翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# NZISM 3.9 の運用上のベストプラクティス (拡張機能)
コンフォーマンスパックは、マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下は、[ニュージーランド政府通信セキュリティ局 (GCSB) 情報セキュリティマニュアル (NZISM) 2025-11 バージョン 3.9](https://www.nzism.gcsb.govt.nz/ism-document) と AWS Managed Config ルール間のマッピングの例です。各 Config ルールは、特定の AWS リソースタイプに適用され、1 つ以上の NZISM コントロールに関連付けられます。「ÑZISM」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。RESTRICTED 以下に分類される情報の推奨プラクティスまたはベースラインプラクティスを表すコントロールのみがマッピングに含まれます。
このコンフォーマンスパックのサンプルテンプレートは、NZISM フレームワーク内のコントロールへのマッピングを含んでおり、これは、人員、情報および物理的セキュリティの管理に対するニュージーランド政府の期待値を定めた保護セキュリティ要件 (PSR) フレームワークの不可欠な部分です。
このコンフォーマンスパックの Foundation 部分は、シドニーおよびグローバルリージョンにデプロイできます。NZ 移行パートには、ニュージーランドリージョンで現在利用可能な Foundation Config ルールのサブセットが含まれています。Foundation パートは現在、ニュージーランドリージョンにデプロイされません。このコンフォーマンスパックの拡張機能部分をシドニーおよびニュージーランドリージョンにデプロイして、 Foundation および NZ Transition パートで提供される Config ルールを強化できます。
The NZISM is licensed under the Creative Commons Attribution 4.0 New Zealand licence, available at [https://creativecommons.org/licenses/by/4.0/](https://creativecommons.org/licenses/by/4.0/)。著作権については、[「NZISM New Zealand Information Security Manual|法律、プライバシー、著作権」](https://www.nzism.gcsb.govt.nz/legal-privacy-and-copyright/)に記載されています。
****
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
| --- | --- | --- | --- |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | [api-gw-cache-enabled-and-encrypted](api-gw-cache-enabled-and-encrypted.md) | 保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。本番稼働前の環境では免除を受けることができます。 |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | [s3-default-encryption-kms](s3-default-encryption-kms.md) | 保管中のデータを保護するため、S3 バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。暗号化プロセスと管理の詳細については、AWS Key Management Service (AWS KMS) で顧客管理の CMK をご利用ください。SSE が有効になっている場合、非機密データを含むバケットには免除が適用されます。 |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [alb-waf-enabled](alb-waf-enabled.md) | アプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。WAF が有効になっている CloudFront ディストリビューションのオリジンがロードバランサーである場合は、免除が適用されます。 |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | このコントロールは、API Gateway ステージが AWS WAF ウェブアクセスコントロールリスト (ACL) を使用しているかどうかをチェックします。AWS WAF リージョンウェブ ACL が REST API Gateway ステージにアタッチされていない場合、このコントロールは失敗します。AWS WAF は、ウェブアプリケーションと API を攻撃から保護するウェブアプリケーションファイアウォールです。これにより、ユーザーが定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルールである ACL を設定することができます。悪意のある攻撃から保護するために、API Gateway ステージが AWS WAF ウェブ ACL に関連付けられていることを確認します。API Gateway が WAF が有効になっている CloudFront ディストリビューションのオリジンである場合、免除が適用されます。 |
| 4333 | データ管理、コンテンツフィルタリング、コンテンツ検証 (20.3.7.C.02.) | [alb-waf-enabled](alb-waf-enabled.md) | アプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 |
| 4333 | データ管理、コンテンツフィルタリング、コンテンツ検証 (20.3.7.C.02.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | このコントロールは、API Gateway ステージが AWS WAF ウェブアクセスコントロールリスト (ACL) を使用しているかどうかをチェックします。AWS WAF リージョンウェブ ACL が REST API Gateway ステージにアタッチされていない場合、このコントロールは失敗します。AWS WAF は、ウェブアプリケーションと API を攻撃から保護するウェブアプリケーションファイアウォールです。これにより、ユーザーが定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルールである ACL を設定することができます。悪意のある攻撃から保護するために、API Gateway ステージが AWS WAF ウェブ ACL に関連付けられていることを確認します。API Gateway が WAF が有効になっている CloudFront ディストリビューションのオリジンである場合、免除が適用されます。 |
| 4829 | エンタープライズシステムセキュリティ、クラウドコンピューティング、システム可用性 (22.1.23.C.01.) | [rds-cluster-multi-az-enabled](rds-cluster-multi-az-enabled.md) | Amazon Aurora は、単一の AWS リージョン内の複数のアベイラビリティーゾーンにまたがる DB クラスターにデータのコピーを保存します。Aurora は、DB クラスターのインスタンスが複数のアベイラビリティーゾーンにまたがっているかどうかにかかわらず、これらのコピーを作成します。データがプライマリ DB インスタンスに書き込まれると、Aurora によりアベイラビリティーゾーン全体で、クラスターボリュームに関連付けられた 6 つのストレージノードにデータが同期的に複製されます。これにより、データの冗長性が確保されて I/O のフリーズが回避され、システムバックアップ時のレイテンシー急上昇が最小限に抑えられます。高可用性を備えた DB インスタンスを実行すると、計画されたシステムメンテナンス中の可用性が向上し、障害とアベイラビリティーゾーンの中断からデータベースを保護できます。このルールは、Amazon Relational Database Service (RDS) によって管理される Amazon Aurora クラスターでマルチ AZ レプリケーションが有効になっているかどうかを確認します。本番稼働前の環境では免除を受けることができます。 |
| 4829 | エンタープライズシステムセキュリティ、クラウドコンピューティング、システム可用性 (22.1.23.C.01.) | [rds-multi-az-support](rds-multi-az-support.md) | Amazon Relational Database Service (RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。本番稼働前の環境では免除を受けることができます。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [sns-encrypted-kms](sns-encrypted-kms.md) | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。トピックに発行されたメッセージに機密データが含まれていない場合は、例外が適用されます。 |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | [dynamodb-in-backup-plan](dynamodb-in-backup-plan.md) | データバックのアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。補償的復旧ソリューションが設定されている場合、免除を利用できます。 |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | [ebs-in-backup-plan](ebs-in-backup-plan.md) | データバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。補償的復旧ソリューションが設定されている場合、免除を利用できます。 |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | [efs-in-backup-plan](efs-in-backup-plan.md) | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。補償的復旧ソリューションが設定されている場合、免除を利用できます。 |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | [rds-in-backup-plan](rds-in-backup-plan.md) | データバックアッププロセスを支援するために、Amazon Relational Database Service (RDS) インスタンスが AWS Backup プランの一部であることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。補償的復旧ソリューションが設定されている場合、免除を利用できます。 |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | [s3-bucket-versioning-enabled](s3-bucket-versioning-enabled.md) | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。免除は、オブジェクトの単一のバリアントのみが作成されるとき、または補償的復旧ソリューションが設定されている場合に利用できます。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [alb-waf-enabled](alb-waf-enabled.md) | アプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | このコントロールは、API Gateway ステージが AWS WAF ウェブアクセスコントロールリスト (ACL) を使用しているかどうかをチェックします。AWS WAF リージョンウェブ ACL が REST API Gateway ステージにアタッチされていない場合、このコントロールは失敗します。AWS WAF は、ウェブアプリケーションと API を攻撃から保護するウェブアプリケーションファイアウォールです。これにより、ユーザーが定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルールである ACL を設定することができます。悪意のある攻撃から保護するために、API Gateway ステージが AWS WAF ウェブ ACL に関連付けられていることを確認します。API Gateway が WAF が有効になっている CloudFront ディストリビューションのオリジンである場合、免除が適用されます。 |
## テンプレート
```
##################################################################################
#
# Conformance Pack:
# Operational Best Practices for NZISM Extension
#
# This conformance pack helps verify compliance with NZISM requirements.
#
##################################################################################
Resources:
AlbWafEnabled:
Condition: checkAlbWafEnabled
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: alb-waf-enabled
Scope:
ComplianceResourceTypes:
- AWS::ElasticLoadBalancingV2::LoadBalancer
Source:
Owner: AWS
SourceIdentifier: ALB_WAF_ENABLED
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwAssociatedWithWaf:
Condition: checkApiGwAssociatedWithWaf
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-associated-with-waf
Source:
Owner: AWS
SourceIdentifier: API_GW_ASSOCIATED_WITH_WAF
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwCacheEnabledAndEncrypted:
Condition: checkApiGwCacheEnabledAndEncrypted
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-cache-enabled-and-encrypted
Scope:
ComplianceResourceTypes:
- AWS::ApiGateway::Stage
Source:
Owner: AWS
SourceIdentifier: API_GW_CACHE_ENABLED_AND_ENCRYPTED
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
DynamodbInBackupPlan:
Condition: checkDynamodbInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: dynamodb-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: DYNAMODB_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EbsInBackupPlan:
Condition: checkEbsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ebs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EBS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EfsInBackupPlan:
Condition: checkEfsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: efs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EFS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsClusterMultiAzEnabled:
Condition: checkRdsClusterMultiAzEnabled
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-cluster-multi-az-enabled
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBCluster
Source:
Owner: AWS
SourceIdentifier: RDS_CLUSTER_MULTI_AZ_ENABLED
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
RdsInBackupPlan:
Condition: checkRdsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: RDS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsMultiAzSupport:
Condition: checkRdsMultiAzSupport
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-multi-az-support
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: RDS_MULTI_AZ_SUPPORT
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
S3BucketVersioningEnabled:
Condition: checkS3BucketVersioningEnabled
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-bucket-versioning-enabled
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
S3DefaultEncryptionKms:
Condition: checkS3DefaultEncryptionKms
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-default-encryption-kms
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_DEFAULT_ENCRYPTION_KMS
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
SnsEncryptedKms:
Condition: checkSnsEncryptedKms
Controls: [ '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: sns-encrypted-kms
Scope:
ComplianceResourceTypes:
- AWS::SNS::Topic
Source:
Owner: AWS
SourceIdentifier: SNS_ENCRYPTED_KMS
Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
```