翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # アプリケーションチームの例: AWS Config ルールの作成 アプリケーションチームの例 以下は、アプリケーションまたは開発チームが担当する Security Hub CSPM [Foundational Security Best Practices (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) セキュリティ標準のコントロールです。 + [[CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-1) + [[EC2.19] セキュリティグループは、高リスクのポートへの無制限アクセスを許可しないでください](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-19) + [[CodeBuild.1] CodeBuild GitHub または Bitbucket ソースリポジトリ URLsは OAuth を使用する必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-1) + [[ECS.4] ECS コンテナは非特権として実行する必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/ecs-controls.html#ecs-4) + [[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-1) この例では、アプリケーションチームが FSBP コントロール EC2.19 の検出結果に対処しています。このコントロールは、指定した高リスクのポートにセキュリティグループの受信 SSH トラフィックがアクセス可能かどうかをチェックします。セキュリティグループ内のルールがこれらのポートについて、`0.0.0.0/0` または `::/0` からの着信トラフィックを許可している場合、このコントロールは失敗します。このコントロールの[ドキュメント](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-19)では、このトラフィックを許可するルールを削除することを推奨しています。 個々のセキュリティグループルールに対処することに加えて、これは新しい AWS Config [ルール](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)になる結果の優れた例です。[プロアクティブ評価モード](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-evaluation-modes)を使用すると、将来的にリスクの高いセキュリティグループルールのデプロイを防ぐことができます。プロアクティブモードでは、リソースがデプロイされる前に評価されるため、リソースの設定ミスや関連するセキュリティ検出結果を防ぐことができます。新しいサービスまたは新機能を実装する場合、アプリケーションチームは継続的インテグレーションおよび継続的デリバリー (CI/CD) パイプラインの一部としてプロアクティブモードでルールを実行して、非準拠リソースを特定できます。次の図は、プロアクティブ AWS Config ルールを使用して、 AWS CloudFormation テンプレートで定義されたインフラストラクチャが準拠していることを確認する方法を示しています。 ![\[AWS CloudFormation テンプレートのコンプライアンスをチェックするプロアクティブ AWS Config ルール\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/vulnerability-management/images/cloudformation-config-proactive-workflow.png) この例では、もう 1 つの重要な効率向上が得られます。アプリケーションチームがプロアクティブ AWS Config ルールを作成すると、他のアプリケーションチームがそれを使用できるように、共通のコードリポジトリで共有できます。 Security Hub CSPM コントロールに関連付けられた各検出結果には、検出結果の詳細と、問題を修正する手順へのリンクが含まれています。クラウドチームは、1 回限りの手動修復を必要とする検出結果に遭遇する可能性がありますが、必要に応じて、開発プロセスのできるだけ早い段階で問題を特定するプロアクティブチェックを構築することをお勧めします。