelegatedAdministrators` - 組織の委任管理者の一覧表示をプリンシパルに許可します。
+ `organizations:ListAWSServiceAccessForOrganization` – プリンシパル AWS のサービス が、組織が使用する を一覧表示できるようにします。
+ `organizations:ListOrganizationalUnitsForParent` - 親 OU の子組織単位 (OU) の一覧表示をプリンシパルに許可します。
+ `organizations:ListAccountsForParent` - 親 OU の子アカウントの一覧表示をプリンシパルに許可します。
+  `organizations:ListParents` – 指定された子 OU もしくはアカウントの直接の親として機能するルートまたは組織単位 (OU) を一覧表示します。
+ `organizations:DescribeAccount` - 組織内のアカウントに関する情報の取得をプリンシパルに許可します。
+ `organizations:DescribeOrganizationalUnit` - 組織内の OU に関する情報の取得をプリンシパルに許可します。
+  `organizations:ListPolicies` – 指定されたタイプの組織内のすべてのポリシーのリストを取得します。
+  `organizations:ListPoliciesForTarget` – 指定されたターゲットルート、組織単位 (OU)、またはアカウントに直接アタッチされているポリシーを一覧表示します。
+  `organizations:ListTargetsForPolicy` – 指定されたポリシーがアタッチされているすべてのルート、組織単位 (OU)、およびアカウントを一覧表示します。
+ `organizations:EnableAWSServiceAccess` – Organizations との統合の有効化を、プリンシパルに許可します。
+ `organizations:RegisterDelegatedAdministrator` – 委任管理者アカウントの指定を、プリンシパルに許可します。
+ `organizations:DeregisterDelegatedAdministrator` – 委任管理者アカウントの削除を、プリンシパルに許可します。
+  `organizations:DescribePolicy` – ポリシーに関する情報を取得します。
+  `organizations:DescribeEffectivePolicy` – 指定されたポリシータイプとアカウントについて有効なポリシーのコンテンツを返します。
+  `organizations:CreatePolicy` – ルート、組織単位 (OU)、または個々の AWS アカウントにアタッチできる、指定されたタイプのポリシーを作成します。
+  `organizations:UpdatePolicy` – 既存のポリシーを、新しい名前、説明、またはコンテンツで更新します。
+  `organizations:DeletePolicy` – 指定されたポリシーを組織から削除します。
+  `organizations:AttachPolicy` – ルート、組織単位 (OU)、または個々のアカウントにポリシーをアタッチします。
+  `organizations:DetachPolicy` – ターゲットのルート、組織単位 (OU)、またはアカウントからポリシーをデタッチします。
+  `organizations:EnablePolicyType` – ルート内の特定のポリシータイプを有効化します。
+  `organizations:DisablePolicyType` – ルート内の特定の組織ポリシータイプを無効化します。
+  `organizations:TagResource` – 指定されたリソースに 1 つまたは複数のタグを追加します。
+  `organizations:UntagResource` – 指定されたリソースから、指定されたキーを持つタグを削除します。
+  `organizations:ListTagsForResource` – 指定されたリソースにアタッチされているタグのリストを表示します。
+  `organizations:DescribeResourcePolicy` – リソースポリシーに関する情報を取得します。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html)」を参照してください。

## AWS 管理ポリシー: AWSSecurityHubServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubservicerolepolicy"></a>

IAM エンティティに `AWSSecurityHubServiceRolePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって Security Hub CSPM がアクションを実行することを許可する、サービスにリンクされたロールに添付されます。詳細については、「[のサービスにリンクされたロール AWS Security Hub CSPM](using-service-linked-roles.md)」を参照してください。

このポリシーは、サービスにリンクされたロールに管理許可を付与し、Security Hub CSPM コントロールのセキュリティチェックなどのタスクの実行を許可します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `cloudtrail` - CloudTrail 追跡に関する情報を取得します。
+ `cloudwatch` – 現在の CloudWatch アラームを取得します。
+ `logs` – CloudWatch logs のメトリクスフィルターを取得します。
+ `sns` - SNS トピックのサブスクリプションリストを取得します。
+ `config` – 設定レコーダー、リソース、および AWS Config ルールに関する情報を取得します。また、サービスにリンクされたロールに AWS Config ルールの作成と削除、およびルールに対する評価の実行も許可します。
+ `iam` – アカウントの認証情報レポートの取得と生成を実行します。
+ `organizations` — 組織のアカウントおよび組織単位 (OU) 情報を取得します。
+ `securityhub` – Security Hub CSPM のサービス、標準およびコントロールの設定方法に関する情報を取得します。
+ `tag` – リソースタグに関する情報を取得します。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html)」を参照してください。

## AWS 管理ポリシー: AWSSecurityHubV2ServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubv2servicerolepolicy"></a>

**注記**  
 Security Hub はプレビューリリース段階で、変更される可能性があります。

このポリシーにより、Security Hub は組織およびユーザーに代わって AWS Config ルールと Security Hub リソースを管理できます。このポリシーは、ユーザーに代わってサービスがアクションを実行することを許可する、サービスリンクロールにアタッチされます。このポリシーは IAM アイデンティティにはアタッチできません。詳細については、「[のサービスにリンクされたロール AWS Security Hub CSPM](using-service-linked-roles.md)」を参照してください。

**アクセス許可の詳細**  
 このポリシーには、以下のアクセス許可が含まれています。
+  `cloudwatch` – Security Hub リソースの計測機能をサポートするメトリクスデータを取得します。
+  `config` – グローバル Config レコーダーのサポートなど、Security Hub リソースのサービスにリンクされた設定レコーダーを管理します。
+  `ecr` – 計測機能をサポートするために、Amazon Elastic Container Registry イメージとリポジトリに関する情報を取得します。
+  `iam` – のサービスにリンクされたロール AWS Config を作成し、アカウント情報を取得して計測機能をサポートします。
+  `lambda` – 計測機能をサポートする AWS Lambda 関数情報を取得します。
+  `organizations` — 組織のアカウントおよび組織単位 (OU) 情報を取得します。
+  `securityhub` – Security Hub の設定を管理します。
+  `tag` – リソースタグに関する情報を取得します。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html)」を参照してください。

## AWS マネージドポリシーに対する Security Hub の更新
<a name="security-iam-awsmanpol-updates"></a>

次の表は、このサービスがこれらの変更の追跡を開始してからの AWS Security Hub および Security Hub CSPM の AWS マネージドポリシーの更新に関する詳細を示しています。このページの変更に関する自動通知を受信するには、「[Security Hub ドキュメントの履歴](doc-history.md)」ページの RSS フィードをサブスクライブしてください。








| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|   [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – 更新されたポリシー   |  Security Hub は、Security Hub 機能をサポートするリソースポリシーを記述するアクセス許可を追加するようにポリシーを更新しました。Security Hub はプレビューリリース段階で、変更される可能性があります。  | 2025 年 11 月 12 日 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – 更新されたポリシー   |  Security Hub は、ポリシーを更新して、GuardDuty、Amazon Inspector、アカウント管理の管理に関する機能を追加し、Security Hub の機能をサポートしました。Security Hub はプレビューリリース段階で、変更される可能性があります。  | 2025 年 11 月 17 日 | 
|   [AWSSecurityHubV2ServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) – 更新されたポリシー   |  Security Hub は、ポリシーを更新して、Amazon Elastic Container Registry、 AWS Lambda、Amazon CloudWatch、および Security Hub 機能をサポートする計測機能を追加 AWS Identity and Access Management しました。この更新では、グローバル AWS Config レコーダーのサポートも追加されました。Security Hub はプレビューリリース段階で、変更される可能性があります。  | 2025 年 11 月 5 日 | 
|  [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – 既存のポリシーの更新  | Security Hub は、いくつかの新しい許可をポリシーに追加しました。アクセス許可により、組織管理者は組織の Security Hub と Security Hub CSPM を有効化および管理できます。 | 2025 年 6 月 17 日 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – 既存のポリシーの更新  |  Security Hub CSPM に、プリンシパルが Security Hub のサービスにリンクされたロールを作成できるようにする新しいアクセス許可が追加されました。  | 2025 年 6 月 17 日 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) — 既存のポリシーの更新  | Security Hub CSPM は、 AWS のサービス および 製品の料金詳細を取得するようにポリシーを更新しました。 | 2024 年 4 月 24 日 | 
| [AWSSecurityHubReadOnlyAccess](#security-iam-awsmanpol-awssecurityhubreadonlyaccess) – 既存のポリシーの更新  | Security Hub CSPM は、Sid フィールドを追加してこのマネージドポリシーを更新しました。 | 2024 年 2 月 22 日 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) — 既存のポリシーの更新  | Security Hub CSPM のポリシー更新により、アカウントで Amazon GuardDuty と Amazon Inspector が有効になっているかどうかを Security Hub CSPM で判別できるようになりました。これにより、お客様は複数の からセキュリティ関連情報をまとめることができます AWS のサービス。 | 2023 年 11 月 16 日 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) — 既存のポリシーの更新  | Security Hub CSPM のポリシー更新により、 AWS Organizations 委任管理者機能への読み取り専用アクセスを許可する追加のアクセス許可が付与されました。これには、ルート、組織単位 (OU)、アカウント、組織構造、およびサービスアクセスなどの詳細が含まれます。 | 2023 年 11 月 16 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 既存のポリシーに対する更新  | Security Hub CSPM に BatchGetSecurityControls、DisassociateFromAdministratorAccount、UpdateSecurityControl のアクセス許可が追加され、カスタマイズ可能なセキュリティコントロールプロパティの読み取りおよび更新が可能になりました。 | 2023 年 11 月 26 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 既存のポリシーに対する更新  | Security Hub CSPM に、検出結果に関連するリソースタグを読み取る tag:GetResources アクセス許可が追加されました。 | 2023 年 11 月 7 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 既存のポリシーに対する更新  | Security Hub CSPM の標準に、コントロールの有効化ステータスに関する情報を取得する BatchGetStandardsControlAssociations アクセス許可が追加されました。 | 2023 年 9 月 27 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 既存のポリシーに対する更新  | Security Hub CSPM は、標準やコントロールなど、 AWS Organizations データを取得し、Security Hub CSPM 設定の読み取りと更新を行うための新しいアクセス許可を追加しました。 | 2023 年 9 月 20 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 既存のポリシーに対する更新  | Security Hub CSPM で、既存の config:DescribeConfigRuleEvaluationStatus 許可がポリシー内の別のステートメントに移動されました。これにより、config:DescribeConfigRuleEvaluationStatus 許可がすべてのリソースに適用されます。 | 2023 年 3 月 17 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 既存のポリシーに対する更新  |  Security Hub CSPM で、既存の config:PutEvaluations 許可がポリシー内の別のステートメントに移動されました。これにより、config:PutEvaluations 許可がすべてのリソースに適用されます。 | 2021 年 7 月 14 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) — 既存のポリシーに対する更新  | Security Hub CSPM に、サービスにリンクされたロールが評価結果を AWS Configに送信することを許可する新しい許可が追加されました。 | 2021 年 6 月 29 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) — マネージドポリシーのリストに追加  | マネージドポリシーである AWSSecurityHubServiceRolePolicy に関する情報を追加しました。このポリシーは Security Hub CSPM のサービスにリンクされたロールで使用されます。 | 2021 年 6 月 11 日 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) — 新しいポリシー  | Security Hub CSPM に、Security Hub CSPM と Organizations の統合に必要な許可を付与する新しいポリシーが追加されました。 | 2021 年 3 月 15 日 | 
| Security Hub CSPM で変更の追跡が開始されました  | Security Hub CSPM は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 3 月 15 日 | 

# AWS Security Hub CSPM ID とアクセスのトラブルシューティング
<a name="security_iam_troubleshoot"></a>

次の情報は、 および IAM の使用時に発生する可能性がある一般的な問題の診断 AWS Security Hub CSPM と修正に役立ちます。

**Topics**
+ [Security Hub CSPM でアクションを実行する権限がありません](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [Security Hub CSPM へのプログラムによるアクセスが欲しい](#security_iam_troubleshoot-access-keys)
+ [管理者として Security Hub CSPM へのアクセスを他のユーザーに許可したい](#security_iam_troubleshoot-admin-delegate)
+ [自分の 以外のユーザーに Security Hub CSPM リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)

## Security Hub CSPM でアクションを実行する権限がありません
<a name="security_iam_troubleshoot-no-permissions"></a>

にアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。管理者は、サインイン認証情報を提供した担当者です。

以下の例のエラーは、`mateojackson` ユーザーがコンソールを使用して、*ウィジェット*の詳細を表示しようとしているが、 `securityhub:GetWidget` アクセス許可がない場合に発生します。

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
```

この場合、Mateo は、`securityhub:GetWidget` アクションを使用して `my-example-widget` リソースにアクセスできるように、管理者にポリシーの更新を依頼します。

## iam:PassRole を実行する権限がない
<a name="security_iam_troubleshoot-passrole"></a>

`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Security Hub にロールを渡すことができるようにする必要があります。

一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、そのサービスに既存のロールを渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。

以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して Security Hub でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。

サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。

## Security Hub CSPM へのプログラムによるアクセスが欲しい
<a name="security_iam_troubleshoot-access-keys"></a>

ユーザーが の AWS 外部で を操作する場合は、プログラムによるアクセスが必要です AWS マネジメントコンソール。プログラムによるアクセスを許可する方法は、 がアクセスするユーザーのタイプによって異なります AWS。

ユーザーにプログラムによるアクセス権を付与するには、以下のいずれかのオプションを選択します。


****  

| プログラムによるアクセス権を必要とするユーザー | 目的 | 方法 | 
| --- | --- | --- | 
| IAM | (推奨) コンソール認証情報を一時的な認証情報として使用して AWS CLI、、 AWS SDKs、または AWS APIs。 |  使用するインターフェイスの指示に従ってください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 
|  ワークフォースアイデンティティ (IAM アイデンティティセンターで管理されているユーザー)  | 一時的な認証情報を使用して AWS CLI、、 AWS SDKs、または AWS APIs。 |  使用するインターフェイスの指示に従ってください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 
| IAM | 一時的な認証情報を使用して AWS CLI、、 AWS SDKs、または AWS APIs。 | 「IAM [ユーザーガイド」の「 AWS リソースでの一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)の使用」の手順に従います。 | 
| IAM | (非推奨)長期認証情報を使用して、 AWS CLI、 AWS SDKs、または AWS APIs。 |  使用するインターフェイスの指示に従ってください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 

## 管理者として Security Hub CSPM へのアクセスを他のユーザーに許可したい
<a name="security_iam_troubleshoot-admin-delegate"></a>

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ 以下のユーザーとグループ AWS IAM アイデンティティセンター:

  アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
  + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
  + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。

## 自分の 以外のユーザーに Security Hub CSPM リソース AWS アカウント へのアクセスを許可したい
<a name="security_iam_troubleshoot-cross-account-access"></a>

他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください。
+ Security Hub でこれらの機能がサポートされるかどうかを確認するには、「[Security Hub と IAM の連携方法](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[「IAM ユーザーガイド」の「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティーが所有する へのアクセスを提供する AWS アカウント](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。

# のコンプライアンス検証 AWS Security Hub CSPM
<a name="securityhub-compliance"></a>

 AWS のサービス が特定のコンプライアンスプログラムの範囲内にあるかどうかを確認するには、「コンプライアンス[AWS のサービス プログラムによる対象範囲内](https://aws.amazon.com/compliance/services-in-scope/)」の「コンプライアンス」を参照して、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。

を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。

を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。

# AWS Security Hub の耐障害性
<a name="disaster-recovery-resiliency"></a>

 AWS グローバルインフラストラクチャは、 AWS リージョン およびアベイラビリティーゾーンを中心に構築されています。リージョンには、低レイテンシー、高いスループット、そして高度の冗長ネットワークで接続されている複数の物理的に独立および隔離されたアベイラビリティーゾーンがあります。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、フォールトトレランス、および拡張性が優れています。

 AWS リージョン およびアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。

# のインフラストラクチャセキュリティ AWS Security Hub CSPM
<a name="infrastructure-security"></a>

マネージドサービスである AWS Security Hub CSPM は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、*「Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。

 AWS 公開された API コールを使用して、ネットワーク経由で Security Hub CSPM にアクセスします。クライアントは次をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。

# AWS Security Hub CSPM およびインターフェイス VPC エンドポイント (AWS PrivateLink)
<a name="security-vpc-endpoints"></a>

VPC と の間にプライベート接続を確立するには、*インターフェイス VPC エンドポイント* AWS Security Hub CSPM を作成します。インターフェイスエンドポイントは、インターネットゲートウェイ[AWS PrivateLink](https://aws.amazon.com/privatelink)、NAT デバイス、VPN 接続、または AWS Direct Connect 接続なしで Security Hub CSPM APIs にプライベートにアクセスできるテクノロジーである を利用しています。VPC 内のインスタンスは、Security Hub CSPM APIs と通信するためにパブリック IP アドレスを必要としません。VPC と Security Hub CSPM 間のトラフィックは Amazon ネットワークを離れません。

各インターフェースエンドポイントは、サブネット内の 1 つ以上の [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) によって表されます。詳細については、*Amazon Virtual Private Cloud ガイド*[」の「インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)」を参照してください。

## Security Hub CSPM VPC エンドポイントに関する考慮事項
<a name="vpc-endpoint-considerations"></a>

Security Hub CSPM のインターフェイス VPC エンドポイントを設定する前に、[Amazon Virtual Private Cloud Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) の前提条件とその他の情報を確認してください。

Security Hub CSPM は、VPC からのすべての API アクションの呼び出しをサポートしています。

## Security Hub CSPM 用のインターフェイス VPC エンドポイントの作成
<a name="vpc-endpoint-create"></a>

Security Hub CSPM サービスの VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、「*Amazon Virtual Private Cloud ユーザーガイド*」の「[VPC エンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)」を参照してください。

次のサービス名を使用して、Security Hub CSPM の VPC エンドポイントを作成します。

`com.amazonaws.region.securityhub` 

ここで、*リージョン*は該当する AWS リージョンのリージョンコードです。

エンドポイントのプライベート DNS を有効にすると、米国東部 (バージニア北部) リージョンなど、 リージョンのデフォルトの DNS 名を使用して Security Hub CSPM `securityhub.us-east-1.amazonaws.com`に API リクエストを行うことができます。

## Security Hub CSPM の VPC エンドポイントポリシーの作成
<a name="vpc-endpoint-policy"></a>

Security Hub CSPM へのアクセスを制御するエンドポイントポリシーを VPC エンドポイントにアタッチできます。このポリシーでは、以下の情報を指定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。

詳細については、「*Amazon Virtual Private Cloud ユーザーガイド*」の「[Control access to VPC endpoints using endpoint policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。

**例: Security Hub CSPM アクションの VPC エンドポイントポリシー**  
以下は、Security Hub CSPM のエンドポイントポリシーの例です。エンドポイントにアタッチすると、このポリシーは、すべてのリソースのすべてのプリンシパルに対して、リストされている Security Hub CSPM アクションへのアクセスを許可します。

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}
```

## 共有サブネット
<a name="sh-vpc-endpoint-shared-subnets"></a>

自分と共有されているサブネットで VPC エンドポイントを作成、説明、変更、または削除することはできません。ただし、VPC エンドポイントを使用することはできます。VPC 共有の詳細については、「*Amazon Virtual Private Cloud ユーザーガイド*」の「[VPC サブネットを他のアカウントと共有する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)」を参照してください。

# CloudTrail を使用した Security Hub API コールのログ記録
<a name="securityhub-ct"></a>

AWS Security Hub CSPM は AWS CloudTrail、Security Hub CSPM のユーザー、ロール、または サービスによって実行されたアクションを記録する AWS サービスである と統合されています。CloudTrail は、Security Hub CSPM の API コールをイベントとしてキャプチャします。キャプチャされるコールには、Security Hub CSPM コンソールからのコールと、Security Hub CSPM の API オペレーションへのコードコールが含まれます。追跡を作成することで、Security Hub CSPM のイベントなどを含んだ Amazon S3 バケットへの CloudTrail イベントの継続的な送信を有効にすることができます。追跡を設定しない場合でも、CloudTrail コンソールの **[イベント履歴]** で最新のイベントを確認できます。CloudTrail で収集された情報を使用して、Security Hub CSPM に対して行われたリクエストや、リクエストの発信元 IP アドレス、リクエストの実行者、リクエストの実行日時、およびその他の詳細情報を特定できます。

設定や有効化の方法など、CloudTrail の詳細については、「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)」を参照してください。

## CloudTrail での Security Hub CSPM 情報
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail は、アカウントの作成 AWS アカウント 時に で有効になります。Security Hub CSPM でサポートされているイベントアクティビティが発生すると、そのアクティビティはイベント**履歴**の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。最近のイベントは、 アカウントで表示、検索、ダウンロードできます。詳細については、「[CloudTrail Event 履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)」を参照してください。

Security Hub CSPM のイベントなど、アカウントのイベントを継続的に記録したい場合は、追跡を作成します。追跡を有効にすることで、CloudTrail でログファイルを Amazon S3 バケットに送信できるようになります。デフォルトでは、コンソールで追跡を作成すると、すべての AWS リージョンに追跡が適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づいて対応するため、他の AWS サービスを構成できます。詳細については、次を参照してください: 
+ [追跡を作成するための概要](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail がサポートされているサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ 「[CloudTrail の Amazon SNS 通知の設定](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)」
+ [複数のリージョンから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)および[複数のアカウントから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

Security Hub CSPM では、すべての Security Hub CSPM API アクションを CloudTrail ログのイベントとしてログ記録することができます。Security Hub CSPM オペレーションのリストを表示するには、「[Security Hub CSPM API リファレンス](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html)」を参照してください。

次のアクションのアクティビティが CloudTrail にログ記録されると、`responseElements` の値は `null` に設定されます。これにより、機密性の高い情報が CloudTrail ログに含まれることがなくなります。
+ `BatchImportFindings`
+ `GetFindings`
+ `GetInsights`
+ `GetMembers`
+ `UpdateFindings`

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
+ リクエストがルートまたは AWS Identity and Access Management (IAM) ユーザー認証情報を使用して行われたかどうか
+ リクエストの送信に使用された一時的なセキュリティ認証情報に、ロールとフェデレーテッドユーザーのどちらが使用されたか
+ リクエストが別の AWS サービスによって行われたかどうか

詳細については、「[CloudTrail userIdentity エレメント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)」を参照してください。

## 例: Security Hub CSPM ログファイルのエントリ
<a name="understanding-service-name-entries"></a>

「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントは、任意の出典からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の例は、`CreateInsight` アクションを示す CloudTrail ログエントリです。この例では、`Test Insight` というインサイトが作成されます。`ResourceId` 属性は、**[Group by]** (グループ化の条件) アグリゲータとして指定され、このインサイトに対するオプションのフィルターは指定されません。インサイトの詳細については、「[Security Hub CSPM のインサイトの表示](securityhub-insights.md)」を参照してください。

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}
```