翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# NZISM 3.9 の運用上のベストプラクティス (NZ 移行)
コンフォーマンスパックは、マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下は、[ニュージーランド政府通信セキュリティ局 (GCSB) 情報セキュリティマニュアル (NZISM) 2025-11 バージョン 3.9](https://www.nzism.gcsb.govt.nz/ism-document) と AWS Managed Config ルール間のマッピングの例です。各 Config ルールは、特定の AWS リソースタイプに適用され、1 つ以上の NZISM コントロールに関連付けられます。「ÑZISM」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。RESTRICTED 以下に分類される情報の推奨プラクティスまたはベースラインプラクティスを表すコントロールのみがマッピングに含まれます。
このコンフォーマンスパックのサンプルテンプレートは、NZISM フレームワーク内のコントロールへのマッピングを含んでおり、これは、人員、情報および物理的セキュリティの管理に対するニュージーランド政府の期待値を定めた保護セキュリティ要件 (PSR) フレームワークの不可欠な部分です。
このコンフォーマンスパックの Foundation 部分は、シドニーおよびグローバルリージョンにデプロイできます。NZ 移行パートには、ニュージーランドリージョンで現在利用可能な Foundation Config ルールのサブセットが含まれています。Foundation パートは現在、ニュージーランドリージョンにデプロイされません。このコンフォーマンスパックの拡張機能部分をシドニーおよびニュージーランドリージョンにデプロイして、 Foundation および NZ Transition パートで提供される Config ルールを強化できます。
The NZISM is licensed under the Creative Commons Attribution 4.0 New Zealand licence, available at [https://creativecommons.org/licenses/by/4.0/](https://creativecommons.org/licenses/by/4.0/)。著作権については、[「NZISM New Zealand Information Security Manual|法律、プライバシー、著作権」](https://www.nzism.gcsb.govt.nz/legal-privacy-and-copyright/)に記載されています。
****
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
| --- | --- | --- | --- |
| 1661 | ソフトウェアセキュリティ、ウェブアプリケーション開発、エージェンシーのウェブサイトコンテンツ (14.5.6.C.01.) | [cloudfront-default-root-object-configured](cloudfront-default-root-object-configured.md) | このコントロールは、Amazon CloudFront ディストリビューションがデフォルトのルートオブジェクトである特定のオブジェクトを返すように設定されているかどうかをチェックします。CloudFront ディストリビューションにデフォルトのルートオブジェクトが設定されていない場合、コントロールは失敗します。ユーザーは、ディストリビューション内のオブジェクトではなく、ディストリビューションのルート URL を要求することがあります。この場合、デフォルトのルートオブジェクトを指定することで、ウェブディストリビューションのコンテンツの漏洩を防止できます。このルールは us-east-1 リージョンで適用する必要があります。テンプレートパラメータ DeployEdgeRules = true を使用してデプロイします |
| 1667 | ソフトウェアセキュリティ、ウェブアプリケーション開発、ウェブアプリケーション (14.5.8.C.01.) | [acm-certificate-expiration-check](acm-certificate-expiration-check.md) | X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。This rule requires a value for daysToExpiration。値は 30 日です。 |
| 1667 | ソフトウェアセキュリティ、ウェブアプリケーション開発、ウェブアプリケーション (14.5.8.C.01.) | [elb-tls-https-listeners-only](elb-tls-https-listeners-only.md) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | [alb-http-to-https-redirection-check](alb-http-to-https-redirection-check.md) | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | [cloudfront-viewer-policy-https](cloudfront-viewer-policy-https.md) | このコントロールは、Amazon CloudFront ディストリビューションで視聴者が HTTPS を直接使用する必要性、またはリダイレクトを使用するかどうかをチェックします。ViewerProtocolPolicy が defaultCacheBehavior または cacheBehaviors の allow-all に設定されている場合、コントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。このルールは us-east-1 リージョンで適用する必要があります。テンプレートパラメータ DeployEdgeRules = true を使用してデプロイします |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | [elasticsearch-node-to-node-encryption-check](elasticsearch-node-to-node-encryption-check.md) | このコントロールは Elasticsearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。Elasticsearch ドメインのノード間の暗号化を有効にすると、クラスター内の通信が転送中に確実に暗号化されます。 |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | [elb-tls-https-listeners-only](elb-tls-https-listeners-only.md) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 |
| 1998 | アクセスコントロールとパスワード、イベントログ記録と監査、システム管理ログの管理 (16.6.6.C.02.) | [cloud-trail-cloud-watch-logs-enabled](cloud-trail-cloud-watch-logs-enabled.md) | CloudWatch Logs で CloudTrail を使用するように設定して、証跡ログをモニタリングし、特定のアクティビティの発生時に通知を受けることができます。このルールは AWS CloudTrail 証跡がログを Amazon CloudWatch Logs に送信するように設定されているかどうかを確認します。 |
| 1998 | アクセスコントロールとパスワード、イベントログ記録と監査、システム管理ログの管理 (16.6.6.C.02.) | [cloudtrail-enabled](cloudtrail-enabled.md) | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 |
| 1998 | アクセスコントロールとパスワード、イベントログ記録と監査、システム管理ログの管理 (16.6.6.C.02.) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。最低保有期間は 18 ヶ月です。 |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | このコントロールは、CloudFront ディストリビューションでサーバーアクセスのログ記録が有効になっているかどうかをチェックします。ディストリビューションでアクセスのログ記録が有効でない場合、コントロールは失敗します。CloudFront アクセスログは、CloudFront が受信するすべてのユーザーリクエストに関する詳細情報を提供します。各ログには、リクエストが受信された日時、リクエストを行ったビューワーの IP アドレス、リクエストソース、ビューワーからのリクエストポート番号などの情報が含まれます。これらのログは、セキュリティ監査やアクセス監査、証拠調査などのアプリケーションに役立ちます。このルールは us-east-1 リージョンで適用する必要があります。テンプレートパラメータ DeployEdgeRules = true を使用してデプロイします |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | [cloudtrail-enabled](cloudtrail-enabled.md) | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | [elb-logging-enabled](elb-logging-enabled.md) | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | [rds-logging-enabled](rds-logging-enabled.md) | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 |
| 2022 | アクセスコントロールとパスワード、イベントログ記録と監査、イベントログ保護 (16.6.12.C.01.) | [cloud-trail-log-file-validation-enabled](cloud-trail-log-file-validation-enabled.md) | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 |
| 2022 | アクセスコントロールとパスワード、イベントログ記録と監査、イベントログ保護 (16.6.12.C.01.) | [cloudwatch-log-group-encrypted](cloudwatch-log-group-encrypted.md) | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 |
| 2028 | アクセスコントロールとパスワード、イベントログ記録と監査、イベントログアーカイブ (16.6.13.C.01.) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。最低保有期間は 18 ヶ月です。 |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | [cloud-trail-encryption-enabled](cloud-trail-encryption-enabled.md) | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | [ec2-ebs-encryption-by-default](ec2-ebs-encryption-by-default.md) | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | [efs-encrypted-check](efs-encrypted-check.md) | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | [elasticsearch-encrypted-at-rest](elasticsearch-encrypted-at-rest.md) | このコントロールは、Elasticsearch ドメインで、保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように Elasticsearch Service ドメインを設定する必要があります。保管中のデータの暗号化を設定すると、Amazon Key Management Service (KMS) は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキー (AES-256) の Advanced Encryption Standard アルゴリズムを使用します。 |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | [encrypted-volumes](encrypted-volumes.md) | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | [rds-snapshot-encrypted](rds-snapshot-encrypted.md) | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | [rds-storage-encrypted](rds-storage-encrypted.md) | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | [s3-bucket-server-side-encryption-enabled](s3-bucket-server-side-encryption-enabled.md) | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 |
| 2090 | 暗号化、暗号化の基礎、情報およびシステム保護 (17.1.55.C.02.) | [alb-http-to-https-redirection-check](alb-http-to-https-redirection-check.md) | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 |
| 2090 | 暗号化、暗号化の基礎、情報およびシステム保護 (17.1.55.C.02.) | [elb-tls-https-listeners-only](elb-tls-https-listeners-only.md) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 |
| 2090 | 暗号化、暗号化の基礎、情報およびシステム保護 (17.1.55.C.02.) | [redshift-require-tls-ssl](redshift-require-tls-ssl.md) | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 |
| 2598 | TLS を使用した暗号化、Transport Layer Security (17.4.16.C.01.) | [elb-custom-security-policy-ssl-check](elb-custom-security-policy-ssl-check.md) | 転送中のデータを保護するため、Classic ElasticLoadBalancer SSL のリスナーがカスタムセキュリティポリシーを使用していることを確認します。これらのポリシーは、システム間の暗号化されたネットワーク通信を実現するための、さまざまな高強度の暗号化アルゴリズムを提供します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。セキュリティポリシーは Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384. |
| 2600 | TLS を使用した暗号化、Transport Layer Security (17.4.16.C.02.) | [elb-custom-security-policy-ssl-check](elb-custom-security-policy-ssl-check.md) | 転送中のデータを保護するため、Classic ElasticLoadBalancer SSL のリスナーがカスタムセキュリティポリシーを使用していることを確認します。これらのポリシーは、システム間の暗号化されたネットワーク通信を実現するための、さまざまな高強度の暗号化アルゴリズムを提供します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384. |
| 2726 | 暗号化、Secure Shell、自動リモートアクセス (17.5.8.C.02.) | [restricted-ssh](restricted-ssh.md) | Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 |
| 3021 | 暗号化、キー管理、KMP の内容 (17.9.25.C.01.) | [cmk-backing-key-rotation-enabled](cmk-backing-key-rotation-enabled.md) | Amazon Key Management Service (KMS) を使用すると、お客様はバッキングキーをローテーションできます。バッキングキーは、AWS KMS に保存されているキーマテリアルであり、CMK のキー ID に関連付けられています。バッキングキーは、暗号化や復号化などの暗号化オペレーションを実行するために使用されます。現在、キーの自動ローテーションでは以前のすべてのバッキングキーが保持されるため、暗号化したデータは透過的に復号化できます。新しいキーで暗号化されたデータは、漏洩した可能性がある以前のキーではアクセスできないため、暗号化キーをローテーションすることで、漏洩したキーにより起こる可能性のある被害を減らすことができます。 |
| 3205 | ネットワークセキュリティ、ネットワーク管理、ネットワークアクセスの制限 (18.1.13.C.02.) | [vpc-sg-open-only-to-authorized-ports](vpc-sg-open-only-to-authorized-ports.md) | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。許可されたインターネットポートリストは 443 のみ |
| 3449 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.02.) | [redshift-cluster-maintenancesettings-check](redshift-cluster-maintenancesettings-check.md) | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を TRUE に設定します。 |
| 3452 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.05.) | [rds-automatic-minor-version-upgrade-enabled](rds-automatic-minor-version-upgrade-enabled.md) | このコントロールは、RDS データベースインスタンスでマイナーバージョン自動アップグレードが有効になっているかどうかをチェックします。マイナーバージョン自動アップグレードを有効にすると、リレーショナルデータベース管理システム (RDBMS) に最新のマイナーバージョンの更新がインストールされます。これらのアップグレードには、セキュリティパッチとバグ修正を含む場合があります。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。 |
| 3453 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.06.) | [redshift-cluster-maintenancesettings-check](redshift-cluster-maintenancesettings-check.md) | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を TRUE に設定します。 |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [cloudfront-associated-with-waf](cloudfront-associated-with-waf.md) | このコントロールは、CloudFront ディストリビューションが AWS WAF または AWS WAFv2 ウェブ ACL のいずれかと関連付けられているかどうかをチェックします。ディストリビューションがウェブ ACL に関連付けられていない場合、コントロールは失敗します。AWS WAF は、ウェブアプリケーションと API を攻撃から保護するウェブアプリケーションファイアウォールです。これで、ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれる一連のルールを設定することができます。このルールは、ユーザーが定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントします。CloudFront ディストリビューションを悪意のある攻撃から保護するために、AWS WAF ウェブ ACL に確実に関連付けられていることを確認しください。このルールは us-east-1 リージョンで適用する必要があります。テンプレートパラメータ DeployEdgeRules = true を使用してデプロイします |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [dms-replication-not-public](dms-replication-not-public.md) | AWS Database Migration Service (DMS) レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [ec2-imdsv2-check](ec2-imdsv2-check.md) | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [ec2-instance-no-public-ip](ec2-instance-no-public-ip.md) | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [ec2-instances-in-vpc](ec2-instances-in-vpc.md) | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。Amazon VPC 内に存在するドメインは論理的に隔離されているため、パブリックエンドポイントを使用するドメインよりも多くのセキュリティレイヤーが追加されています。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [elasticsearch-in-vpc-only](elasticsearch-in-vpc-only.md) | このコントロールは、Elasticsearch ドメインが Virtual Private Cloud (VPC) にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。Elasticsearch ドメインがパブリックサブネットに添付済みでないことを確認する必要があります。VPC 内にデプロイされた Elasticsearch ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む Elasticsearch ドメインへのアクセスを保護するための多数のネットワークコントロールを提供します。 |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [rds-instance-public-access-check](rds-instance-public-access-check.md) | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [redshift-cluster-public-access-check](redshift-cluster-public-access-check.md) | Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [s3-account-level-public-access-blocks-periodic](s3-account-level-public-access-blocks-periodic.md) | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls を TRUE、blockPublicPolicy を TRUE、blockPublicAcls を TRUE、restrictPublicBuckets を TRUE に設定します。 |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [vpc-default-security-group-closed](vpc-default-security-group-closed.md) | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。 |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | [vpc-flow-logs-enabled](vpc-flow-logs-enabled.md) | Virtual Private Cloud (VPC) フローログは、Amazon VPC のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 |
| 3623 | ゲートウェイセキュリティ、ゲートウェイ、非武装ゾーン (19.1.14.C.02.) | [elasticsearch-in-vpc-only](elasticsearch-in-vpc-only.md) | このコントロールは、Elasticsearch ドメインが Virtual Private Cloud (VPC) にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。Elasticsearch ドメインがパブリックサブネットに添付済みでないことを確認する必要があります。VPC 内にデプロイされた Elasticsearch ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む Elasticsearch ドメインへのアクセスを保護するための多数のネットワークコントロールを提供します。 |
| 3623 | ゲートウェイセキュリティ、ゲートウェイ、非武装ゾーン (19.1.14.C.02.) | [rds-instance-public-access-check](rds-instance-public-access-check.md) | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 |
| 3623 | ゲートウェイセキュリティ、ゲートウェイ、非武装ゾーン (19.1.14.C.02.) | [redshift-cluster-public-access-check](redshift-cluster-public-access-check.md) | Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 |
| 3875 | ネットワークセキュリティ、侵入の検出と防止、イベント管理と相関 (18.4.12.C.01.) | [securityhub-enabled](securityhub-enabled.md) | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | [elasticsearch-encrypted-at-rest](elasticsearch-encrypted-at-rest.md) | このコントロールは、Elasticsearch ドメインで、保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように Elasticsearch Service ドメインを設定する必要があります。保管中のデータの暗号化を設定すると、Amazon Key Management Service (KMS) は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキー (AES-256) の Advanced Encryption Standard アルゴリズムを使用します。 |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | [rds-logging-enabled](rds-logging-enabled.md) | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | [rds-snapshot-encrypted](rds-snapshot-encrypted.md) | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | [rds-snapshots-public-prohibited](rds-snapshots-public-prohibited.md) | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | [rds-storage-encrypted](rds-storage-encrypted.md) | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | [redshift-cluster-configuration-check](redshift-cluster-configuration-check.md) | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、ignorePublicAcls を TRUE、blockPublicPolicy を TRUE、blockPublicAcls を TRUE、restrictPublicBuckets を TRUE に設定します。 |
| 4445 | データ管理、データベース、説明責任 (20.4.5.C.02.) | [rds-logging-enabled](rds-logging-enabled.md) | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 |
| 4445 | データ管理、データベース、説明責任 (20.4.5.C.02.) | [redshift-cluster-configuration-check](redshift-cluster-configuration-check.md) | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、ignorePublicAcls を TRUE、blockPublicPolicy を TRUE、blockPublicAcls を TRUE、restrictPublicBuckets を TRUE に設定します。 |
| 4829 | エンタープライズシステムセキュリティ、クラウドコンピューティング、システム可用性 (22.1.23.C.01.) | [dynamodb-autoscaling-enabled](dynamodb-autoscaling-enabled.md) | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループット性能を調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 |
| 4829 | エンタープライズシステムセキュリティ、クラウドコンピューティング、システム可用性 (22.1.23.C.01.) | [elb-cross-zone-load-balancing-enabled](elb-cross-zone-load-balancing-enabled.md) | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | [cloudtrail-s3-dataevents-enabled](cloudtrail-s3-dataevents-enabled.md) | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | [ebs-snapshot-public-restorable-check](ebs-snapshot-public-restorable-check.md) | Amazon Elastic Block Store (EBS) スナップショットをパブリックに復元できないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | [s3-account-level-public-access-blocks-periodic](s3-account-level-public-access-blocks-periodic.md) | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls を TRUE、blockPublicPolicy を TRUE、blockPublicAcls を TRUE、restrictPublicBuckets を TRUE に設定します。 |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | [s3-bucket-public-read-prohibited](s3-bucket-public-read-prohibited.md) | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | [s3-bucket-public-write-prohibited](s3-bucket-public-write-prohibited.md) | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [dynamodb-table-encrypted-kms](dynamodb-table-encrypted-kms.md) | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB テーブルは AWS 所有の Amazon Key Management Service (KMS) キーで暗号化されます。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [efs-encrypted-check](efs-encrypted-check.md) | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [elasticsearch-encrypted-at-rest](elasticsearch-encrypted-at-rest.md) | このコントロールは、Elasticsearch ドメインで、保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように Elasticsearch Service ドメインを設定する必要があります。保管中のデータの暗号化を設定すると、Amazon Key Management Service (KMS) は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキー (AES-256) の Advanced Encryption Standard アルゴリズムを使用します。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [elasticsearch-node-to-node-encryption-check](elasticsearch-node-to-node-encryption-check.md) | このコントロールは Elasticsearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。Elasticsearch ドメインのノード間の暗号化を有効にすると、クラスター内の通信が転送中に確実に暗号化されます。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [elb-tls-https-listeners-only](elb-tls-https-listeners-only.md) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [encrypted-volumes](encrypted-volumes.md) | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [rds-snapshot-encrypted](rds-snapshot-encrypted.md) | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [rds-storage-encrypted](rds-storage-encrypted.md) | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [redshift-cluster-configuration-check](redshift-cluster-configuration-check.md) | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、ignorePublicAcls を TRUE、blockPublicPolicy を TRUE、blockPublicAcls を TRUE、restrictPublicBuckets を TRUE に設定します。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [redshift-require-tls-ssl](redshift-require-tls-ssl.md) | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [s3-bucket-ssl-requests-only](s3-bucket-ssl-requests-only.md) | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | [secretsmanager-using-cmk](secretsmanager-using-cmk.md) | 保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | [db-instance-backup-enabled](db-instance-backup-enabled.md) | Amazon Relational Database Service (RDS) のバックアップ機能により、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | [elasticache-redis-cluster-automatic-backup-check](elasticache-redis-cluster-automatic-backup-check.md) | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | [rds-cluster-deletion-protection-enabled](rds-cluster-deletion-protection-enabled.md) | Amazon Relational Database Service (RDS) インスタンスで削除保護が有効になっていることを確認します。削除保護を使用すると、RDS インスタンが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | [rds-instance-deletion-protection-enabled](rds-instance-deletion-protection-enabled.md) | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | [redshift-backup-enabled](redshift-backup-enabled.md) | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 |
| 6860 | アクセスコントロールとパスワード、特権アクセス管理、モニタリングとレビュー (16.4.35.C.02.) | [cloud-trail-cloud-watch-logs-enabled](cloud-trail-cloud-watch-logs-enabled.md) | CloudWatch Logs で CloudTrail を使用するように設定して、証跡ログをモニタリングし、特定のアクティビティの発生時に通知を受けることができます。このルールは AWS CloudTrail 証跡がログを Amazon CloudWatch Logs に送信するように設定されているかどうかを確認します。 |
| 6860 | アクセスコントロールとパスワード、特権アクセス管理、モニタリングとレビュー (16.4.35.C.02.) | [cloudtrail-enabled](cloudtrail-enabled.md) | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 |
| 6861 | アクセスコントロールとパスワード、特権アクセス管理、モニタリングとレビュー (16.4.35.C.03.) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | このルールでは、複数の設定が有効になっていることをチェックすることで、AWS CloudTrail で AWS が推奨するセキュリティのベストプラクティスが使用されるようになります。これには、ログ暗号化の使用、ログ検証、複数のリージョンでの AWS CloudTrail の有効化が含まれます。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [dms-replication-not-public](dms-replication-not-public.md) | AWS Database Migration Service (DMS) レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [ec2-imdsv2-check](ec2-imdsv2-check.md) | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [ec2-instance-no-public-ip](ec2-instance-no-public-ip.md) | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [ec2-instances-in-vpc](ec2-instances-in-vpc.md) | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスをデプロイして、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせずに、インスタンスと Amazon VPC 内の他のサービス間の安全な通信を可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [elasticsearch-in-vpc-only](elasticsearch-in-vpc-only.md) | このコントロールは、Elasticsearch ドメインが Virtual Private Cloud (VPC) にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。Elasticsearch ドメインがパブリックサブネットに添付済みでないことを確認する必要があります。VPC 内にデプロイされた Elasticsearch ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む Elasticsearch ドメインへのアクセスを保護するための多数のネットワークコントロールを提供します。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [rds-instance-public-access-check](rds-instance-public-access-check.md) | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [redshift-cluster-public-access-check](redshift-cluster-public-access-check.md) | Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [s3-account-level-public-access-blocks-periodic](s3-account-level-public-access-blocks-periodic.md) | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls を TRUE、blockPublicPolicy を TRUE、blockPublicAcls を TRUE、restrictPublicBuckets を TRUE に設定します。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [ssm-document-not-public](ssm-document-not-public.md) | AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [vpc-default-security-group-closed](vpc-default-security-group-closed.md) | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。 |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | [vpc-flow-logs-enabled](vpc-flow-logs-enabled.md) | Virtual Private Cloud (VPC) フローログは、Amazon VPC 内のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | [cloud-trail-log-file-validation-enabled](cloud-trail-log-file-validation-enabled.md) | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | このコントロールは、CloudFront ディストリビューションでサーバーアクセスのログ記録が有効になっているかどうかをチェックします。ディストリビューションでアクセスのログ記録が有効でない場合、コントロールは失敗します。CloudFront アクセスログは、CloudFront が受信するすべてのユーザーリクエストに関する詳細情報を提供します。各ログには、リクエストが受信された日時、リクエストを行ったビューワーの IP アドレス、リクエストソース、ビューワーからのリクエストポート番号などの情報が含まれます。これらのログは、セキュリティ監査やアクセス監査、証拠調査などのアプリケーションに役立ちます。このルールは us-east-1 リージョンで適用する必要があります。 |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | [cloudtrail-enabled](cloudtrail-enabled.md) | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | [cloudwatch-log-group-encrypted](cloudwatch-log-group-encrypted.md) | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | [elb-logging-enabled](elb-logging-enabled.md) | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | [rds-logging-enabled](rds-logging-enabled.md) | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 |
| 7545 | アクセスコントロールとパスワード、識別、認証と認証、パスワードとポリシー (16.1.31.C.02.) | [iam-password-policy](iam-password-policy.md) | 多要素認証 (MFA) またはパスワードレス認証を実装していないシステムでは、パスワードを毎年変更する必要があります。このコンフォーマンスパックには iam-user-mfa-enabled Config ルールが含まれているため、このコントロールにより 3 年ごとにパスワードが変更されます。 |
| 7546 | アクセスコントロールとパスワード、識別、認証と認証、パスワードとポリシー (16.1.31.C.03) | [iam-password-policy](iam-password-policy.md) | パスワードの最小長は 16 文字 (4 単語など) にしてください。パスワードは長く、強力で、一意である必要があります。明示的な複雑さの要件 (数字や特殊文字など) は適用されませんが、パスワードは一意またはランダムでなければならず、そのためには特殊文字や数字が含まれる場合があります。 |
## テンプレート
```
##################################################################################
#
# Conformance Pack:
# Operational Best Practices for NZISM NZ Transition
#
# This conformance pack helps verify compliance with NZISM requirements.
#
##################################################################################
Resources:
AcmCertificateExpirationCheck:
Controls: [ '1667' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: acm-certificate-expiration-check
InputParameters:
daysToExpiration: '30'
Scope:
ComplianceResourceTypes:
- AWS::ACM::Certificate
Source:
Owner: AWS
SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK
Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications"
AlbHttpToHttpsRedirectionCheck:
Controls: [ '1847', '2090' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: alb-http-to-https-redirection-check
Source:
Owner: AWS
SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK
Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..."
CloudTrailCloudWatchLogsEnabled:
Controls: [ '1998', '6860' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cloud-trail-cloud-watch-logs-enabled
Source:
Owner: AWS
SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED
Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..."
CloudTrailEncryptionEnabled:
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cloud-trail-encryption-enabled
Source:
Owner: AWS
SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
CloudTrailLogFileValidationEnabled:
Controls: [ '2022', '7496' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cloud-trail-log-file-validation-enabled
Source:
Owner: AWS
SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED
Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..."
CloudfrontAccesslogsEnabled:
Condition: IsEdge
Controls: [ '2013', '7496' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cloudfront-accesslogs-enabled
Source:
Owner: AWS
SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED
Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
CloudfrontAssociatedWithWaf:
Condition: IsEdge
Controls: [ '3562' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cloudfront-associated-with-waf
Source:
Owner: AWS
SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF
Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways"
CloudfrontDefaultRootObjectConfigured:
Condition: IsEdge
Controls: [ '1661' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cloudfront-default-root-object-configured
Source:
Owner: AWS
SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED
Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content"
CloudfrontViewerPolicyHttps:
Condition: IsEdge
Controls: [ '1847' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cloudfront-viewer-policy-https
Source:
Owner: AWS
SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS
Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit"
CloudtrailEnabled:
Controls: [ '1998', '2013', '6860', '7496' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cloudtrail-enabled
Source:
Owner: AWS
SourceIdentifier: CLOUD_TRAIL_ENABLED
Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..."
CloudtrailS3DataeventsEnabled:
Controls: [ '4838' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cloudtrail-s3-dataevents-enabled
Source:
Owner: AWS
SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED
Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
CloudtrailSecurityTrailEnabled:
Controls: [ '6861' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cloudtrail-security-trail-enabled
Source:
Owner: AWS
SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED
Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review"
CloudwatchLogGroupEncrypted:
Controls: [ '2022', '7496' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cloudwatch-log-group-encrypted
Source:
Owner: AWS
SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED
Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..."
CmkBackingKeyRotationEnabled:
Controls: [ '3021' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cmk-backing-key-rotation-enabled
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs"
CwLoggroupRetentionPeriodCheck:
Controls: [ '1998', '2028' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: cw-loggroup-retention-period-check
InputParameters:
MinRetentionTime: '545'
Source:
Owner: AWS
SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK
Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..."
DbInstanceBackupEnabled:
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: db-instance-backup-enabled
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
DmsReplicationNotPublic:
Controls: [ '3562', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: dms-replication-not-public
Source:
Owner: AWS
SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC
Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
DynamodbAutoscalingEnabled:
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: dynamodb-autoscaling-enabled
Scope:
ComplianceResourceTypes:
- AWS::DynamoDB::Table
Source:
Owner: AWS
SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
DynamodbPitrEnabled:
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: dynamodb-pitr-enabled
Scope:
ComplianceResourceTypes:
- AWS::DynamoDB::Table
Source:
Owner: AWS
SourceIdentifier: DYNAMODB_PITR_ENABLED
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
DynamodbTableEncryptedKms:
Controls: [ '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: dynamodb-table-encrypted-kms
Scope:
ComplianceResourceTypes:
- AWS::DynamoDB::Table
Source:
Owner: AWS
SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS
Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
EbsSnapshotPublicRestorableCheck:
Controls: [ '4838' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ebs-snapshot-public-restorable-check
Source:
Owner: AWS
SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK
Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
Ec2EbsEncryptionByDefault:
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ec2-ebs-encryption-by-default
Source:
Owner: AWS
SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
Ec2Imdsv2Check:
Controls: [ '3562', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ec2-imdsv2-check
Scope:
ComplianceResourceTypes:
- AWS::EC2::Instance
Source:
Owner: AWS
SourceIdentifier: EC2_IMDSV2_CHECK
Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
Ec2InstanceNoPublicIp:
Controls: [ '3562', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ec2-instance-no-public-ip
Scope:
ComplianceResourceTypes:
- AWS::EC2::Instance
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP
Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
Ec2InstancesInVpc:
Controls: [ '3562', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ec2-instances-in-vpc
Scope:
ComplianceResourceTypes:
- AWS::EC2::Instance
Source:
Owner: AWS
SourceIdentifier: INSTANCES_IN_VPC
Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
EfsEncryptedCheck:
Controls: [ '2082', '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: efs-encrypted-check
Source:
Owner: AWS
SourceIdentifier: EFS_ENCRYPTED_CHECK
Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..."
ElasticacheRedisClusterAutomaticBackupCheck:
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: elasticache-redis-cluster-automatic-backup-check
Source:
Owner: AWS
SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
ElasticsearchEncryptedAtRest:
Controls: [ '2082', '4441', '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: elasticsearch-encrypted-at-rest
Source:
Owner: AWS
SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST
Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
ElasticsearchInVpcOnly:
Controls: [ '3562', '3623', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: elasticsearch-in-vpc-only
Source:
Owner: AWS
SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
ElasticsearchNodeToNodeEncryptionCheck:
Controls: [ '1847', '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: elasticsearch-node-to-node-encryption-check
Scope:
ComplianceResourceTypes:
- AWS::Elasticsearch::Domain
Source:
Owner: AWS
SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..."
ElbCrossZoneLoadBalancingEnabled:
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: elb-cross-zone-load-balancing-enabled
Scope:
ComplianceResourceTypes:
- AWS::ElasticLoadBalancing::LoadBalancer
Source:
Owner: AWS
SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
ElbCustomSecurityPolicySslCheck:
Controls: [ '2598', '2600' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: elb-custom-security-policy-ssl-check
InputParameters:
sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384'
Scope:
ComplianceResourceTypes:
- AWS::ElasticLoadBalancing::LoadBalancer
Source:
Owner: AWS
SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK
Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS"
ElbLoggingEnabled:
Controls: [ '2013', '7496' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: elb-logging-enabled
Scope:
ComplianceResourceTypes:
- AWS::ElasticLoadBalancing::LoadBalancer
- AWS::ElasticLoadBalancingV2::LoadBalancer
Source:
Owner: AWS
SourceIdentifier: ELB_LOGGING_ENABLED
Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
ElbTlsHttpsListenersOnly:
Controls: [ '1667', '1847', '2090', '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: elb-tls-https-listeners-only
Scope:
ComplianceResourceTypes:
- AWS::ElasticLoadBalancing::LoadBalancer
Source:
Owner: AWS
SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY
Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..."
EncryptedVolumes:
Controls: [ '2082', '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: encrypted-volumes
Scope:
ComplianceResourceTypes:
- AWS::EC2::Volume
Source:
Owner: AWS
SourceIdentifier: ENCRYPTED_VOLUMES
Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..."
IamPasswordPolicy:
Controls: [ '7545', '7546' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: iam-password-policy
InputParameters:
MaxPasswordAge: '1095'
MinimumPasswordLength: '16'
PasswordReusePrevention: '24'
RequireUppercaseCharacters: 'false'
RequireLowercaseCharacters: 'false'
RequireSymbols: 'false'
RequireNumbers: 'false'
Source:
Owner: AWS
SourceIdentifier: IAM_PASSWORD_POLICY
Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy"
RdsAutomaticMinorVersionUpgradeEnabled:
Controls: [ '3452' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-automatic-minor-version-upgrade-enabled
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED
Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
RdsClusterDeletionProtectionEnabled:
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-cluster-deletion-protection-enabled
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBCluster
Source:
Owner: AWS
SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsInstanceDeletionProtectionEnabled:
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-instance-deletion-protection-enabled
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsInstancePublicAccessCheck:
Controls: [ '3562', '3623', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-instance-public-access-check
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
RdsLoggingEnabled:
Controls: [ '2013', '4441', '4445', '7496' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-logging-enabled
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: RDS_LOGGING_ENABLED
Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..."
RdsSnapshotEncrypted:
Controls: [ '2082', '4441', '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-snapshot-encrypted
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBSnapshot
- AWS::RDS::DBClusterSnapshot
Source:
Owner: AWS
SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED
Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
RdsSnapshotsPublicProhibited:
Controls: [ '4441' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-snapshots-public-prohibited
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBSnapshot
- AWS::RDS::DBClusterSnapshot
Source:
Owner: AWS
SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED
Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files"
RdsStorageEncrypted:
Controls: [ '2082', '4441', '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-storage-encrypted
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: RDS_STORAGE_ENCRYPTED
Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
RedshiftBackupEnabled:
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: redshift-backup-enabled
Scope:
ComplianceResourceTypes:
- AWS::Redshift::Cluster
Source:
Owner: AWS
SourceIdentifier: REDSHIFT_BACKUP_ENABLED
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RedshiftClusterConfigurationCheck:
Controls: [ '4441', '4445', '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: redshift-cluster-configuration-check
InputParameters:
clusterDbEncrypted: 'true'
loggingEnabled: 'true'
Scope:
ComplianceResourceTypes:
- AWS::Redshift::Cluster
Source:
Owner: AWS
SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK
Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..."
RedshiftClusterMaintenancesettingsCheck:
Controls: [ '3449', '3453' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: redshift-cluster-maintenancesettings-check
InputParameters:
allowVersionUpgrade: 'true'
Scope:
ComplianceResourceTypes:
- AWS::Redshift::Cluster
Source:
Owner: AWS
SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK
Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
RedshiftClusterPublicAccessCheck:
Controls: [ '3562', '3623', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: redshift-cluster-public-access-check
Scope:
ComplianceResourceTypes:
- AWS::Redshift::Cluster
Source:
Owner: AWS
SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
RedshiftRequireTlsSsl:
Controls: [ '2090', '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: redshift-require-tls-ssl
Scope:
ComplianceResourceTypes:
- AWS::Redshift::Cluster
Source:
Owner: AWS
SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL
Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..."
RestrictedSsh:
Controls: [ '2726' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: restricted-ssh
Scope:
ComplianceResourceTypes:
- AWS::EC2::SecurityGroup
Source:
Owner: AWS
SourceIdentifier: INCOMING_SSH_DISABLED
Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access"
S3AccountLevelPublicAccessBlocksPeriodic:
Controls: [ '3562', '4838', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-account-level-public-access-blocks-periodic
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..."
S3BucketPublicReadProhibited:
Controls: [ '4838' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-bucket-public-read-prohibited
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED
Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
S3BucketPublicWriteProhibited:
Controls: [ '4838' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-bucket-public-write-prohibited
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED
Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
S3BucketServerSideEncryptionEnabled:
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-bucket-server-side-encryption-enabled
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
S3BucketSslRequestsOnly:
Controls: [ '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-bucket-ssl-requests-only
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY
Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
SecretsmanagerUsingCmk:
Controls: [ '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: secretsmanager-using-cmk
Scope:
ComplianceResourceTypes:
- AWS::SecretsManager::Secret
Source:
Owner: AWS
SourceIdentifier: SECRETSMANAGER_USING_CMK
Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
SecurityhubEnabled:
Controls: [ '3875' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: securityhub-enabled
Source:
Owner: AWS
SourceIdentifier: SECURITYHUB_ENABLED
Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation"
SsmDocumentNotPublic:
Controls: [ '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ssm-document-not-public
Source:
Owner: AWS
SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC
Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility"
VpcDefaultSecurityGroupClosed:
Controls: [ '3562', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: vpc-default-security-group-closed
Scope:
ComplianceResourceTypes:
- AWS::EC2::SecurityGroup
Source:
Owner: AWS
SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED
Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
VpcFlowLogsEnabled:
Controls: [ '3562', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: vpc-flow-logs-enabled
Source:
Owner: AWS
SourceIdentifier: VPC_FLOW_LOGS_ENABLED
Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
VpcSgOpenOnlyToAuthorizedPorts:
Controls: [ '3205' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: vpc-sg-open-only-to-authorized-ports
InputParameters:
authorizedTcpPorts: '443'
Scope:
ComplianceResourceTypes:
- AWS::EC2::SecurityGroup
Source:
Owner: AWS
SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS
Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access"
```