# プレイブック このソリューションには、[Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard)、[CIS AWS Foundations Benchmark v1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)、[CIS AWS Foundations Benchmark v3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard)、[AWS Foundational Security Best Practices (FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)、[Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)、および [National Institute of Standards and Technology (NIST)](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) の一部として定義されたセキュリティ標準のプレイブックの修復が含まれています。 統合されたコントロールの検出結果を有効にしている場合は、それらのコントロールはすべての規格でサポートされます。この機能が有効になっている場合は、SC プレイブックのみをデプロイする必要があります。そうでない場合、プレイブックは前述の規格でサポートされます。 **重要** サービスクォータに達しないように、有効な標準のプレイブックのみをデプロイします。 特定の修復の詳細については、アカウントにこのソリューションによってデプロイされた名前を持つ Systems Manager オートメーションドキュメントを参照してください。[AWS Systems Manager コンソール](https://console.aws.amazon.com/systems-manager/)に移動し、ナビゲーションペインで **[ドキュメント]** を選択します。 | 説明 | AWS FSBP | CIS v1.2.0 | PCI v3.2.1 | CIS v1.4.0 | NIST | CIS v3.0.0 | セキュリティコントロール ID | | --- | --- | --- | --- | --- | --- | --- | --- | | **修復の総計** | 63 | 34 | 29 | 33 | 65 | 19 | 90 | | **ASR-EnableAutoScalingGroupELBHealthCheck** ロードバランサーに関連付けられた Auto Scaling グループは、ロードバランサーのヘルスチェックを使用する必要があります。 | Autoscaling.1 | | Autoscaling.1 | | Autoscaling.1 | | Autoscaling.1 | | **ASR-ConfigureAutoScalingLaunchConfigToRequireIMDSv2** Auto Scaling グループの起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります | | | | | Autoscaling.3 | | Autoscaling.3 | | **ASR-CreateCloudTrailMultiRegionTrail** CloudTrail をアクティブにし、少なくとも 1 つのマルチリージョンの証跡で設定します。 | CloudTrail.1 | 2.1 | CloudTrail.2 | 3.1 | CloudTrail.1 | 3.1 | CloudTrail.1 | | **ASR-EnableEncryption** CloudTrail は、保管時の暗号化をアクティブにします。 | CloudTrail.2 | 2.7 | CloudTrail.1 | 37 | CloudTrail.2 | 3.5 | CloudTrail.2 | | **ASR-EnableLogFileValidation** CloudTrail ログファイルの整合性検証がアクティブになっていることを確認します。 | CloudTrail.4 | 2.2 | CloudTrail.3 | 3.2 | CloudTrail.4 | | CloudTrail.4 | | **ASR-EnableCloudTrailToCloudWatchLogging** CloudTrail の追跡が Amazon CloudWatch Logs と統合されていることを確認します。 | CloudTrail.5 | 2.4 | CloudTrail.4 | 3.4 | CloudTrail.5 | | CloudTrail.5 | | **ASR-ConfigureS3BucketLogging** S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認します | | 2.6 | | 3.6 | | 3.4 | CloudTrail.7 | | **ASR-ReplaceCodeBuildClearTextCredentials** CodeBuild プロジェクト環境変数に、クリアテキストの認証情報を含めるべきでない | CodeBuild.2 | | CodeBuild.2 | | CodeBuild.2 | | CodeBuild.2 | | **ASR-EnableAWSConfig** AWS Config が有効になっていることを確認する | Config.1 | 2.5 | Config.1 | 3.5 | Config.1 | 3.3 | Config.1 | | **ASR-MakeEBSSnapshotsPrivate** Amazon EBS のスナップショットをパブリックで復元可能にしません。 | EC2.1 | | EC2.1 | | EC2.1 | | EC2.1 | | **ASR-RemoveVPCDefaultSecurityGroupRules** VPC のデフォルトセキュリティグループでインバウンドとアウトバウンドのトラフィックを禁止します。 | EC2.2 | 4.3 | EC2.2 | 5.3 | EC2.2 | 5.4 | EC2.2 | | **ASR-EnableVPCFlowLogs** VPC フローログをすべての VPC で有効にします。 | EC2.6 | 2.9 | EC2.6 | 3.9 | EC2.6 | 37 | EC2.6 | | **ASR-EnableEbsEncryptionByDefault** EBS の暗号化をデフォルトでアクティブにします。 | EC2.7 | 2.2.1 | | | EC2.7 | 2.2.1 | EC2.7 | | **ASR-RevokeUnrotatedKeys** ユーザーのアクセスキーを 90 日以内でローテーションさせます。 | IAM.3 | 1.4 | | 1.14 | IAM.3 | 1.14 | IAM.3 | | **ASR-SetIAMPasswordPolicy** IAM のデフォルトのパスワードポリシー | IAM.7 | 1.5~1.11 | IAM.8 | 1.8 | IAM.7 | 1.8 | IAM.7 | | **ASR-RevokeUnusedIAMUserCredentials** 90 日以内に使用しない場合は、ユーザー認証情報をオフにする必要があります。 | IAM.8 | 1.3 | IAM.7 | | IAM.8 | | IAM.8 | | **ASR-RevokeUnusedIAMUserCredentials** 45 日以内に使用しない場合は、ユーザー認証情報をオフにする必要があります。 | | | | 1.12 | | 1.12 | IAM.22 | | **ASR-RemoveLambdaPublicAccess** Lambda 関数のパブリックアクセスを禁止します。 | Lambda.1 | | Lambda.1 | | Lambda.1 | | Lambda.1 | | **ASR-MakeRDSSnapshotPrivate** RDS スナップショットのパブリックアクセスを禁止します。 | RDS.1 | | RDS.1 | | RDS.1 | | RDS.1 | | **ASR-DisablePublicAccessToRDSInstance** RDS DB インスタンスでパブリックアクセスを禁止する必要があります。 | RDS.2 | | RDS.2 | | RDS.2 | 2.3.3 | RDS.2 | | **ASR-EncryptRDSSnapshot** RDS のクラスタースナップショットとデータベーススナップショットを保管時に暗号化します。 | RDS.4 | | | | RDS.4 | | RDS.4 | | **ASR-EnableMultiAZOnRDSInstance** RDS の DB インスタンスを複数のアベイラビリティーゾーンに設定します。 | RDS.5 | | | | RDS.5 | | RDS.5 | | **ASR-EnableEnhancedMonitoringOnRDSInstance** 拡張モニタリングを RDS の DB インスタンスとクラスターに設定します。 | RDS.6 | | | | RDS.6 | | RDS.6 | | **ASR-EnableRDSClusterDeletionProtection** RDS クラスターの削除保護をアクティブにします。 | RDS.7 | | | | RDS.7 | | RDS.7 | | **ASR-EnableRDSInstanceDeletionProtection** RDS の DB インスタンスの削除保護をアクティブにします。 | RDS.8 | | | | RDS.8 | | RDS.8 | | **ASR-EnableMinorVersionUpgradeOnRDSDBInstance** RDS の自動マイナーバージョンアップグレードをアクティブにします。 | RDS.13 | | | | RDS.13 | 2.3.2 | RDS.13 | | **ASR-EnableCopyTagsToSnapshotOnRDSCluster** RDS DB クラスターのタグをスナップショットにコピーするよう設定します。 | RDS.16 | | | | RDS.16 | | RDS.16 | | **ASR-DisablePublicAccessToRedshiftCluster** Amazon Redshift クラスターのパブリックアクセスを禁止します。 | Redshift.1 | | Redshift.1 | | Redshift.1 | | Redshift.1 | | **ASR-EnableAutomaticSnapshotsOnRedshiftCluster** Amazon Redshift クラスターの自動スナップショットを有効にします。 | Redshift.3 | | | | Redshift.3 | | Redshift.3 | | **ASR-EnableRedshiftClusterAuditLogging** Amazon Redshift クラスターの監査ログを有効にします。 | Redshift.4 | | | | Redshift.4 | | Redshift.4 | | **ASR-EnableAutomaticVersionUpgradeOnRedshiftCluster** Amazon Redshift のメジャーバージョンへの自動アップグレードをアクティブにします。 | Redshift.6 | | | | Redshift.6 | | Redshift.6 | | **ASR-ConfigureS3PublicAccessBlock** S3 のパブリックアクセスをブロックする設定をアクティブにします。 | S3.1 | 2.3 | S3.6 | 2.1.5.1 | S3.1 | 2.1.4 | S3.1 | | **ASR-ConfigureS3BucketPublicAccessBlock** S3 バケットのパブリックの読み取りアクセスを禁止します。 | S3.2 | | S3.2 | 2.1.5.2 | S3.2 | | S3.2 | | **ASR-ConfigureS3BucketPublicAccessBlock** S3 バケットのパブリックの書き込みアクセスを禁止します。 | | S3.3 | | | | | S3.3 | | **ASR-EnableDefaultEncryptionS3** S3 バケットのサーバーサイドの暗号化をアクティブにします。 | S3.4 | | S3.4 | 2.1.1 | S3.4 | | S3.4 | | **ASR-SetSSLBucketPolicy** S3 バケットは、リクエストに SSL を利用することをリクエストします。 | S3.5 | | S3.5 | 2.1.2 | S3.5 | 2.1.1 | S3.5 | | **ASR-S3BlockDenylist** バケットポリシーで他の AWS アカウントに付与する Amazon S3 アクセス許可を制限する必要があります。 | S3.6 | | | | S3.6 | | S3.6 | | S3 の Block Public Access 設定をバケットレベルでアクティブにします。 | S3.8 | | | | S3.8 | | S3.8 | | **ASR-ConfigureS3BucketPublicAccessBlock** CloudTrail のログ用の S3 バケットがパブリックにアクセスできないようにします。 | | 2.3 | | | | | CloudTrail.6 | | **ASR-CreateAccessLoggingBucket** CloudTrail で、S3 バケットのアクセスログがアクティブになっていることを確認します。 | | 2.6 | | | | | CloudTrail.7 | | **ASR-EnableKeyRotation** ユーザーが作成したカスタマーマネージドキーのローテーションがアクティブになっていることを確認します。 | | 2.8 | KMS.1 | 3.8 | KMS.4 | 3.6 | KMS.4 | | **ASR-CreateLogMetricFilterAndAlarm** 不正な API コールに関するログメトリクスのフィルタとアラームが存在することを確認します。 | | 3.1 | | 4.1 | | | Cloudwatch.1 | | **ASR-CreateLogMetricFilterAndAlarm** MFA を使用しない AWS マネジメントコンソールへのサインインに対するログメトリクスフィルターとアラームが存在することを確認します。 | | 3.2 | | 4.2 | | | Cloudwatch.2 | | **ASR-CreateLogMetricFilterAndAlarm** ルートユーザーの使用に関するログメトリクスのフィルタとアラームが存在することを確認します。 | | 3.3 | CW.1 | 4.3 | | | Cloudwatch.3 | | **ASR-CreateLogMetricFilterAndAlarm** IAM ポリシーの変更に関するログメトリクスのフィルタとアラームが存在することを確認します。 | | 3.4 | | 4.4 | | | Cloudwatch.4 | | **ASR-CreateLogMetricFilterAndAlarm** CloudTrail の設定変更に関するログメトリクスのフィルタとアラームが存在することを確認します。 | | 3.5 | | 4.5 | | | Cloudwatch.5 | | **ASR-CreateLogMetricFilterAndAlarm** AWS マネジメントコンソールでの認証の失敗に対するログメトリクスフィルターとアラームが存在することを確認します。 | | 3.6 | | 4.6 | | | Cloudwatch.6 | | **ASR-CreateLogMetricFilterAndAlarm** カスタマー作成の CMK の無効化またはスケジュールされた削除に対してログメトリクスフィルターとアラームが存在することを確認します | | 37 | | 4.7 | | | Cloudwatch.7 | | **ASR-CreateLogMetricFilterAndAlarm** S3 バケットのポリシー変更に関するログメトリクスのフィルタとアラームが存在することを確認します。 | | 3.8 | | 4.8 | | | Cloudwatch.8 | | **ASR-CreateLogMetricFilterAndAlarm** AWS Config の変更に対してログメトリクスフィルターとアラームが存在することを確認します | | 3.9 | | 4.9 | | | Cloudwatch.9 | | **ASR-CreateLogMetricFilterAndAlarm** セキュリティグループの変更に関するログメトリクスのフィルタとアラームが存在することを確認します。 | | 3.10 | | 4.10 | | | Cloudwatch.10 | | **ASR-CreateLogMetricFilterAndAlarm** ネットワークアクセスコントロールリスト (NACL) の変更に関するログメトリクスのフィルタとアラームが存在することを確認します。 | | 3.11 | | 4.11 | | | Cloudwatch.11 | | **ASR-CreateLogMetricFilterAndAlarm** ネットワークゲートウェイに対する変更に関するログメトリクスのフィルタとアラームが存在することを確認します。 | | 3.12 | | 4.12 | | | Cloudwatch.12 | | **ASR-CreateLogMetricFilterAndAlarm** ルートテーブルの変更に関するログメトリクスのフィルタとアラームが存在することを確認します。 | | 3.13 | | 4.13 | | | Cloudwatch.13 | | **ASR-CreateLogMetricFilterAndAlarm** VPC の変更に関するログメトリクスのフィルタとアラームが存在することを確認します。 | | 3.14 | | 4.14 | | | Cloudwatch.14 | | **AWS-DisablePublicAccessForSecurityGroup** セキュリティグループが、0.0.0.0/0 からポート 22 へのインバウンドアクセスを許可しないことを確認します。 | | 4.1 | EC2.5 | | EC2.13 | | EC2.13 | | **AWS-DisablePublicAccessForSecurityGroup** セキュリティグループが、0.0.0.0/0 からポート 3389 へのインバウンドアクセスを許可しないことを確認します。 | | 4.2 | | | EC2.14 | | EC2.14 | | **ASR-ConfigureSNSTopicForStack** | CloudFormation.1 | | | | CloudFormation.1 | | CloudFormation.1 | | **ASR-CreateIAMSupportRole** | | 1.20 | | 1.17 | | 1.17 | IAM.18 | | **ASR-DisablePublicIPAutoAssign** Amazon EC2 サブネットはパブリック IP アドレスを自動的に割り当てるべきではありません。 | EC2.15 | | | | EC2.15 | | EC2.15 | | **ASR-EnableCloudTrailLogFileValidation** | CloudTrail.4 | 2.2 | CloudTrail.3 | 3.2 | | | CloudTrail.4 | | **ASR-EnableEncryptionForSNSTopic** | SNS.1 | | | | SNS.1 | | SNS.1 | | **ASR-EnableDeliveryStatusLoggingForSNSTopic** トピックに送信される通知メッセージでは、配信ステータスのロギングを有効にする必要があります。 | SNS.2 | | | | SNS.2 | | SNS.2 | | **ASR-EnableEncryptionForSQSQueue** | SQS.1 | | | | SQS.1 | | SQS.1 | | **ASR-MakeRDSSnapshotPrivate** RDS スナップショットはプライベートである必要があります。 | RDS.1 | | RDS.1 | | | | RDS.1 | | **ASR-BlockSSMDocumentPublicAccess** SSM ドキュメントはパブリックにしないようにします。 | SSM.4 | | | | SSM.4 | | SSM.4 | | **ASR-EnableCloudFrontDefaultRootObject** CloudFront ディストリビューションには、デフォルトのルートオブジェクトが設定されている必要があります。 | CloudFront.1 | | | | CloudFront.1 | | CloudFront.1 | | **ASR-SetCloudFrontOriginDomain** CloudFront ディストリビューションが存在しない S3 オリジンを指定しないようにします。 | CloudFront.12 | | | | CloudFront.12 | | CloudFront.12 | | **ASR-RemoveCodeBuildPrivilegedMode** CodeBuild プロジェクト環境にはログ記録の AWS 設定が必要です。 | CodeBuild.5 | | | | CodeBuild.5 | | CodeBuild.5 | | **ASR-TerminateEC2Instance** 停止した EC2 インスタンスは、一定期間後に削除する必要があります。 | EC2.4 | | | | EC2.4 | | EC2.4 | | **ASR-EnableIMDSV2OnInstance** EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります | EC2.8 | | | | EC2.8 | 5.6 | EC2.8 | | **ASR-RevokeUnauthorizedInboudRules** セキュリティグループは、許可されたポートへの無制限の着信トラフィックのみを許可する必要があります。 | EC2.18 | | | | EC2.18 | | EC2.18 | | ここにタイトルを挿入する セキュリティグループは、リスクの高いポートへの無制限のアクセスを許可しません。 | EC2.19 | | | | EC2.19 | | EC2.19 | | **ASR-DisableTGWAutoAcceptSharedAttachments** Amazon EC2 Transit Gateways が VPC アタッチメントリクエストを自動的に受け付けないようにします。 | EC2.23 | | | | EC2.23 | | EC2.23 | | **ASR-EnablePrivateRepositoryScanning** ECR プライベートリポジトリにはイメージスキャンが設定されている必要があります。 | ECR.1 | | | | ECR.1 | | ECR.1 | | **ASR-EnableGuardDuty** GuardDuty を有効にする必要があります。 | GuardDuty.1 | | GuardDuty.1 | | GuardDuty.1 | | GuardDuty.1 | | **ASR-ConfigureS3BucketLogging** S3 バケットサーバーアクセスロギングを有効にする必要があります。 | S3.9 | | | | S3.9 | | S3.9 | | **ASR-EnableBucketEventNotifications** S3 バケットではイベント通知が有効になっている必要があります。 | S3.11 | | | | S3.11 | | S3.11 | | **ASR-SetS3LifecyclePolicy** S3 バケットにはライフサイクルポリシーを設定する必要があります。 | S3.13 | | | | S3.13 | | S3.13 | | **ASR-EnableAutoSecretRotation** Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります。 | SecretsManager.1 | | | | SecretsManager.1 | | SecretsManager.1 | | **ASR-RemoveUnusedSecret** 未使用の Secrets Manager のシークレットを削除します。 | SecretsManager.3 | | | | SecretsManager.3 | | SecretsManager.3 | | **ASR-UpdateSecretRotationPeriod** Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります。 | SecretsManager.4 | | | | SecretsManager.4 | | SecretsManager.4 | | **ASR-EnableAPIGatewayCacheDataEncryption** API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります | | | | | APIGateway.5 | | APIGateway.5 | | **ASR-SetLogGroupRetentionDays** CloudWatch ロググループは指定された期間保持する必要があります | | | | | CloudWatch.16 | | CloudWatch.16 | | **ASR-AttachServiceVPCEndpoint** Amazon EC2 サービス用に作成された VPC エンドポイントを使用するように Amazon EC2 を設定する必要があります | EC2.10 | | | | EC2.10 | | EC2.10 | | **ASR-TagGuardDutyResource** GuardDuty フィルターにはタグを付ける必要があります | | | | | | | GuardDuty.2 | | **ASR-TagGuardDutyResource** GuardDuty ディテクターにはタグを付ける必要があります | | | | | | | GuardDuty.4 | | **ASR-AttachSSMPermissionsToEC2** Amazon EC2 インスタンスは Systems Manager によって管理される必要があります。 | SSM.1 | | SSM.3 | | | | SSM.1 | | **ASR-ConfigureLaunchConfigNoPublicIPDocument** Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません。 | | | | | Autoscaling.5 | | Autoscaling.5 | | **ASR-EnableAPIGatewayExecutionLogs** | APIGateway.1 | | | | | | APIGateway.1 | | **ASR-EnableMacie** Amazon Macie を有効にする必要があります | Macie.1 | | | | Macie.1 | | Macie.1 | | **ASR-EnableAthenaWorkGroupLogging** Athena ワークグループではログ記録が有効になっている必要があります | Athena.4 | | | | | | Athena.4 | | **ASR-EnforceHTTPSForALB** Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります | ELB.1 | | ELB.1 | | ELB.1 | | ELB.1 | | **ASR-LimitECSRootFilesystemAccess** ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。 | ECS.5 | | | | ECS.5 | | ECS.5 | | **ASR-EnableElastiCacheBackups** ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります | ElastiCache.1 | | | | ElastiCache.1 | | ElastiCache.1 | | **ASR-EnableElastiCacheVersionUpgrades** ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。 | ElastiCache.2 | | | | ElastiCache.2 | | ElastiCache.2 | | **ASR-EnableElastiCacheReplicationGroupFailover** ElastiCache レプリケーショングループでは自動フェイルオーバーを有効にする必要があります | ElastiCache.3 | | | | ElastiCache.3 | | ElastiCache.3 | | **ASR-ConfigureDynamoDBAutoScaling** DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります | DynamoDB.1 | | | | DynamoDB.1 | | DynamoDB.1 | | **ASR-TagDynamoDBTableResource** DynamoDB テーブルにはタグを付ける必要があります | | | | | | | DynamoDB.5 | | **ASR-EnableDynamoDBDeletionProtection** DynamoDB テーブルで、削除保護が有効になっている必要があります | | | | | DynamoDB.6 | | DynamoDB.6 |