ComplianceCheckForISO-27001 は、ISO/IEC 27001:2013 の付録 A に記載されているセキュリティ管理基準を参照し、クラウド リソースのリスク検出とガバナンスに関して具体的な推奨コンプライアンス テストを提供することで、組織が情報セキュリティ管理を実装、維持、継続的に改善できるように支援します。このトピックでは、ComplianceCheckForISO-27001 コンプライアンス パッケージで提供されるデフォルト ルールについて説明します。
ルール名 | ルールの説明 | 要件番号 | 要件の説明 |
RAM ユーザーごとに、コンソール アクセスと API アクセスのいずれかの機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.6.1.2 | 職務の分離 | |
各 RAM ユーザーにポリシーがアタッチされているかどうかを確認します。アタッチされている場合、評価結果は「準拠」です。RAM ユーザーは RAM ユーザー グループまたはロールから権限を継承することをお勧めします。 | A.6.1.2 | 職務の分離 | |
各 RAM ユーザー グループに少なくとも 1 人の RAM ユーザーが含まれており、少なくとも 1 つのポリシーが RAM ユーザー グループにアタッチされているかどうかを確認します。そうである場合、評価結果は「準拠」です。 |
|
| |
各 RAM ユーザー グループに少なくとも 1 人の RAM ユーザーが含まれているかどうかを確認します。含まれている場合、評価結果は「準拠」です。 |
|
| |
各 RAM ユーザー、RAM ユーザー グループ、および RAM ロールの Action パラメーターが * に設定されていないことを確認します。設定されていない場合、評価結果は「準拠」です。アスタリスク (*) はスーパー管理者権限を示します。 |
|
| |
各ポリシーが少なくとも 1 つの RAM ユーザー グループ、RAM ロール、または RAM ユーザーにアタッチされているかどうかを確認します。アタッチされている場合、評価結果は「準拠」です。 |
|
| |
インスタンスに CloudMonitor エージェントをインストールして、セキュリティ保護サービスを提供できます。インスタンスに CloudMonitor エージェントがインストールされている場合、評価結果は「準拠」です。このルールは、実行されていない ECS インスタンスには適用されません。 |
|
| |
すべてのリソースに指定されたタグが付いているかどうかを確認します。付いている場合、評価結果は「準拠」です。最大 10 個のタグを指定できます。タグキーとタグ値は大文字と小文字が区別されます。1 つのタグキーに対して指定できるタグ値は 1 つだけです。 |
|
| |
関連リソースが Elastic Compute Service (ECS) インスタンスに関連付けられているかどうか、および関連リソースが ECS インスタンスが属するリソース グループを継承する場合、リソース情報がリソース グループ情報と一致するかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、ECS インスタンスに関連付けられていない関連リソースには適用されません。 |
|
| |
各リソースのリソース グループがデフォルトのリソース グループではないことを確認します。そうである場合、評価結果は「準拠」です。リソースにリソース グループがない場合、評価結果は「該当なし」です。 |
|
| |
Alibaba Cloud アカウントごとに AccessKey ペアが作成されているかどうかを確認します。作成されていない場合、評価結果は「準拠」です。 |
|
| |
各 RAM ユーザーにポリシーがアタッチされているかどうかを確認します。アタッチされている場合、評価結果は「準拠」です。RAM ユーザーは RAM ユーザー グループまたはロールから権限を継承することをお勧めします。 |
|
| |
各 Elasticsearch クラスタでインターネット アクセスが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
各 OSS バケットのバケット ポリシーが、インターネットからの読み取りおよび書き込みアクセスを拒否しているかどうかを確認します。拒否している場合、評価結果は「準拠」です。 |
|
| |
Function Compute のインターネット アクセスが無効になっているかどうかを確認します。無効になっている場合、評価結果は「準拠」です。 |
|
| |
推奨される ECS インスタンスが VPC 内にあるかどうかを確認します。ECS インスタンスが VPC 内にある場合、評価結果は「準拠」です。必須パラメーターを設定し、ECS インスタンスの VPC 設定が指定された値と一致する場合、評価結果は「準拠」です。このルールは、実行状態ではない ECS インスタンスには適用されません。 |
|
| |
各 AnalyticDB インスタンスでインターネット アクセスが無効になっているかどうかを確認します。無効になっている場合、評価結果は「準拠」です。 |
|
| |
各 RDS インスタンスにパブリック エンドポイントが構成されていないことを確認します。構成されていない場合、評価結果は「準拠」です。サイバー攻撃を防ぐため、本番環境ではインターネット経由で RDS インスタンスに直接アクセスできるように構成しないことをお勧めします。 |
|
| |
各 Container Service for Kubernetes (ACK) クラスタの API サーバーにパブリック エンドポイントが構成されているかどうかを確認します。構成されていない場合、評価結果は「準拠」です。 |
|
| |
各 ECS インスタンスのメタデータにアクセスするときに、セキュリティ強化モードが強制的に使用されるかどうかを確認します。使用される場合、評価結果は「準拠」です。 |
|
| |
サービスの関数を特定の VPC 内でのみ呼び出すことができるかどうかを確認します。できる場合、評価結果は「準拠」です。 |
|
| |
各 OSS バケットの ACL ポリシーが、インターネットからの読み取りアクセスを拒否しているかどうかを確認します。拒否している場合、評価結果は「準拠」です。 |
|
| |
実行中の ECS インスタンスにパブリック IPv4 アドレスまたは Elastic IP アドレスが割り当てられていないことを確認します。割り当てられていない場合、評価結果は「準拠」です。 |
|
| |
各 PolarDB クラスタのエンドポイントでインターネット アクセスが有効になっているかどうかを確認します。有効になっていない場合、評価結果は「準拠」です。 |
|
| |
各 Alibaba Cloud アカウントで多要素認証 (MFA) が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
コンソール アクセス機能が有効になっている各 RAM ユーザーのログイン設定で MFA が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
[セキュリティセンター] Enterprise Edition 以後のエディションが使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。 |
|
| |
Key Management Service (KMS) シークレットで自動回転機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは共通キーには適用されません。 |
|
| |
KMS シークレットで自動回転機能が有効になっており、指定された回転期間に基づいて自動回転が実行されるかどうかを確認します。そうである場合、評価結果は「準拠」です。KMS では汎用シークレットに対して定期的なキーの回転を有効にできないため、このルールは汎用シークレットには適用されません。 |
|
| |
各 RAM ユーザーに構成されているパスワード ポリシーの設定が指定された値を満たしているかどうかを確認します。満たしている場合、評価結果は「準拠」です。 |
|
| |
RAM ユーザーの AccessKey ペアが作成された時刻とコンプライアンス チェックが開始された時刻の間隔が、指定された日数以下であるかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値: 90。単位: 日。 |
|
| |
ActionTrail にアクティブな証跡が存在し、すべてのリージョンで生成されるすべてのタイプのイベントが追跡されているかどうかを確認します。そうである場合、評価結果は「準拠」です。リソース ディレクトリの管理者がすべてのメンバーに適用される証跡を作成した場合、評価結果は「準拠」です。 |
|
| |
各 ApsaraDB RDS インスタンスのデータ セキュリティ設定で透過データ暗号化 (TDE) 機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、TDE 機能をサポートしていないインスタンス タイプまたはエディションには適用されません。 | A.10.1.1 | 暗号制御の使用に関するポリシー | |
各 OSS バケットのバケット ポリシーで、HTTPS 経由の読み取りおよび書き込みアクセスが許可され、HTTP 経由のアクセスが拒否されているかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、バケット ポリシーがない OSS バケットには適用されません。 |
|
| |
各 OSS バケットでサーバー側暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
各 Server Load Balancer (SLB) インスタンスで、Alibaba Cloud によって発行された証明書が使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。 |
|
| |
作成した NAS ファイルシステム (NAS) でサーバー側暗号化機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.10.1.1 | 暗号制御の使用に関するポリシー | |
各 ECS インスタンスでディスク暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.10.1.1 | 暗号制御の使用に関するポリシー | |
各 Elasticsearch インスタンスのデータ ノードでディスク暗号化機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.10.1.1 | 暗号制御の使用に関するポリシー | |
各 PolarDB クラスタのデータ セキュリティ設定で TDE 機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.10.1.1 | 暗号制御の使用に関するポリシー | |
Tablestore インスタンスのすべてのテーブルで暗号化機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.10.1.1 | 暗号制御の使用に関するポリシー | |
各 MaxCompute プロジェクトで暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、凍結されているプロジェクトには適用されません。 | A.10.1.1 | 暗号制御の使用に関するポリシー | |
KMS のカスタマーマスターキー (CMK) で自動回転機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、サービス キーには適用されません。このルールは、Bring Your Own Key (BYOK) には適用されません。 |
|
| |
KMS CMK のステータスが削除保留に設定されているかどうかを確認します。設定されている場合、評価結果は「準拠」です。 |
|
| |
すべての SSL 証明書の残りの有効期間が指定された値よりも大きいかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値: 30。単位: 日。 |
|
| |
各 PolarDB クラスタのメンテナンス期間が、指定された時間のいずれかの範囲と一致するかどうかを確認します。一致する場合、評価結果は「準拠」です。ビジネスのピーク時間とメンテナンス期間が重複する場合、ビジネスに影響が出る可能性があります。 | A.12.1.2 | 変更管理 | |
各 RDS インスタンスのメンテナンス期間が、指定された時間のいずれかの範囲と一致するかどうかを確認します。一致する場合、評価結果は「準拠」です。ビジネスのピーク時間とメンテナンス期間が重複する場合、ビジネスに影響が出る可能性があります。 | A.12.1.2 | 変更管理 | |
各自動スナップショット ポリシーに指定したスナップショット作成時刻が、指定された時間範囲内にあるかどうかを確認します。そうである場合、評価結果は「準拠」です。Elastic Block Storage (EBS) デバイスのスナップショットを作成している間、デバイスの I/O パフォーマンスは最大 10% 低下します。これは、一時的な I/O 速度の低下につながる可能性があります。オフピーク時に自動スナップショットを作成することをお勧めします。 | A.12.1.2 | 変更管理 | |
Function Compute 2.0 の関数が指定された要件を満たしているかどうかを確認します。満たしている場合、評価結果は「準拠」です。 | A.12.1.3 | 容量管理 | |
各 vSwitch の使用可能な IP アドレスの数が指定された値よりも大きいかどうかを確認します。そうである場合、評価結果は「準拠」です。 | A.12.1.3 | 容量管理 | |
各 ECS ディスクに自動スナップショット ポリシーが指定されているかどうかを確認します。指定されている場合、評価結果は「準拠」です。 | A.12.3.1 | 情報バックアップ | |
各 NAS ファイルシステムにバックアップ プランが作成されているかどうかを確認します。作成されている場合、評価結果は「準拠」です。 | A.12.3.1 | 情報バックアップ | |
各 AnalyticDB クラスタでログ バックアップ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.12.3.1 | 情報バックアップ | |
ApsaraDB RDS インスタンスでログ バックアップが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.12.3.1 | 情報バックアップ | |
各 ApsaraDB for Redis インスタンスで増分バックアップが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、Tair インスタンスまたは ApsaraDB for Redis Enhanced Edition (Tair) のインスタンスにのみ適用されます。 | A.12.3.1 | 情報バックアップ | |
各 OSS バケットで ZRS 機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。ゾーン冗長ストレージ (ZRS) 機能が無効になっている場合、Object Storage Service (OSS) は、データセンターが使用できなくなったときに一貫したサービスを提供し、データのリカバリを保証することができません。 |
|
| |
各 PolarDB クラスタのレベル 1 バックアップの保持期間が、指定された日数以上であるかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値: 7。 | A.12.3.1 | 情報バックアップ | |
OSS バケットでバージョン管理機能が有効になっているかどうかを確認します。バージョン管理機能が無効になっていると、データが上書きまたは削除されたときにデータが復元されない可能性があります。バージョン管理機能が有効になっている場合、評価結果は「準拠」です。 |
|
| |
各 SLB インスタンスでアクセス ログ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、レイヤー 7 監視が無効になっている SLB インスタンスには適用されません。 |
|
| |
各 VPC でフロー ログ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
API Gateway の API グループでログ ストレージが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.12.4.1 | イベント ロギング | |
ログ ページで各 OSS バケットのロギング機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.12.4.1 | イベント ロギング | |
各 PolarDB クラスタで SQL 監査機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
各 PolarDB クラスタのレベル 1 バックアップの保持期間が、指定された日数以上であるかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値: 30。単位: 日。ログ バックアップが有効になっていないか、バックアップの保持期間が指定された日数よりも短い場合、評価結果は「非準拠」です。 | A.12.4.2 | ログ情報の保護 | |
[セキュリティセンター] によって、ECS インスタンスで指定されたタイプまたは指定されたレベルの未修正の脆弱性が検出されたかどうかを確認します。このルールは、実行されていない ECS インスタンスには適用されません。 | A.12.6.1 | 技術的脆弱性の管理 | |
各セキュリティ グループの IP アドレス ホワイトリストに 0.0.0.0/0 が追加され、危険なポートが無効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。各セキュリティ グループの IP アドレス ホワイトリストに 0.0.0.0/0 が追加されていないかどうかを確認します。そうである場合、危険なポートが無効になっているかどうかに関係なく、評価結果は「準拠」です。危険なポートが優先度の高い権限付与ポリシーによって拒否されているかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、ECS 以外の Alibaba Cloud サービス、または仮想ネットワーク事業者 (VNO) が使用するセキュリティ グループには適用されません。 |
|
| |
各 PolarDB インスタンスの IP ホワイトリストに 0.0.0.0/0 が追加されているかどうかを確認します。追加されていない場合、評価結果は「準拠」です。 |
|
| |
各 PolarDB クラスタで SSL 暗号化機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
Alibaba Cloud CDN によって高速化された各ドメイン名で、Transport Layer Security (TLS) 1.3 プロトコルが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
DTS インスタンスの各同期タスクのソース データベースとターゲット データベースで SSL セキュア接続が使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。このルールは同期タスクにのみ適用されます。 | A.13.2.1 | 情報転送ポリシーと手順 | |
各 Function Compute 関数がカスタム ドメイン名にバインドされており、関数に対して指定されたバージョンの TLS が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 |
|
| |
各 SLB インスタンスの指定されたポートで HTTPS リスナーが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、TCP または UDP リスナーのみが有効になっている SLB インスタンスには適用されません。 |
|
| |
各 ACK クラスタのすべてのノードに CloudMonitor エージェントがインストールされ、想定どおりに実行されているかどうかを確認します。そうである場合、評価結果は「準拠」です。 |
|
| |
各実行中の ECS インスタンスに CloudMonitor エージェントがインストールされ、エージェントが想定どおりに実行されているかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、実行されていない ECS インスタンスには適用されません。 |
|
| |
[セキュリティセンター] の各通知項目に通知方法が指定されているかどうかを確認します。指定されている場合、評価結果は「準拠」です。 | A.16.1.2 | 情報セキュリティ イベントの報告 | |
IPsec 接続が確立されているかどうかを確認します。確立されている場合、評価結果は「準拠」です。 | A.17.1.2 | 情報セキュリティの継続性の実装 | |
各 SLB インスタンスでリリース保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.17.1.2 | 情報セキュリティの継続性の実装 | |
各スケーリング グループの ECS インスタンスでヘルスチェック機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
各 ApsaraDB RDS インスタンスでマルチゾーン アーキテクチャが使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。 |
|
| |
各 PolarDB クラスタで削除保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、サブスクリプション課金方法を使用するクラスタには適用されません。 | A.17.1.2 | 情報セキュリティの継続性の実装 | |
各 ACK クラスタでリリース保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.17.1.2 | 情報セキュリティの継続性の実装 | |
各 PolarDB クラスタでホット スタンバイ クラスタ機能が有効になっており、クラスタのデータが複数のゾーンに分散されているかどうかを確認します。そうである場合、評価結果は「準拠」です。 |
|
| |
各スケーリング グループに少なくとも 2 つの vSwitch が関連付けられているかどうかを確認します。関連付けられている場合、評価結果は「準拠」です。 | A.17.2.1 | 情報処理施設の可用性 | |
各 ALB インスタンスでマルチゾーン アーキテクチャが使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。1 つのゾーンにのみインスタンスをデプロイしたときに ALB インスタンスで障害が発生すると、ビジネスが中断される可能性があります。 | A.17.2.1 | 情報処理施設の可用性 | |
ノードが 3 つ以上のゾーンに分散されているリージョン レベルの ACK クラスタが使用されているかどうかを確認します。 | A.17.2.1 | 情報処理施設の可用性 | |
各 ALB インスタンスのすべてのリスナーと転送ルールでヘルスチェック機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | A.17.2.1 | 情報処理施設の可用性 |