翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
NZISM 3.9 の運用上のベストプラクティス (基盤)
コンフォーマンスパックは、マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下は、ニュージーランド政府通信セキュリティ局 (GCSB) 情報セキュリティマニュアル (NZISM) 2025-11 バージョン 3.9
このコンフォーマンスパックのサンプルテンプレートは、NZISM フレームワーク内のコントロールへのマッピングを含んでおり、これは、人員、情報および物理的セキュリティの管理に対するニュージーランド政府の期待値を定めた保護セキュリティ要件 (PSR) フレームワークの不可欠な部分です。
このコンフォーマンスパックの Foundation 部分は、シドニーおよびグローバルリージョンにデプロイできます。NZ 移行パートには、ニュージーランドリージョンで現在利用可能な Foundation Config ルールのサブセットが含まれています。Foundation パートは現在、ニュージーランドリージョンにデプロイされません。このコンフォーマンスパックの拡張機能部分は、 Foundation と NZ Transition のパートで提供される Config ルールを強化するために、シドニーとニュージーランドのリージョンにデプロイできます。
The NZISM is licensed under the Creative Commons Attribution 4.0 New Zealand licence, available at https://creativecommons.org/licenses/by/4.0/
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
|---|---|---|---|
| 1149 | ソフトウェアセキュリティ、標準運用環境、強化された SOE の開発 (14.1.8.C.01.) | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。 | |
| 1149 | ソフトウェアセキュリティ、標準運用環境、強化された SOE の開発 (14.1.8.C.01.) | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| 1149 | ソフトウェアセキュリティ、標準運用環境、強化された SOE の開発 (14.1.8.C.01.) | このコントロールは、Amazon ECS のタスク定義の、コンテナ定義における特権パラメータが true に設定されているかどうかをチェックします。このパラメータの値が true である場合、このコントロールは失敗します。このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンのみを評価します。昇格された特権を、ECS タスク定義から削除することが推奨されます。この特権パラメータが true の場合、このコンテナには、ホストコンテナインスタンスに対する昇格された特権が付与されます (ルートユーザーと同様)。 | |
| 1149 | ソフトウェアセキュリティ、標準運用環境、強化された SOE の開発 (14.1.8.C.01.) | このコントロールは、Amazon ECS コンテナが、マウントされたルートファイルシステムへの読み取り専用アクセスに制限されているかどうかをチェックします。Amazon ECS のタスク定義の、コンテナ定義で ReadonlyRootFilesystem パラメータが false に設定されている場合、このコントロールは失敗します。このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンのみを評価します。このオプションを有効にすると、ファイルシステムフォルダとディレクトリに対する明示的な読み取り/書き込み権限がない限り、コンテナインスタンスのファイルシステムへの改ざんや書き込みができないため、セキュリティ攻撃ベクトルを減らすことができます。このコントロールは、最小特権の原則にも準拠しています。 | |
| 1154 | 情報セキュリティインシデント、情報セキュリティインシデントの検出、情報セキュリティインシデントの防止と検出 (7.1.7.C.02) | このコントロールは、アカウントまたは組織で Amazon GuardDuty に対して Runtime Monitoring が有効になっているかどうかを確認します。Runtime Monitoring は、オペレーティングシステムレベル、ネットワーク、ファイルイベントを監視および分析し、環境内の特定の AWS ワークロードで潜在的な脅威を検出するのに役立ちます。 | |
| 1661 | ソフトウェアセキュリティ、ウェブアプリケーション開発、エージェンシーのウェブサイトコンテンツ (14.5.6.C.01.) | このコントロールは、Amazon CloudFront ディストリビューションがデフォルトのルートオブジェクトである特定のオブジェクトを返すように設定されているかどうかを確認します。CloudFront ディストリビューションにデフォルトのルートオブジェクトが設定されていない場合、コントロールは失敗します。ユーザーは、ディストリビューション内のオブジェクトではなく、ディストリビューションのルート URL を要求することがあります。この場合、デフォルトのルートオブジェクトを指定することで、ウェブディストリビューションのコンテンツの漏洩を防止できます。このルールは us-east-1 リージョンで適用する必要があります。テンプレートパラメータ DeployEdgeRules = true を使用してデプロイします。 | |
| 1667 | ソフトウェアセキュリティ、ウェブアプリケーション開発、ウェブアプリケーション (14.5.8.C.01.) | X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。This rule requires a value for daysToExpiration。The value is 90 days。 | |
| 1667 | ソフトウェアセキュリティ、ウェブアプリケーション開発、ウェブアプリケーション (14.5.8.C.01.) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1841 | アクセスコントロールとパスワード、識別、認証とパスワード、システムユーザー識別と認証の方法 (16.1.35.C.02.) | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| 1841 | アクセスコントロールとパスワード、識別、認証とパスワード、システムユーザー識別と認証の方法 (16.1.35.C.02.) | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して多要素認証 (MFA) が有効になっていることを確認して、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| 1841 | アクセスコントロールとパスワード、識別、認証とパスワード、システムユーザー識別と認証の方法 (16.1.35.C.02.) | ルートユーザーに対してハードウェア多要素認証 (MFA) が有効になっていることを確認して、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 1841 | アクセスコントロールとパスワード、識別、認証とパスワード、システムユーザー識別と認証の方法 (16.1.35.C.02.) | ルートユーザーに対して多要素認証 (MFA) が有効になっていることを確認して、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | このコントロールは、Amazon CloudFront ディストリビューションで視聴者が HTTPS を直接使用する必要性、またはリダイレクトを使用するかどうかをチェックします。ViewerProtocolPolicy が defaultCacheBehavior または cacheBehaviors の allow-all に設定されている場合、コントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。このルールは us-east-1 リージョンで適用する必要があります。テンプレートパラメータ DeployEdgeRules = true を使用してデプロイします。 | |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | このコントロールは Elasticsearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。Elasticsearch ドメインのノード間の暗号化を有効にすると、クラスター内の通信が転送中に確実に暗号化されます。 | |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | このコントロールは、OpenSearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。OpenSearch ドメインでノード間の暗号化を有効にすると、クラスター内通信は転送中に確実に暗号化されます。 | |
| 1893 | アクセスコントロールとパスワード、識別、認証とパスワード、アクセスの停止 (16.1.46.C.02.) | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge を 30 日間に設定します。 | |
| 1946 | アクセスコントロールとパスワード、特権ユーザーアクセス、特権アカウントの使用 (16.3.5.C.02.) | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 1946 | アクセスコントロールとパスワード、特権ユーザーアクセス、特権アカウントの使用 (16.3.5.C.02.) | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| 1998 | アクセスコントロールとパスワード、イベントログ記録と監査、システム管理ログの管理 (16.6.6.C.02.) | CloudWatch Logs で CloudTrail を使用するように設定して、証跡ログをモニタリングし、特定のアクティビティの発生時に通知を受けることができます。このルールは AWS CloudTrail 証跡がログを Amazon CloudWatch Logs に送信するように設定されているかどうかを確認します。 | |
| 1998 | アクセスコントロールとパスワード、イベントログ記録と監査、システム管理ログの管理 (16.6.6.C.02.) | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| 1998 | アクセスコントロールとパスワード、イベントログ記録と監査、システム管理ログの管理 (16.6.6.C.02.) | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。最低保有期間は 18 ヶ月です。 | |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | このコントロールは、CloudFront ディストリビューションでサーバーアクセスのログ記録が有効になっているかどうかをチェックします。ディストリビューションでアクセスのログ記録が有効でない場合、コントロールは失敗します。CloudFront アクセスログは、CloudFront が受信するすべてのユーザーリクエストに関する詳細情報を提供します。各ログには、リクエストが受信された日時、リクエストを行ったビューワーの IP アドレス、リクエストソース、ビューワーからのリクエストポート番号などの情報が含まれます。これらのログは、セキュリティ監査やアクセス監査、証拠調査などのアプリケーションに役立ちます。このルールは us-east-1 リージョンで適用する必要があります。テンプレートパラメータ DeployEdgeRules = true を使用してデプロイします | |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (RDS) ログ記録が有効になっていることを確認します。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。 | |
| 2022 | アクセスコントロールとパスワード、イベントログ記録と監査、イベントログ保護 (16.6.12.C.01.) | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| 2022 | アクセスコントロールとパスワード、イベントログ記録と監査、イベントログ保護 (16.6.12.C.01.) | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 | |
| 2028 | アクセスコントロールとパスワード、イベントログ記録と監査、イベントログアーカイブ (16.6.13.C.01.) | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。最低保有期間は 18 ヶ月です。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 保管中のデータを保護するには、Amazon Elastic Block Store (EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | このコントロールは、Elasticsearch ドメインで、保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように Elasticsearch Service ドメインを設定する必要があります。保管中のデータの暗号化を設定すると、Amazon Key Management Service (KMS) は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキー (AES-256) の Advanced Encryption Standard アルゴリズムを使用します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 機密性の高いデータが存在し、保管中のデータを保護するために、Amazon Elastic Block Store (EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | このコントロールは、OpenSearch ドメインで保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように OpenSearch Service ドメインを設定する必要があります。保管中のデータの暗号化を設定すると、Amazon Key Management Service (KMS) は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキー (AES-256) の Advanced Encryption Standard アルゴリズムを使用します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | Amazon Relational Database Service (RDS) スナップショットで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 保管中のデータを保護するには、Amazon Relational Database Service (RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 2090 | 暗号化、暗号化の基礎、情報およびシステム保護 (17.1.55.C.02.) | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2090 | 暗号化、暗号化の基礎、情報およびシステム保護 (17.1.55.C.02.) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2090 | 暗号化、暗号化の基礎、情報およびシステム保護 (17.1.55.C.02.) | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2598 | TLS を使用した暗号化、Transport Layer Security (17.4.16.C.01.) | 転送中のデータを保護するため、Classic ElasticLoadBalancer SSL のリスナーがカスタムセキュリティポリシーを使用していることを確認します。これらのポリシーは、システム間の暗号化されたネットワーク通信を実現するための、さまざまな高強度の暗号化アルゴリズムを提供します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。セキュリティポリシーは、Protocol-TLSv1.2、ECDHE-ECDSA-AES128-GCM-SHA256 です。 | |
| 2600 | TLS を使用した暗号化、Transport Layer Security (17.4.16.C.02.) | 転送中のデータを保護するため、Classic ElasticLoadBalancer SSL のリスナーがカスタムセキュリティポリシーを使用していることを確認します。これらのポリシーは、システム間の暗号化されたネットワーク通信を実現するための、さまざまな高強度の暗号化アルゴリズムを提供します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、Protocol-TLSv1.2、ECDHE-ECDSA-AES128-GCM-SHA256 です。 | |
| 2726 | 暗号化、Secure Shell、自動リモートアクセス (17.5.8.C.02.) | Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| 3021 | 暗号化、キー管理、KMP の内容 (17.9.25.C.01.) | Amazon Key Management Service (KMS) を使用すると、AWS KMS に保存されているキーマテリアルであり、カスタマーマネージドキー (CMK) のキー ID に関連付けられているバッキングキーをローテーションできます。バッキングキーは、暗号化や復号化などの暗号化オペレーションを実行するために使用されます。現在、キーの自動ローテーションでは以前のすべてのバッキングキーが保持されるため、暗号化したデータは透過的に復号化できます。新しいキーで暗号化されたデータは、漏洩した可能性がある以前のキーではアクセスできないため、暗号化キーをローテーションすることで、漏洩したキーにより起こる可能性のある被害を減らすことができます。 | |
| 3205 | ネットワークセキュリティ、ネットワーク管理、ネットワークアクセスの制限 (18.1.13.C.02.) | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。許可されたインターネットポートリストは 443 のみ | |
| 3449 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.02.) | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている AWS Systems Manager の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。 | |
| 3449 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.02.) | このコントロールは、プライベート Amazon Elastic Container Registry (ECR) リポジトリにイメージスキャンが設定されているかどうかを確認します。プライベート ECR リポジトリでイメージスキャニングが設定されていないと、このコントロールは失敗します。各リポジトリがこのコントロールを渡すようにプッシュ時にスキャンを設定する必要もあることに注意してください。ECR イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR は、オープンソースの Clair プロジェクトの共通脆弱性識別子 (CVE) データベースを使用し、スキャン結果のリストを表示します。ECR リポジトリでイメージスキャンを有効にすると、保存されているイメージの整合性と安全性を検証するレイヤーが追加されます。 | |
| 3449 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.02.) | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールは allowVersionUpgrade を true に設定します。 | |
| 3451 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.04.) | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている AWS Systems Manager の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。 | |
| 3452 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.05.) | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている AWS Systems Manager の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。 | |
| 3452 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.05.) | このコントロールは、Elastic Beanstalk 環境でマネージドプラットフォームの更新が有効になっているかどうかをチェックします。マネージドプラットフォームの更新を有効にすると、環境で使用可能な最新のプラットフォームの修正、更新、および機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。 | |
| 3452 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.05.) | このコントロールは、Amazon Relational Database Service (RDS) データベースインスタンスで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。マイナーバージョン自動アップグレードを有効にすると、リレーショナルデータベース管理システム (RDBMS) に最新のマイナーバージョンの更新がインストールされます。これらのアップグレードには、セキュリティパッチとバグ修正を含む場合があります。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。 | |
| 3453 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.06.) | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている AWS Systems Manager の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。 | |
| 3453 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.06.) | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールは allowVersionUpgrade を true に設定します。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | このコントロールは、CloudFront ディストリビューションが AWS WAF または AWS WAFv2 ウェブ ACL のいずれかと関連付けられているかどうかをチェックします。ディストリビューションがウェブ ACL に関連付けられていない場合、コントロールは失敗します。AWS WAF は、ウェブアプリケーションと API を攻撃から保護するウェブアプリケーションファイアウォールです。これで、ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれる一連のルールを設定することができます。このルールは、ユーザーが定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントします。CloudFront ディストリビューションを悪意のある攻撃から保護するために、AWS WAF ウェブ ACL に確実に関連付けられていることを確認しください。このルールは us-east-1 リージョンで適用する必要があります。テンプレートパラメータ DeployEdgeRules = true を使用してデプロイします。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | AWS Database Migration Service (DMS) レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスをデプロイして、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせずに、インスタンスと Amazon VPC 内の他のサービス間の安全な通信を可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | このコントロールは、Elasticsearch ドメインが Virtual Private Cloud (VPC) にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。Elasticsearch ドメインがパブリックサブネットに添付済みでないことを確認する必要があります。VPC 内にデプロイされた Elasticsearch ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む Elasticsearch ドメインへのアクセスを保護するための多数のネットワークコントロールを提供します。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Elastic MapReduce (EMR) クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | このコントロールは、OpenSearch ドメインが Virtual Private Cloud (VPC) にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。OpenSearch ドメインがパブリックサブネットに添付済みではないことを確認する必要があります。VPC 内にデプロイされた OpenSearch ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む、OpenSearch ドメインへのアクセスを安全にするため、多数のネットワークコントロールを提供します。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Relational Database Service (RDS) インスタンスが公開されていないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールは ignorePublicAcls を True、blockPublicPolicy を True、blockPublicAcls を True、restrictPublicBuckets を True に設定します。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Virtual Private Cloud (VPC) フローログは、Amazon Virtual Private Cloud (Amazon VPC) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| 3623 | ゲートウェイセキュリティ、ゲートウェイ、非武装ゾーン (19.1.14.C.02.) | このコントロールは、Elasticsearch ドメインが Virtual Private Cloud (VPC) にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。Elasticsearch ドメインがパブリックサブネットに添付済みでないことを確認する必要があります。VPC 内にデプロイされた Elasticsearch ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む Elasticsearch ドメインへのアクセスを保護するための多数のネットワークコントロールを提供します。 | |
| 3623 | ゲートウェイセキュリティ、ゲートウェイ、非武装ゾーン (19.1.14.C.02.) | このコントロールは、OpenSearch ドメインが Virtual Private Cloud (VPC) にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。OpenSearch ドメインがパブリックサブネットに添付済みではないことを確認する必要があります。VPC 内にデプロイされた OpenSearch ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む、OpenSearch ドメインへのアクセスを安全にするため、多数のネットワークコントロールを提供します。 | |
| 3623 | ゲートウェイセキュリティ、ゲートウェイ、非武装ゾーン (19.1.14.C.02.) | Amazon Relational Database Service (RDS) インスタンスが公開されていないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 3623 | ゲートウェイセキュリティ、ゲートウェイ、非武装ゾーン (19.1.14.C.02.) | Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 3815 | ネットワークセキュリティ、侵入の検出と防止、IDS/IPS メンテナンス (18.4.9.C.01.) | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。 | |
| 3857 | ネットワークセキュリティ、侵入の検出と防止、IDS/IPS の設定 (18.4.11.C.01.) | このコントロールは、GuardDuty EKS 監査ログモニタリングが有効になっているかを確認します。GuardDuty EKS 監査ログのモニタリングは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターの疑わしいアクティビティの可能性を検出するのに役立ちます。EKS 監査ログのモニタリングは、ユーザー、Kubernetes API を使用するアプリケーション、およびコントロールプレーンからの時系列アクティビティをキャプチャします。 | |
| 3857 | ネットワークセキュリティ、侵入の検出と防止、IDS/IPS の設定 (18.4.11.C.01.) | このコントロールは、自動エージェント管理による GuardDuty EKS ランタイムモニタリングが有効になっているかを確認します。Amazon GuardDuty の EKS Protection は、AWS 環境内の Amazon EKS クラスターを保護するのに役立つ脅威検出カバレッジを提供します。EKS Runtime Monitoring は、オペレーティングシステムレベルのイベントを使用して、EKS クラスター内の EKS ノードとコンテナにおける潜在的な脅威を検出するのに役立ちます。 | |
| 3857 | ネットワークセキュリティ、侵入の検出と防止、IDS/IPS の設定 (18.4.11.C.01.) | このコントロールは、GuardDuty Lambda Protection が有効になっているかどうかをチェックします。GuardDuty Lambda Protection は、AWS Lambda 関数が呼び出されたときに潜在的なセキュリティ脅威を特定するのに役立ちます。Lambda Protection を有効にすると、GuardDuty は AWS アカウントの Lambda 関数に関連付けられた Lambda ネットワークアクティビティログのモニタリングを開始します。Lambda 関数が呼び出され GuardDuty が Lambda 関数に潜在的に悪意のあるコードが存在することを示す疑わしいネットワークトラフィックを特定した場合、GuardDuty は検出結果を生成します。 | |
| 3857 | ネットワークセキュリティ、侵入の検出と防止、IDS/IPS の設定 (18.4.11.C.01.) | このコントロールは、GuardDuty S3 Protection が有効になっているかどうかをチェックします。S3 Protection により、GuardDuty はオブジェクトレベルの API オペレーションをモニタリングし、Amazon S3 バケット内のデータの潜在的なセキュリティリスクを特定できるようになります。GuardDuty は、AWS CloudTrail 管理イベントと CloudTrail S3 データイベントを分析して、S3 リソースに対する脅威をモニタリングします。 | |
| 3875 | ネットワークセキュリティ、侵入の検出と防止、イベント管理と相関 (18.4.12.C.01.) | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。 | |
| 3875 | ネットワークセキュリティ、侵入の検出と防止、イベント管理と相関 (18.4.12.C.01.) | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | このコントロールは、Elasticsearch ドメインで、保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように Elasticsearch Service ドメインを設定する必要があります。保管中のデータの暗号化を設定すると、Amazon Key Management Service (KMS) は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキー (AES-256) の Advanced Encryption Standard アルゴリズムを使用します。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | このコントロールは、OpenSearch ドメインで保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように OpenSearch Service ドメインを設定する必要があります。保管中のデータの暗号化を設定すると、Amazon Key Management Service (KMS) は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキー (AES-256) の Advanced Encryption Standard アルゴリズムを使用します。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (RDS) ログ記録が有効になっていることを確認します。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | Amazon Relational Database Service (RDS) スナップショットで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | Amazon Relational Database Service (RDS) インスタンスが公開されていないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | 保管中のデータを保護するには、Amazon Relational Database Service (RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールは clusterDbEncrypted を true に設定し、loggingEnabled を true に設定します。 | |
| 4445 | データ管理、データベース、説明責任 (20.4.5.C.02.) | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (RDS) ログ記録が有効になっていることを確認します。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 4445 | データ管理、データベース、説明責任 (20.4.5.C.02.) | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールは clusterDbEncrypted を true に設定し、loggingEnabled を true に設定します。 | |
| 4829 | エンタープライズシステムセキュリティ、クラウドコンピューティング、システム可用性 (22.1.23.C.01.) | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループット性能を調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| 4829 | エンタープライズシステムセキュリティ、クラウドコンピューティング、システム可用性 (22.1.23.C.01.) | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同等の数のインスタンスを維持する必要がなくなります。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | Amazon Elastic Block Store (EBS) スナップショットをパブリックに復元できないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールは ignorePublicAcls を True、blockPublicPolicy を True、blockPublicAcls を True、restrictPublicBuckets を True に設定します。 | |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB テーブルは AWS 所有の Key Management Service (KMS) キーで暗号化されます。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | このコントロールは、Elasticsearch ドメインで、保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように Elasticsearch Service ドメインを設定する必要があります。保管中のデータの暗号化を設定すると、Amazon Key Management Service (KMS) は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキー (AES-256) の Advanced Encryption Standard アルゴリズムを使用します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | このコントロールは Elasticsearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。Elasticsearch ドメインのノード間の暗号化を有効にすると、クラスター内の通信が転送中に確実に暗号化されます。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic Block Store (EBS) ボリュームで暗号化が有効になっていることを確認してください。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | このコントロールは、OpenSearch ドメインで保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように OpenSearch Service ドメインを設定する必要があります。保管中のデータの暗号化を設定すると、Amazon Key Management Service (KMS) は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキー (AES-256) の Advanced Encryption Standard アルゴリズムを使用します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | このコントロールは、OpenSearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。OpenSearch ドメインでノード間の暗号化を有効にすると、クラスター内通信は転送中に確実に暗号化されます。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | Amazon Relational Database Service (RDS) スナップショットで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 保管中のデータを保護するには、Amazon Relational Database Service (RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールは clusterDbEncrypted を true に設定し、loggingEnabled を true に設定します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 保管中のデータを保護するために、SageMaker エンドポイントで AWS Key Management Service (KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 保管中のデータを保護するために、SageMaker ノートブックで AWS Key Management Service (KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 保管中のデータを保護するために、AWS Secrets Manager シークレットで AWS Key Management Service (KMS) による暗号化が有効になっていることを確認します。 AWS Secrets Manager 保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | Amazon Relational Database Service (RDS) のバックアップ機能により、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | Amazon Relational Database Service (RDS) インスタンスで削除保護が有効になっていることを確認します。削除保護を使用すると、RDS インスタンが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | Amazon Relational Database Service (RDS) インスタンスで削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| 6843 | アクセスコントロールとパスワード、特権アクセス管理、最小特権の原則 (16.4.31.C.02.) | 多要素認証 (MFA) は、ユーザーが AWS のウェブサイトまたはサービスにアクセスするときに、通常のサインイン認証情報に加えて、AWS がサポートする MFA メカニズムから一意の認証を提供するように要求することで、セキュリティを強化します。サポートされるメカニズムには、U2F セキュリティキー、仮想またはハードウェア MFA デバイス、SMS ベースのコードなどがあります。このルールは、コンソールパスワードを使用するすべての AWS Identity and Access Management (IAM) ユーザーに対して AWS MFA が有効になっているかどうかを確認します。MFA が有効の場合、このルールは COMPLIANT です。 | |
| 6843 | アクセスコントロールとパスワード、特権アクセス管理、最小特権の原則 (16.4.31.C.02.) | ルートユーザーに対してハードウェア多要素認証 (MFA) が有効になっていることを確認して、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 6852 | アクセスコントロールとパスワード、特権アクセス管理、特権アクセス認証情報の停止と取り消し (16.4.33.C.01.) | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge を 30 日間に設定します。 | |
| 6860 | アクセスコントロールとパスワード、特権アクセス管理、モニタリングとレビュー (16.4.35.C.02.) | CloudWatch Logs で CloudTrail を使用するように設定して、証跡ログをモニタリングし、特定のアクティビティの発生時に通知を受けることができます。このルールは AWS CloudTrail 証跡がログを Amazon CloudWatch Logs に送信するように設定されているかどうかを確認します。 | |
| 6860 | アクセスコントロールとパスワード、特権アクセス管理、モニタリングとレビュー (16.4.35.C.02.) | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| 6861 | アクセスコントロールとパスワード、特権アクセス管理、モニタリングとレビュー (16.4.35.C.03.) | このルールでは、複数の設定が有効になっていることをチェックすることで、AWS CloudTrail で AWS が推奨するセキュリティのベストプラクティスが使用されるようになります。これには、ログ暗号化の使用、ログの検証、複数のリージョンでの AWS CloudTrail の有効化が含まれます。 | |
| 6953 | アクセスコントロールとパスワード、多要素認証、システムアーキテクチャとセキュリティコントロール (16.7.34.C.02.) | 多要素認証 (MFA) は、ユーザーが AWS のウェブサイトまたはサービスにアクセスするときに、通常のサインイン認証情報に加えて、AWS がサポートする MFA メカニズムから一意の認証を提供するように要求することで、セキュリティを強化します。サポートされるメカニズムには、U2F セキュリティキー、仮想またはハードウェア MFA デバイス、SMS ベースのコードなどがあります。このルールは、コンソールパスワードを使用するすべての AWS Identity and Access Management (IAM) ユーザーに対して AWS MFA が有効になっているかどうかを確認します。MFA が有効の場合、このルールは COMPLIANT です。 | |
| 6953 | アクセスコントロールとパスワード、多要素認証、システムアーキテクチャとセキュリティコントロール (16.7.34.C.02.) | ルートユーザーに対してハードウェア多要素認証 (MFA) が有効になっていることを確認して、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 7436 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| 7436 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して多要素認証 (MFA) が有効になっていることを確認して、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| 7436 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | ルートユーザーに対してハードウェア多要素認証 (MFA) が有効になっていることを確認して、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 7436 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | ルートユーザーに対して多要素認証 (MFA) が有効になっていることを確認して、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 7437 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| 7437 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して多要素認証 (MFA) が有効になっていることを確認して、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| 7437 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | ルートユーザーに対してハードウェア多要素認証 (MFA) が有効になっていることを確認して、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 7437 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | ルートユーザーに対して多要素認証 (MFA) が有効になっていることを確認して、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | AWS Database Migration Service (DMS) レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Virtual Private Cloud (VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスをデプロイして、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせずに、Amazon VPC 内のインスタンスと他のサービス間の安全な通信を可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。Amazon VPC 内に存在するドメインは論理的に隔離されているため、パブリックエンドポイントを使用するドメインよりも多くのセキュリティレイヤーが追加されています。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | このコントロールは、Elasticsearch ドメインが Virtual Private Cloud (VPC) にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。Elasticsearch ドメインがパブリックサブネットに添付済みでないことを確認する必要があります。VPC 内にデプロイされた Elasticsearch ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む Elasticsearch ドメインへのアクセスを保護するための多数のネットワークコントロールを提供します。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Elastic MapReduce (EMR) クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | このコントロールは、OpenSearch ドメインが Virtual Private Cloud (VPC) にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。OpenSearch ドメインがパブリックサブネットに添付済みではないことを確認する必要があります。VPC 内にデプロイされた OpenSearch ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む、OpenSearch ドメインへのアクセスを安全にするため、多数のネットワークコントロールを提供します。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Relational Database Service (RDS) インスタンスが公開されていないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールは ignorePublicAcls を True、blockPublicPolicy を True、blockPublicAcls を True、restrictPublicBuckets を True に設定します。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Virtual Private Cloud (VPC) フローログは、Amazon Virtual Private Cloud (Amazon VPC) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | このコントロールは、CloudFront ディストリビューションでサーバーアクセスのログ記録が有効になっているかどうかをチェックします。ディストリビューションでアクセスのログ記録が有効でない場合、コントロールは失敗します。CloudFront アクセスログは、CloudFront が受信するすべてのユーザーリクエストに関する詳細情報を提供します。各ログには、リクエストが受信された日時、リクエストを行ったビューワーの IP アドレス、リクエストソース、ビューワーからのリクエストポート番号などの情報が含まれます。これらのログは、セキュリティ監査やアクセス監査、証拠調査などのアプリケーションに役立ちます。このルールは us-east-1 リージョンで適用する必要があります。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (RDS) ログ記録が有効になっていることを確認します。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。 | |
| 7545 | アクセスコントロールとパスワード、識別、認証と認証、パスワードとポリシー (16.1.31.C.02.) | 多要素認証 (MFA) またはパスワードレス認証を実装していないシステムで、毎年パスワードが変更されることを確認します。 | |
| 7546 | アクセスコントロールとパスワード、識別、認証と認証、パスワードとポリシー (16.1.31.C.03) | パスワードの最小長は 16 文字 (4 単語など) にしてください。パスワードは長く、強力で、一意である必要があります。明示的な複雑さの要件 (数字や特殊文字など) は適用されませんが、パスワードは一意またはランダムでなければならず、そのためには特殊文字や数字が含まれる場合があります。 |
テンプレート
################################################################################## # # Conformance Pack: # Operational Best Practices for NZISM Foundation # # This conformance pack helps verify compliance with NZISM requirements. # ################################################################################## Resources: AcmCertificateExpirationCheck: Controls: [ '1667' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: acm-certificate-expiration-check InputParameters: daysToExpiration: '30' Scope: ComplianceResourceTypes: - AWS::ACM::Certificate Source: Owner: AWS SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications" AlbHttpToHttpsRedirectionCheck: Controls: [ '1847', '2090' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: alb-http-to-https-redirection-check Source: Owner: AWS SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..." ApiGwExecutionLoggingEnabled: Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: api-gw-execution-logging-enabled InputParameters: loggingLevel: 'ERROR, INFO' Scope: ComplianceResourceTypes: - AWS::ApiGateway::Stage - AWS::ApiGatewayV2::Stage Source: Owner: AWS SourceIdentifier: API_GW_EXECUTION_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." CloudTrailCloudWatchLogsEnabled: Controls: [ '1998', '6860' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-cloud-watch-logs-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..." CloudTrailEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-encryption-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" CloudTrailLogFileValidationEnabled: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-log-file-validation-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CloudfrontAccesslogsEnabled: Condition: IsEdge Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-accesslogs-enabled Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." CloudfrontAssociatedWithWaf: Condition: IsEdge Controls: [ '3562' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-associated-with-waf Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways" CloudfrontDefaultRootObjectConfigured: Condition: IsEdge Controls: [ '1661' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-default-root-object-configured Source: Owner: AWS SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content" CloudfrontViewerPolicyHttps: Condition: IsEdge Controls: [ '1847' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-viewer-policy-https Source: Owner: AWS SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit" CloudtrailEnabled: Controls: [ '1998', '2013', '6860', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..." CloudtrailS3DataeventsEnabled: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-s3-dataevents-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" CloudtrailSecurityTrailEnabled: Controls: [ '6861' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-security-trail-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review" CloudwatchLogGroupEncrypted: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudwatch-log-group-encrypted Source: Owner: AWS SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CmkBackingKeyRotationEnabled: Controls: [ '3021' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cmk-backing-key-rotation-enabled Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs" CwLoggroupRetentionPeriodCheck: Controls: [ '1998', '2028' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cw-loggroup-retention-period-check InputParameters: MinRetentionTime: '545' Source: Owner: AWS SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..." DbInstanceBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: db-instance-backup-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DmsReplicationNotPublic: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dms-replication-not-public Source: Owner: AWS SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." DynamodbAutoscalingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-autoscaling-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" DynamodbPitrEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-pitr-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_PITR_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DynamodbTableEncryptedKms: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-table-encrypted-kms Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" EbsSnapshotPublicRestorableCheck: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ebs-snapshot-public-restorable-check Source: Owner: AWS SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" Ec2EbsEncryptionByDefault: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-ebs-encryption-by-default Source: Owner: AWS SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" Ec2Imdsv2Check: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-imdsv2-check Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_IMDSV2_CHECK Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstanceManagedBySystemsManager: Controls: [ '1149' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instance-managed-by-systems-manager Scope: ComplianceResourceTypes: - AWS::EC2::Instance - AWS::SSM::ManagedInstanceInventory Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs" Ec2InstanceNoPublicIp: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instance-no-public-ip Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstancesInVpc: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instances-in-vpc Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: INSTANCES_IN_VPC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2ManagedinstanceAssociationComplianceStatusCheck: Controls: [ '1149' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-managedinstance-association-compliance-status-check Scope: ComplianceResourceTypes: - AWS::SSM::AssociationCompliance Source: Owner: AWS SourceIdentifier: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs" Ec2ManagedinstancePatchComplianceStatusCheck: Controls: [ '3449', '3451', '3452', '3453' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-managedinstance-patch-compliance-status-check Scope: ComplianceResourceTypes: - AWS::SSM::PatchCompliance Source: Owner: AWS SourceIdentifier: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.04[CID:3451], SHOULD 12.4.4.C.05[CID:3452], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Pa..." EcrPrivateImageScanningEnabled: Controls: [ '3449' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ecr-private-image-scanning-enabled Scope: ComplianceResourceTypes: - AWS::ECR::Repository Source: Owner: AWS SourceIdentifier: ECR_PRIVATE_IMAGE_SCANNING_ENABLED Description: "MUST 12.4.4.C.02[CID:3449]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" EcsContainersNonprivileged: Controls: [ '1149' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ecs-containers-nonprivileged Scope: ComplianceResourceTypes: - AWS::ECS::TaskDefinition Source: Owner: AWS SourceIdentifier: ECS_CONTAINERS_NONPRIVILEGED Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs" EcsContainersReadonlyAccess: Controls: [ '1149' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ecs-containers-readonly-access Scope: ComplianceResourceTypes: - AWS::ECS::TaskDefinition Source: Owner: AWS SourceIdentifier: ECS_CONTAINERS_READONLY_ACCESS Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs" EfsEncryptedCheck: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: efs-encrypted-check Source: Owner: AWS SourceIdentifier: EFS_ENCRYPTED_CHECK Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." ElasticBeanstalkManagedUpdatesEnabled: Controls: [ '3452' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elastic-beanstalk-managed-updates-enabled Scope: ComplianceResourceTypes: - AWS::ElasticBeanstalk::Environment Source: Owner: AWS SourceIdentifier: ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" ElasticacheRedisClusterAutomaticBackupCheck: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticache-redis-cluster-automatic-backup-check Source: Owner: AWS SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" ElasticsearchEncryptedAtRest: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-encrypted-at-rest Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." ElasticsearchInVpcOnly: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-in-vpc-only Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." ElasticsearchNodeToNodeEncryptionCheck: Controls: [ '1847', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-node-to-node-encryption-check Scope: ComplianceResourceTypes: - AWS::Elasticsearch::Domain Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..." ElbCrossZoneLoadBalancingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-cross-zone-load-balancing-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" ElbCustomSecurityPolicySslCheck: Controls: [ '2598', '2600' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-custom-security-policy-ssl-check InputParameters: sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384' Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS" ElbLoggingEnabled: Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-logging-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer - AWS::ElasticLoadBalancingV2::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." ElbTlsHttpsListenersOnly: Controls: [ '1667', '1847', '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-tls-https-listeners-only Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..." EmrMasterNoPublicIp: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: emr-master-no-public-ip Source: Owner: AWS SourceIdentifier: EMR_MASTER_NO_PUBLIC_IP Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." EncryptedVolumes: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: encrypted-volumes Scope: ComplianceResourceTypes: - AWS::EC2::Volume Source: Owner: AWS SourceIdentifier: ENCRYPTED_VOLUMES Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." GuarddutyEksProtectionAuditEnabled: Controls: [ '3857' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: guardduty-eks-protection-audit-enabled Scope: ComplianceResourceTypes: - AWS::GuardDuty::Detector Source: Owner: AWS SourceIdentifier: GUARDDUTY_EKS_PROTECTION_AUDIT_ENABLED Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS" GuarddutyEksProtectionRuntimeEnabled: Controls: [ '3857' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: guardduty-eks-protection-runtime-enabled Scope: ComplianceResourceTypes: - AWS::GuardDuty::Detector Source: Owner: AWS SourceIdentifier: GUARDDUTY_EKS_PROTECTION_RUNTIME_ENABLED Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS" GuarddutyEnabledCentralized: Controls: [ '3562', '3815', '3875', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: guardduty-enabled-centralized Source: Owner: AWS SourceIdentifier: GUARDDUTY_ENABLED_CENTRALIZED Description: "MUST 19.1.12.C.01[CID:3562], MUST 18.4.9.C.01[CID:3815], SHOULD 18.4.12.C.01[CID:3875], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateway..." GuarddutyLambdaProtectionEnabled: Controls: [ '3857' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: guardduty-lambda-protection-enabled Scope: ComplianceResourceTypes: - AWS::GuardDuty::Detector Source: Owner: AWS SourceIdentifier: GUARDDUTY_LAMBDA_PROTECTION_ENABLED Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS" GuarddutyRuntimeMonitoringEnabled: Controls: [ '1154' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: guardduty-runtime-monitoring-enabled Scope: ComplianceResourceTypes: - AWS::GuardDuty::Detector Source: Owner: AWS SourceIdentifier: GUARDDUTY_RUNTIME_MONITORING_ENABLED Description: "SHOULD 7.1.7.C.02[CID:1154]| Information Security Incidents/Detecting Information Security Incidents/Preventing and detecting information security incidents" GuarddutyS3ProtectionEnabled: Controls: [ '3857' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: guardduty-s3-protection-enabled Scope: ComplianceResourceTypes: - AWS::GuardDuty::Detector Source: Owner: AWS SourceIdentifier: GUARDDUTY_S3_PROTECTION_ENABLED Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS" IamPasswordPolicy: Controls: [ '7545', '7546' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-password-policy InputParameters: MaxPasswordAge: '1095' MinimumPasswordLength: '16' PasswordReusePrevention: '24' RequireUppercaseCharacters: 'false' RequireLowercaseCharacters: 'false' RequireSymbols: 'false' RequireNumbers: 'false' Source: Owner: AWS SourceIdentifier: IAM_PASSWORD_POLICY Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy" IamPolicyNoStatementsWithAdminAccess: Controls: [ '1946' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-policy-no-statements-with-admin-access Scope: ComplianceResourceTypes: - AWS::IAM::Policy Source: Owner: AWS SourceIdentifier: IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts" IamRootAccessKeyCheck: Controls: [ '1946' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-root-access-key-check Source: Owner: AWS SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts" IamUserMfaEnabled: Controls: [ '1841', '7436', '7437' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-user-mfa-enabled Source: Owner: AWS SourceIdentifier: IAM_USER_MFA_ENABLED Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..." IamUserUnusedCredentialsCheck: Controls: [ '1893', '6852' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-user-unused-credentials-check InputParameters: maxCredentialUsageAge: '90' Source: Owner: AWS SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK Description: "SHOULD 16.1.46.C.02[CID:1893], MUST 16.4.33.C.01[CID:6852]| Access Control and Passwords: (Identification, Authentication and Passwords/Suspension of access and Privi..." LambdaFunctionPublicAccessProhibited: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: lambda-function-public-access-prohibited Scope: ComplianceResourceTypes: - AWS::Lambda::Function Source: Owner: AWS SourceIdentifier: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." MfaEnabledForIamConsoleAccess: Controls: [ '1841', '6843', '6953', '7436', '7437' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: mfa-enabled-for-iam-console-access Source: Owner: AWS SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..." OpensearchEncryptedAtRest: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: opensearch-encrypted-at-rest Scope: ComplianceResourceTypes: - AWS::OpenSearch::Domain Source: Owner: AWS SourceIdentifier: OPENSEARCH_ENCRYPTED_AT_REST Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." OpensearchInVpcOnly: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: opensearch-in-vpc-only Scope: ComplianceResourceTypes: - AWS::OpenSearch::Domain Source: Owner: AWS SourceIdentifier: OPENSEARCH_IN_VPC_ONLY Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." OpensearchNodeToNodeEncryptionCheck: Controls: [ '1847', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: opensearch-node-to-node-encryption-check Scope: ComplianceResourceTypes: - AWS::OpenSearch::Domain Source: Owner: AWS SourceIdentifier: OPENSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..." RdsAutomaticMinorVersionUpgradeEnabled: Controls: [ '3452' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-automatic-minor-version-upgrade-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RdsClusterDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-cluster-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBCluster Source: Owner: AWS SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstanceDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstancePublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-public-access-check Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RdsLoggingEnabled: Controls: [ '2013', '4441', '4445', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-logging-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..." RdsSnapshotEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshot-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RdsSnapshotsPublicProhibited: Controls: [ '4441' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshots-public-prohibited Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files" RdsStorageEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-storage-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_STORAGE_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RedshiftBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-backup-enabled Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RedshiftClusterConfigurationCheck: Controls: [ '4441', '4445', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-configuration-check InputParameters: clusterDbEncrypted: 'true' loggingEnabled: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..." RedshiftClusterMaintenancesettingsCheck: Controls: [ '3449', '3453' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-maintenancesettings-check InputParameters: allowVersionUpgrade: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RedshiftClusterPublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-public-access-check Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RedshiftRequireTlsSsl: Controls: [ '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-require-tls-ssl Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..." RestrictedSsh: Controls: [ '2726' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: restricted-ssh Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: INCOMING_SSH_DISABLED Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access" RootAccountHardwareMfaEnabled: Controls: [ '1841', '6843', '6953', '7436', '7437' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: root-account-hardware-mfa-enabled Source: Owner: AWS SourceIdentifier: ROOT_ACCOUNT_HARDWARE_MFA_ENABLED Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..." RootAccountMfaEnabled: Controls: [ '1841', '7436', '7437' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: root-account-mfa-enabled Source: Owner: AWS SourceIdentifier: ROOT_ACCOUNT_MFA_ENABLED Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..." S3AccountLevelPublicAccessBlocksPeriodic: Controls: [ '3562', '4838', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-account-level-public-access-blocks-periodic Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..." S3BucketPublicReadProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-read-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketPublicWriteProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-write-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketServerSideEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-server-side-encryption-enabled Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" S3BucketSslRequestsOnly: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-ssl-requests-only Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SagemakerEndpointConfigurationKmsKeyConfigured: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: sagemaker-endpoint-configuration-kms-key-configured Source: Owner: AWS SourceIdentifier: SAGEMAKER_ENDPOINT_CONFIGURATION_KMS_KEY_CONFIGURED Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SagemakerNotebookInstanceKmsKeyConfigured: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: sagemaker-notebook-instance-kms-key-configured Source: Owner: AWS SourceIdentifier: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SagemakerNotebookNoDirectInternetAccess: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: sagemaker-notebook-no-direct-internet-access Source: Owner: AWS SourceIdentifier: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." SecretsmanagerUsingCmk: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: secretsmanager-using-cmk Scope: ComplianceResourceTypes: - AWS::SecretsManager::Secret Source: Owner: AWS SourceIdentifier: SECRETSMANAGER_USING_CMK Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecurityhubEnabled: Controls: [ '3875' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: securityhub-enabled Source: Owner: AWS SourceIdentifier: SECURITYHUB_ENABLED Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation" SsmDocumentNotPublic: Controls: [ '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ssm-document-not-public Source: Owner: AWS SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility" VpcDefaultSecurityGroupClosed: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-default-security-group-closed Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcFlowLogsEnabled: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-flow-logs-enabled Source: Owner: AWS SourceIdentifier: VPC_FLOW_LOGS_ENABLED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcSgOpenOnlyToAuthorizedPorts: Controls: [ '3205' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-sg-open-only-to-authorized-ports InputParameters: authorizedTcpPorts: '443' Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access" Wafv2LoggingEnabled: Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: wafv2-logging-enabled Source: Owner: AWS SourceIdentifier: WAFV2_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
