NIST 800-53 Rev5 の特定の要件に基づいて、Alibaba Cloud リソースのコンプライアンスをチェックします。
ルール名 | コード | コードの説明 | ルールの説明 |
指定されたすべてのタグに一致 | PT-2 | PT-2 個人識別情報 (PII) を処理する権限 SC-16 セキュリティおよびプライバシー属性の送信 | すべてのリソースに指定されたタグが付いているかどうかを確認します。指定されている場合、評価結果は「準拠」です。最大 10 個のタグを指定できます。タグキーと値は大文字と小文字が区別されます。タグキーには 1 つのタグ値のみを指定できます。 |
ACK クラスターコントロールプレーンコンポーネントのログステータスのチェック | CM-5 | CM-5 アクセス制限の変更 SI-4 システム監視 AU-14 セッション監査 AC-9 以前のログオン通知 SI-7 ソフトウェア、ファームウェア、および情報の整合性 AU-10 否認防止 AU-2 イベントロギング AU-8 タイムスタンプ AU-3 監査レコードの内容 AC-6 最小権限 AU-12 監査レコードの生成 AC-4 情報フローの強制 | Container Service for Kubernetes (ACK) マネージドクラスターごとに、コントロールプレーンコンポーネントのログが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、非マネージド Kubernetes クラスターには適用されません。 |
ACK クラスター内のシークレットの保存時暗号化の設定 | SC-34 | SC-34 変更不可の実行可能プログラム CP-9 システムバックアップ SC-28 保存データの保護 AU-9 監査情報の保護 IA-5 認証システムの管理 | ACK Pro マネージドクラスターごとに、Secret の暗号化が構成されているかどうかを確認します。構成されている場合、評価結果は「準拠」です。このルールは、プロフェッショナル以外のマネージドクラスターには適用されません。 |
ACK クラスターにパブリックネットワークエンドポイントがない | AC-20 | AC-20 外部システムの使用 SC-10 ネットワーク切断 SC-11 信頼できるパス SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) IA-9 サービスの識別と認証 AC-17 リモートアクセス CA-9 内部システム接続 SC-7 境界保護 IA-5 認証システムの管理 AC-4 情報フローの強制 IA-3 デバイスの識別と認証 | パブリックネットワーク接続エンドポイントが設定されていない場合、ACK クラスターは準拠していると見なされます。 |
メンテナンス中の ACK バージョン | SA-22 | SA-22 SI-2 欠陥の修正 | ACK クラスターのバージョンがまだメンテナンス中である場合、「準拠」と見なされます。 |
ACK クラスターが最新バージョンを実行している | SA-22 | SA-22 SI-2 欠陥の修正 | 各 ACK クラスターが最新バージョンにアップグレードされているかどうかを確認します。アップグレードされている場合、評価結果は「準拠」です。 |
ADB クラスターで SQL 監査ログを有効にする | CM-5 | CM-5 変更に対するアクセス制限 SI-4 システム監視 AU-14 セッション監査 AC-9 以前のログオン通知 SI-7 ソフトウェア、ファームウェア、および情報の整合性 AU-10 否認防止 AU-2 イベントロギング AU-8 タイムスタンプ AU-3 監査レコードの内容 AC-6 最小権限 AU-12 監査レコードの生成 AC-4 情報フローの強制 | AnalyticDB for MySQL クラスターごとに、SQL エクスプローラーと監査機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
ADB クラスターのログバックアップを有効にする | CP-9 | CP-9 システムバックアップ SC-36 分散処理とストレージ SC-28 保存データの保護 CP-10 SC-24 既知の状態での障害 | 各 AnalyticDB クラスターでログバックアップ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
ADB クラスターに適切なメンテナンスウィンドウを設定できます。 | SA-22 | SA-22 SI-2 欠陥の修正 | 各 AnalyticDB クラスターのメンテナンス期間が指定された時間範囲内にあるかどうかを確認します。指定された時間範囲内にある場合、評価結果は「準拠」です。 |
ADB クラスターはインターネットからアクセスできません。 | AC-20 | AC-20 外部システムの使用 AC-16 セキュリティおよびプライバシー属性 AU-9 監査情報の保護 SC-7 境界保護 CA-3 情報交換 AC-17 リモートアクセス IA-9 サービスの識別と認証 CA-9 内部システム接続 SC-38 運用セキュリティ CM-12 情報ロケーション SC-10 ネットワーク切断 AC-3 アクセス制御の適用 CP-9 システムバックアップ AC-4 情報フローの強制 AU-6 監査レコードのレビュー、分析、およびレポート SC-2 システムとユーザー機能の分離 IA-5 認証システムの管理 SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) SC-11 信頼できるパス SC-20 セキュアな名前/アドレス解決サービス (権限のあるソース) IA-3 デバイスの識別と認証 | 各 AnalyticDB インスタンスでインターネットアクセスが無効になっているかどうかを確認します。無効になっている場合、評価結果は「準拠」です。 |
マルチゾーン Application Load Balancer (ALB) インスタンスの使用 | CP-7 | CP-7 代替処理サイト CP-9 システムバックアップ AC-4 情報フローの強制 SC-36 分散処理とストレージ CP-6 代替ストレージサイト SC-6 リソースの可用性 SI-13 予測可能な障害の防止 SC-22 名前/アドレス解決サービスのアーキテクチャとプロビジョニング AU-5 監査ログプロセス障害への対応 SI-22 情報多様性 CP-2 緊急時対応計画 | 各 Application Load Balancer (ALB) インスタンスがマルチゾーンアーキテクチャを使用しているかどうかを確認します。使用している場合、評価結果は「準拠」です。1 つのゾーンにのみインスタンスをデプロイすると、ALB インスタンスで障害が発生した場合にビジネスが中断される可能性があります。 |
API Gateway の API グループにアタッチされたドメイン名を WAF または WAF 3.0 に追加する | PL-8 | PL-8 SC-3 セキュリティ機能の分離 SC-7 境界保護 AC-4 情報フローの強制 | API Gateway の各 API グループにバインドされているドメイン名が WAF または WAF 3.0 に追加されているかどうかを確認します。追加されている場合、評価結果は「準拠」です。 |
API Gateway の API グループのカスタムドメイン名に SSL 証明書がバインドされている | SC-12 | SC-12 暗号鍵の確立と管理 AC-20 外部システムの使用 IA-7 暗号モジュールの認証 SC-10 ネットワーク切断 SC-11 信頼できるパス SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) SC-28 保存データの保護 IA-9 サービスの識別と認証 AC-17 リモートアクセス SC-17 公開鍵基盤証明書 CA-9 内部システム接続 SC-13 暗号化保護 SC-23 セッションの信頼性 SC-7 境界保護 CM-3 構成変更管理 IA-5 認証システムの管理 AC-4 情報フローの強制 IA-3 デバイスの識別と認証 | API Gateway の API グループのカスタムドメインに SSL 証明書が指定されているかどうかを確認します。指定されている場合、評価結果は「準拠」です。 |
API グループの呼び出しログストレージの設定 | CM-5 | CM-5 変更に対するアクセス制限 SI-4 システム監視 AU-14 セッション監査 AC-9 以前のログオン通知 SI-7 ソフトウェア、ファームウェア、および情報の整合性 AU-10 否認防止 AU-2 イベントロギング AU-8 タイムスタンプ AU-3 監査レコードの内容 AC-6 最小権限 AU-12 監査レコードの生成 AC-4 情報フローの強制 | API Gateway の API グループでログストレージが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
API グループのトレース分析を設定する | CM-5 | CM-5 変更に対するアクセス制限 SI-4 システム監視 AU-14 セッション監査 AC-9 以前のログオン通知 AU-7 監査レコードの削減とレポート生成 SI-7 ソフトウェア、ファームウェア、および情報の整合性 AU-6 監査レコードのレビュー、分析、およびレポート AC-17 リモートアクセス AU-9 監査情報の保護 AU-10 否認防止 RA-5 脆弱性監視とスキャン AU-2 イベントロギング AU-8 タイムスタンプ AU-3 監査レコードの内容 AC-2 アカウント管理 AC-6 最小権限 AU-12 監査レコードの生成 AC-4 情報フローの強制 | API Gateway の各 API グループでトレース分析機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
cdn-domain-https-enabled | SC-12 | SC-12 暗号鍵の確立と管理 AC-20 外部システムの使用 IA-7 暗号モジュールの認証 SC-10 ネットワーク切断 SC-11 信頼できるパス SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) SC-28 保存データの保護 IA-9 サービスの識別と認証 AC-17 リモートアクセス SC-17 公開鍵基盤証明書 CA-9 内部システム接続 SC-13 暗号化保護 SC-23 セッションの信頼性 SC-7 境界保護 CM-3 構成変更管理 IA-5 認証システムの管理 AC-4 情報フローの強制 IA-3 デバイスの識別と認証 | Alibaba Cloud CDN によって高速化された各ドメイン名で HTTPS 暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
高速化ドメイン名の TLS 1.3 検出を有効にする | CP-9 | CP-9 システムバックアップ SA-4 取得プロセス CM-7 最小限の機能 AC-17 リモートアクセス MA-4 SC-23 セッションの信頼性 SC-8 伝送の機密性と整合性 IA-5 認証システムの管理 IA-3 デバイスの識別と認証 | Alibaba Cloud CDN によって高速化された各ドメイン名で Transport Layer Security (TLS) 1.3 プロトコルが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
特定のクラウドプロダクトに Cloud Monitor アラートルールを設定する | SI-4 | SI-4 システム監視 AU-7 監査レコードの削減とレポート生成 AU-6 監査レコードのレビュー、分析、およびレポート AC-17 リモートアクセス AU-9 監査情報の保護 RA-5 脆弱性監視とスキャン AC-2 アカウント管理 AC-4 情報フローの強制 | 指定された名前空間の各 Alibaba Cloud サービスに対して、CloudMonitor コンソールに少なくとも 1 つのアラートルールが構成されているかどうかを確認します。構成されている場合、評価結果は「準拠」です。 |
コンテナイメージインスタンスのセキュリティスキャンを有効にする | RA-5 | RA-5 脆弱性の監視とスキャン | Container Registry インスタンスでイメージスキャン機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
Container Registry のイメージバージョンは不変です。 | PT-2 | PT-2 個人識別情報 (PII) を処理する権限 SC-16 セキュリティおよびプライバシー属性の送信 | Container Registry のイメージバージョンは不変であるため、「準拠」と見なされます。 |
DTS 移行タスクにおけるソースデータベースとターゲットデータベースの SSL 経由のセキュアな接続 | CP-9 | CP-9 システムバックアップ AC-17 リモートアクセス SC-8 伝送の機密性と整合性 MA-4 SC-23 セッションの信頼性 IA-5 認証システムの管理 IA-3 デバイスの識別と認証 | DTS インスタンスの各移行タスクのソースデータベースとターゲットデータベースで SSL セキュア接続が使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。このルールは、移行タスクにのみ適用されます。 |
ECI コンテナグループの環境変数に機密情報を含めてはなりません。 | SC-34 | SC-34 変更不可の実行可能プログラム CP-9 システムバックアップ IA-2 識別と認証 (組織ユーザー) SC-28 保存データの保護 AU-9 監査情報の保護 IA-5 認証システムの管理 AC-2 アカウント管理 | Elastic Container Instance (ECI) のコンテナグループの環境変数名に指定されたキーが含まれているかどうかを確認します。指定されたキーが ECI のコンテナグループの環境変数名に含まれていない場合、評価結果は「準拠」です。入力パラメータの名前は keys です。入力パラメータのデフォルト値は AccessKey、AK、または AccessKeyID です。 |
ecs-disk-auto-snapshot-policy | CP-9 | CP-9 システムバックアップ SC-36 分散処理とストレージ SC-28 保存データの保護 CP-10 SC-24 既知の状態での障害 | 各 ECS ディスクに自動スナップショットポリシーが指定されているかどうかを確認します。指定されている場合、評価結果は「準拠」です。このルールは、使用されていないディスク、自動スナップショットポリシーをサポートしていないディスク、および ACK クラスターに接続されている非永続ディスクには適用されません。 |
ecs-in-use-disk-encrypted | SC-34 | SC-34 変更不可の実行可能プログラム CP-9 システムバックアップ SC-28 保存データの保護 AU-9 監査情報の保護 IA-5 認証システムの管理 | 使用中の各 ECS データディスクで暗号化機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
アタッチされていない ECS データディスクは見つかりませんでした。 | SI-12 | SI-12 情報管理と保持 SI-14 非永続性 AU-11 監査レコードの保持 AU-4 監査ログのストレージ容量 AU-10 否認防止 | 各 ECS データディスクが ECS インスタンスに接続されているかどうかを確認します。接続されている場合、評価結果は「準拠」です。 |
ECS インスタンスのメタデータアクセスに強化モードを強制する | SC-10 | SC-10 ネットワーク切断 SI-14 非永続性 AC-12 セッションの終了 IA-11 再認証 AC-17 リモートアクセス AC-10 同時セッション制御 SC-23 セッションの信頼性 AC-2 アカウント管理 | 各 ECS インスタンスのメタデータにアクセスするときに、セキュリティ強化モードが強制的に使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。 |
ECS インスタンスが実行中で、CloudMonitor エージェントがインストールされている | SI-4 | SI-4 システム監視 AU-7 監査レコードの削減とレポート生成 AU-6 監査レコードのレビュー、分析、およびレポート AC-17 リモートアクセス AU-9 監査情報の保護 RA-5 脆弱性監視とスキャン AC-2 アカウント管理 AC-4 情報フローの強制 | 実行中の各 ECS インスタンスに CloudMonitor エージェントがインストールされており、エージェントが想定どおりに実行されているかどうかを確認します。実行されている場合、評価結果は「準拠」です。このルールは、実行されていない ECS インスタンスには適用されません。 |
ECS インスタンスにアタッチされた SSH キーペアがない | AC-3 | AC-3 アクセス制御の適用 IA-8 識別と認証 (組織外ユーザー) IA-2 識別と認証 (組織ユーザー) IA-9 サービスの識別と認証 IA-4 識別子の管理 IA-5 認証システムの管理 AC-2 アカウント管理 | ECS インスタンスに Secure Shell (SSH) キーペアが接続されているかどうかを確認します。ECS インスタンスに SSH キーが接続されていない場合、評価結果は「準拠」です。このルールは、企業が ECS インスタンスへのアクセスを制御する必要がある特別なシナリオに適用されます。 |
ecs-instance-ram-role-attached | CM-5 | CM-5 アクセス制限の変更 AC-9 以前のログオン通知 IA-8 識別と認証 (組織外ユーザー) IA-11 再認証 SC-50 ソフトウェアによる分離とポリシーの適用 AC-2 アカウント管理 CA-3 情報交換 AC-17 リモートアクセス IA-9 サービスの識別と認証 AC-24 アクセス制御の決定 IA-4 識別子の管理 AC-3 アクセス制御の適用 AU-6 監査レコードのレビュー、分析、およびレポート SC-2 システムとユーザー機能の分離 IA-5 認証システムの管理 SC-34 変更不可の実行可能プログラム IA-2 識別と認証 (組織ユーザー) AC-7 ログオン試行の失敗 AC-6 最小権限 AC-4 情報フローの強制 | 各 ECS インスタンスに RAM ロールが割り当てられているかどうかを確認します。割り当てられている場合、評価結果は「準拠」です。 |
ECS インスタンスが停止していない | SA-3 | SA-3 システム開発ライフサイクル | 各 ECS インスタンスが停止状態かどうかを確認します。各 ECS インスタンスが停止状態ではない場合、評価結果は「準拠」です。このルールは、期限切れのインスタンスまたはエコノミーモードのインスタンスには適用されません。 |
実行中の ECS インスタンスに脆弱性がない | SA-22 | SA-22 RA-5 脆弱性監視とスキャン SI-2 欠陥の修正 | 指定されたタイプまたは指定されたレベルの未修正の脆弱性が ECS インスタンスの Security Center によって検出されたかどうかを確認します。検出された場合、評価結果は「準拠」です。このルールは、実行されていない ECS インスタンスには適用されません。 |
アイドル状態のセキュリティグループのチェック | CA-9 | CA-9 内部システム接続 SC-7 境界保護 IA-3 デバイスの識別と認証 | アイドル状態のセキュリティグループが存在するかどうかを確認します。アイドル状態のセキュリティグループが存在しない場合、つまり、各セキュリティグループに少なくとも 1 つの ECS インスタンスが追加されている場合、評価結果は「準拠」です。 |
セキュリティグループのインバウンドルールは、ホワイトリストにないポートに対して有効です。 | AC-20 | AC-20 外部システムの使用 SC-10 ネットワーク切断 SC-11 信頼できるパス SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) IA-9 サービスの識別と認証 CM-7 最小限の機能 AC-17 リモートアクセス SA-4 取得プロセス CA-9 内部システム接続 SC-23 セッションの信頼性 SC-7 境界保護 SC-8 伝送の機密性と整合性 IA-5 認証システムの管理 AC-4 情報フローの強制 IA-3 デバイスの識別と認証 | インバウンドルールの認証オブジェクトパラメータが 0.0.0.0/0 に設定されている場合、セキュリティグループの各インバウンドルールが指定された範囲のポートからのアクセスのみを許可するかどうかを確認します。許可する場合、評価結果は「準拠」です。このルールは、クラウドサービスまたは仮想ネットワーク事業者によって使用されるセキュリティグループには適用されません。 |
アイドル状態の Elastic IP Address の識別 | AC-3 | AC-3 アクセス制御の適用 AC-16 セキュリティおよびプライバシー属性 PL-10 IA-4 識別子の管理 CM-2 ベースライン構成 SC-16 セキュリティおよびプライバシー属性の送信 AC-4 情報フローの強制 | Elastic IP Address は、ECS または NAT インスタンスにアタッチされており、アイドル状態でない場合、準拠していると見なされます。 |
Elasticsearch インスタンスのデータノードでディスク暗号化を有効にする | SC-34 | SC-34 変更不可の実行可能プログラム CP-9 システムバックアップ SC-28 保存データの保護 AU-9 監査情報の保護 IA-5 認証システムの管理 | 各 Elasticsearch クラスターのデータノードでディスク暗号化機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
Elasticsearch インスタンスのパブリックアクセスが無効になっているか、アクセスを許可する IP アドレスが設定されていない | AC-20 | AC-20 外部システムの使用 SC-10 ネットワーク切断 SC-11 信頼できるパス SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) IA-9 サービスの識別と認証 AC-17 リモートアクセス CA-9 内部システム接続 SC-7 境界保護 IA-5 認証システムの管理 AC-4 情報フローの強制 IA-3 デバイスの識別と認証 | 各 Elasticsearch インスタンスがパブリックネットワークからのアクセスを拒否し、すべての IP アドレスからのアクセスを許可していないかどうかを確認します。許可していない場合、評価結果は「準拠」です。 |
Elasticsearch インスタンスは HTTPS プロトコルを使用します。 | CP-9 | CP-9 システムバックアップ SA-4 取得プロセス CM-7 最小限の機能 AC-17 リモートアクセス MA-4 SC-23 セッションの信頼性 SC-8 伝送の機密性と整合性 IA-5 認証システムの管理 IA-3 デバイスの識別と認証 | 各 Elasticsearch クラスターで HTTPS が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
Auto Scaling グループのヘルスチェックを有効にする | CP-7 | CP-7 代替処理サイト CP-9 システムバックアップ AC-4 情報フローの強制 SC-36 分散処理とストレージ CP-6 代替ストレージサイト SI-13 予測可能な障害の防止 SC-22 名前/アドレス解決サービスのアーキテクチャとプロビジョニング AU-5 監査ログプロセス障害への対応 SI-22 情報多様性 CP-2 緊急時対応計画 | 各スケーリンググループの ECS インスタンスでヘルスチェック機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
スケーリング設定がパブリック IPv4 アドレスを割り当てるように設定されていない | SI-4 | SI-4 システム監視 SC-7 境界保護 | スケーリング設定で、ECS インスタンスに割り当てることができる IPv4 アドレスが指定されているかどうかを確認します。スケーリング設定で ECS インスタンスに IPv4 アドレスを割り当てることができることが指定されていない場合、評価結果は「準拠」です。 |
Auto Scaling グループを少なくとも 2 つの vSwitch に関連付けることができます。 | SI-22 | SI-22 情報多様性 SC-36 分散処理とストレージ SC-6 リソースの可用性 | 各スケーリンググループに少なくとも 2 つの vSwitch が関連付けられているかどうかを確認します。関連付けられている場合、評価結果は「準拠」です。 |
Function Compute の関数がパラメーター要件を満たすように設定されている | SA-22 | SA-22 SI-2 欠陥の修正 | Function Compute 2.0 の関数が指定された要件を満たしているかどうかを確認します。満たしている場合、評価結果は「準拠」です。 |
Function Compute サービスにインターネットアクセスがない | AC-20 | AC-20 外部システムの使用 AC-16 セキュリティおよびプライバシー属性 AU-9 監査情報の保護 SC-7 境界保護 CA-3 情報交換 AC-17 リモートアクセス IA-9 サービスの識別と認証 CA-9 内部システム接続 SC-38 運用セキュリティ CM-12 情報ロケーション SC-10 ネットワーク切断 AC-3 アクセス制御の適用 CP-9 システムバックアップ AC-4 情報フローの強制 AU-6 監査レコードのレビュー、分析、およびレポート SC-2 システムとユーザー機能の分離 IA-5 認証システムの管理 SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) SC-11 信頼できるパス SC-20 セキュアな名前/アドレス解決サービス (権限のあるソース) IA-3 デバイスの識別と認証 | Function Compute でインターネットアクセスが無効になっているかどうかを確認します。無効になっている場合、評価結果は「準拠」です。 |
Function Compute ログ機能を有効にする | CM-5 | CM-5 アクセス制限の変更 SI-4 システム監視 AU-14 セッション監査 CP-7 代替処理サイト AC-9 以前のログオン通知 SI-7 ソフトウェア、ファームウェア、および情報の整合性 SC-36 分散処理とストレージ IR-4 CP-10 AU-10 否認防止 CP-6 代替ストレージサイト AU-2 イベントロギング CP-2 緊急時対応計画 AU-8 タイムスタンプ AU-3 監査レコードの内容 AC-6 最小権限 AU-12 監査レコードの生成 AC-4 情報フローの強制 | Function Compute でロギング機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
関数サービスが指定された VPC からのみ呼び出されるように設定されている | AC-20 | AC-20 外部システムの使用 SC-10 ネットワーク切断 SC-11 信頼できるパス SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) IA-9 サービスの識別と認証 AC-17 リモートアクセス CA-9 内部システム接続 SC-7 境界保護 IA-5 認証システムの管理 AC-4 情報フローの強制 IA-3 デバイスの識別と認証 | サービスの関数を特定の仮想プライベートクラウド (VPC) 内でのみ呼び出すことができるかどうかを確認します。呼び出すことができる場合、評価結果は「準拠」です。 |
Cloud Firewall で資産保護を有効にする | AC-20 | AC-20 外部システムの使用 SC-10 ネットワーク切断 SC-11 信頼できるパス SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) IA-9 サービスの識別と認証 AC-17 リモートアクセス CA-9 内部システム接続 SC-7 境界保護 IA-5 認証システムの管理 AC-4 情報フローの強制 IA-3 デバイスの識別と認証 | Cloud Firewall でアセット保護が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、Cloud Firewall サービスをアクティブ化したユーザーにのみ適用されます。サービスをアクティブ化していないユーザーまたはサービスを無料で使用しているユーザーは、検出データを利用できません。 |
外部ソースからのマスターキーは使用できません。 | SC-34 | SC-34 変更不可の実行可能プログラム CP-9 システムバックアップ SC-28 保存データの保護 AU-9 監査情報の保護 IA-5 認証システムの管理 | KMS マスターキーは、そのソースが外部でない場合、準拠していると見なされます。 |
KMS マスターキーは削除予定ではありません。 | SC-12 | SC-12 暗号鍵の確立と管理 IA-7 暗号モジュールの認証 SC-28 保存データの保護 SC-17 公開鍵基盤証明書 SC-13 暗号化保護 SC-23 セッションの信頼性 CM-3 構成変更管理 IA-5 認証システムの管理 | KMS マスターキーは、削除保留中の状態でない場合、準拠していると見なされます。 |
KMS 認証情報ローテーションが成功しました。 | IA-10 | SIA-10 IA-2 識別と認証 (組織ユーザー) AC-24 アクセス制御の決定 IA-5 認証システムの管理 AC-2 アカウント管理 | KMS シークレットで自動ローテーション機能が有効になっているかどうか、および指定されたローテーション期間に基づいて自動ローテーションが実行されているかどうかを確認します。実行されている場合、評価結果は「準拠」です。KMS の汎用シークレットでは定期的なキーローテーションを有効にできないため、このルールは汎用シークレットには適用されません。 |
Key Management Service で自動認証情報ローテーションを設定する | IA-10 | IA-10 IA-2 識別と認証 (組織ユーザー) AC-24 アクセス制御の決定 IA-5 認証システムの管理 AC-2 アカウント管理 | KMS シークレットで自動ローテーション機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、共通キーには適用されません。 |
mongodb-instance-backup-log-enabled | SI-12 | SI-12 情報管理と保持 SI-14 非永続性 CP-9 システムバックアップ SC-36 分散処理とストレージ AU-11 監査レコードの保持 AU-4 監査ログのストレージ容量 CP-10 AU-10 否認防止 SC-24 既知の状態での障害 | 各 ApsaraDB for MongoDB インスタンスでログバックアップ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
MongoDB クラスターの監査ログを有効にする | CM-5 | CM-5 変更に対するアクセス制限 SI-4 システム監視 AU-14 セッション監査 AC-9 以前のログオン通知 SI-7 ソフトウェア、ファームウェア、および情報の整合性 AU-10 否認防止 AU-2 イベントロギング AU-8 タイムスタンプ AU-3 監査レコードの内容 AC-6 最小権限 AU-12 監査レコードの生成 AC-4 情報フローの強制 | 各 MongoDB インスタンスで監査ログ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
NAS ファイルストレージアクセスポイントで RAM ポリシーを有効にする | CM-12 | CM-12 情報ロケーション AC-3 アクセス制御の適用 SC-20 セキュアな名前/アドレス解決サービス (権限のあるソース) AC-16 セキュリティおよびプライバシー属性 CP-9 システムバックアップ AU-6 監査レコードのレビュー、分析、およびレポート CA-3 情報交換 AU-9 監査情報の保護 SC-2 システムとユーザー機能の分離 IA-5 認証システムの管理 AC-4 情報フローの強制 SC-38 運用セキュリティ | NAS ファイルストレージアクセスポイントは、RAM ポリシーが有効になっている場合、準拠していると見なされます。 |
NAS ファイルストレージアクセスポイントのルートディレクトリがデフォルトディレクトリに設定されていない | CM-12 | CM-12 情報ロケーション AC-3 アクセス制御の適用 SC-20 セキュアな名前/アドレス解決サービス (権限のあるソース) AC-16 セキュリティおよびプライバシー属性 CP-9 システムバックアップ AU-6 監査レコードのレビュー、分析、およびレポート CA-3 情報交換 AU-9 監査情報の保護 SC-2 システムとユーザー機能の分離 IA-5 認証システムの管理 AC-4 情報フローの強制 SC-38 運用セキュリティ | NAS ファイルシステムのアクセスポイントのルートディレクトリがデフォルトディレクトリとして指定されているかどうかを確認します。デフォルトディレクトリが NAS ファイルシステムのアクセスポイントのルートディレクトリではない場合、評価結果は「準拠」です。 |
NAS ファイルシステムのバックアッププランを作成できます。 | CP-9 | CP-9 システムバックアップ SC-36 分散処理とストレージ SC-28 保存データの保護 CP-10 SC-24 既知の状態での障害 | 各 NAS ファイルシステムのバックアッププランが作成されているかどうかを確認します。作成されている場合、評価結果は「準拠」です。 |
NAS ファイルシステムが暗号化されている | SC-34 | SC-34 変更不可の実行可能プログラム CP-9 システムバックアップ SC-28 保存データの保護 AU-9 監査情報の保護 IA-5 認証システムの管理 | 暗号化された NAS ファイルシステムは準拠しています。 |
OSS バケットのログストレージを有効にする | CM-5 | CM-5 アクセス制限の変更 SI-4 システム監視 AU-14 セッション監査 AC-9 以前のログオン通知 SI-7 ソフトウェア、ファームウェア、および情報の整合性 AU-10 否認防止 AU-2 イベントロギング AU-8 タイムスタンプ AU-3 監査レコードの内容 AC-6 最小権限 AU-12 監査レコードの生成 AC-4 情報フローの強制 | ログページで各 OSS バケットのロギング機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
OSS バケットアクセスポリシーを使用してセキュアなアクセスを設定する | CP-9 | CP-9 システムバックアップ SA-4 取得プロセス CM-7 最小限の機能 AC-17 リモートアクセス MA-4 SC-23 セッションの信頼性 SC-8 伝送の機密性と整合性 IA-5 認証システムの管理 IA-3 デバイスの識別と認証 | 各 OSS バケットのバケットポリシーが HTTPS 経由の読み取りおよび書き込みアクセスを許可し、HTTP 経由のアクセスを拒否するかどうかを確認します。許可する場合、評価結果は「準拠」です。このルールは、バケットポリシーのない OSS バケットには適用されません。 |
OSS バケットは匿名アカウントへの権限付与をサポートしていません。 | CM-5 | CM-5 アクセス制限の変更 AC-9 以前のログオン通知 IA-8 識別と認証 (組織外ユーザー) IA-11 再認証 SC-50 ソフトウェアによる分離とポリシーの適用 AU-9 監査情報の保護 AC-2 アカウント管理 CA-3 情報交換 AC-17 リモートアクセス IA-9 サービスの識別と認証 AC-24 アクセス制御の決定 IA-4 識別子の管理 AC-3 アクセス制御の適用 AU-6 監査レコードのレビュー、分析、およびレポート IA-5 認証システムの管理 SC-34 変更不可の実行可能プログラム IA-2 識別と認証 (組織ユーザー) AC-7 ログオン試行の失敗 SA-17 AC-6 最小権限 AC-4 情報フローの強制 | 各匿名アカウントに読み取りおよび書き込み権限が付与されているかどうかを確認します。各匿名アカウントに読み取りおよび書き込み権限が付与されていない場合、評価結果は「準拠」です。OSS バケットにポリシーが指定されていない場合、評価結果は「準拠」です。 |
oss-bucket-public-read-prohibited | AC-20 | AC-20 外部システムの使用 AC-16 セキュリティおよびプライバシー属性 AU-9 監査情報の保護 SC-7 境界保護 CA-3 情報交換 AC-17 リモートアクセス IA-9 サービスの識別と認証 CA-9 内部システム接続 SC-38 運用セキュリティ CM-12 情報ロケーション SC-10 ネットワーク切断 AC-3 リソースアクセス管理 CP-9 システムバックアップ AC-4 情報フローの強制 AU-6 監査レコードのレビュー、分析、およびレポート SC-2 システムとユーザー機能の分離 IA-5 認証システムの管理 SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) SC-11 信頼できるパス SC-20 セキュアな名前/アドレス解決サービス (権限のあるソース) IA-3 デバイスの識別と認証 | 各 OSS バケットの ACL ポリシーがインターネットからの読み取りアクセスを拒否するかどうかを確認します。拒否する場合、評価結果は「準拠」です。 |
OSS バケット ACL は公開読み書きアクセスを許可しません | AC-20 | AC-20 外部システムの使用 AC-16 セキュリティおよびプライバシー属性 AU-9 監査情報の保護 SC-7 境界保護 AU-16 組織横断的な監査ログ CA-3 情報交換 AC-17 リモートアクセス IA-9 サービスの識別と認証 CA-9 内部システム接続 SC-38 運用セキュリティ CM-12 情報ロケーション SC-10 ネットワーク切断 AC-3 アクセス制御の適用 CP-9 システムバックアップ AU-6 監査レコードのレビュー、分析、およびレポート SC-2 システムとユーザー機能の分離 IA-5 認証システムの管理 SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) SC-11 信頼できるパス AU-7 監査レコードの削減とレポート生成 SC-20 セキュアな名前/アドレス解決サービス (権限のあるソース) AC-4 情報フローの強制 IA-3 デバイスの識別と認証 | 各 OSS バケットのバケットポリシーがインターネットからの読み取りおよび書き込みアクセスを拒否するかどうかを確認します。拒否する場合、評価結果は「準拠」です。 |
OSS バケットのサーバ側暗号化を有効にする | AU-7 | AU-7 監査レコードの削減とレポート生成 SC-34 変更不可の実行可能プログラム CP-9 システムバックアップ SC-28 保存データの保護 AU-9 監査情報の保護 IA-5 認証システムの管理 AU-16 組織横断的な監査ログ | 各 OSS バケットでサーバー側暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
OSS バケットのバージョン管理を有効にする | SC-21 | SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) SC-34 変更不可の実行可能プログラム SI-7 ソフトウェア、ファームウェア、および情報の整合性 SI-19 匿名化 SC-23 セッションの信頼性 SC-16 セキュリティおよびプライバシー属性の送信 AU-16 組織横断的な監査ログ SC-20 セキュアな名前/アドレス解決サービス (権限のあるソース) | OSS バケットでバージョン管理機能が有効になっているかどうかを確認します。バージョン管理機能が無効になっている場合、データが上書きまたは削除されると、データを復元できない可能性があります。各 OSS バケットでバージョン管理機能が有効になっている場合、評価結果は「準拠」です。 |
OSS バケットでサーバ側 KMS 暗号化を有効にする | SC-34 | SC-34 変更不可の実行可能プログラム CP-9 システムバックアップ SC-28 保存データの保護 AU-9 監査情報の保護 IA-5 認証システムの管理 | 各 OSS バケットで KMS ベースのサーバー側暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
OSS バケットのゾーン冗長ストレージを有効にする | CP-7 | CP-7 代替処理サイト CP-9 システムバックアップ AC-4 情報フローの強制 SC-36 分散処理とストレージ CP-6 代替ストレージサイト SC-6 リソースの可用性 SI-13 予測可能な障害の防止 SC-22 名前/アドレス解決サービスのアーキテクチャとプロビジョニング AU-5 監査ログプロセス障害への対応 SI-22 情報多様性 CP-2 緊急時対応計画 | OSS バケットでゾーン冗長ストレージ (ZRS) 機能が有効になっているかどうかを確認します。ZRS 機能が無効になっている場合、OSS は一貫したサービスを提供できず、データセンターが使用できなくなったときにデータリカバリを保証できません。各 OSS バケットで ZRS 機能が有効になっている場合、評価結果は「準拠」です。 |
Tablestore インスタンスのすべてのデータテーブルを暗号化する | SC-34 | SC-34 変更不可の実行可能プログラム CP-9 システムバックアップ SC-28 保存データの保護 AU-9 監査情報の保護 IA-5 認証システムの管理 | Tablestore インスタンスのすべてのテーブルで暗号化機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
PolarDB クラスターの SQL 監査を有効にする | CM-5 | CM-5 変更に対するアクセス制限 SI-4 システム監視 AU-14 セッション監査 AC-9 以前のログオン通知 SI-7 ソフトウェア、ファームウェア、および情報の整合性 AU-10 否認防止 AU-2 イベントロギング AU-8 タイムスタンプ AU-3 監査レコードの内容 AC-6 最小権限 AU-12 監査レコードの生成 AC-4 情報フローの強制 | 各 PolarDB クラスターで SQL 監査機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
PolarDB クラスターのレベル 1 バックアップ保持期間が指定された要件を満たしている | CP-9 | CP-9 システムバックアップ SC-36 分散処理とストレージ SC-28 保存データの保護 CP-10 SC-24 既知の状態での障害 | 各 PolarDB クラスターのレベル 1 バックアップの保存期間が指定された日数以上であるかどうかを確認します。保存期間が指定された日数以上の場合、評価結果は「準拠」です。デフォルト値: 7。単位: 日。 |
PolarDB クラスターのホットスタンバイクラスターを有効にする | SI-22 | SI-22 情報多様性 SC-36 分散処理とストレージ SC-6 リソースの可用性 | 各 PolarDB クラスターでホットスタンバイクラスター機能が有効になっており、クラスターのデータが複数のゾーンに分散されているかどうかを確認します。分散されている場合、評価結果は「準拠」です。 |
PolarDB データベースのマイナーバージョンが安定している | SA-22 | SA-22 SI-2 欠陥の修正 | 各 PolarDB データベースのマイナーバージョンが安定しているかどうかを確認します。安定している場合、評価結果は「準拠」です。 |
RAM ユーザーグループが空ではない | AC-3 | AC-3 リソースアクセス管理 IA-8 識別と認証 (組織外ユーザー) IA-2 識別と認証 (組織ユーザー) AU-6 監査レコードのレビュー、分析、およびレポート IA-9 サービスの識別と認証 AU-9 監査情報の保護 IA-4 識別子の管理 SA-1 IA-5 認証システムの管理 AC-6 最小権限 AC-2 アカウント管理 | 各 RAM ユーザーグループに少なくとも 1 人の RAM ユーザーが含まれているかどうかを確認します。含まれている場合、評価結果は「準拠」です。 |
アイドル状態の RAM ユーザーグループは見つかりませんでした。 | CM-5 | CM-5 アクセス制限の変更 AC-3 アクセス制御の適用 IA-8 識別と認証 (組織外ユーザー) IA-2 識別と認証 (組織ユーザー) IA-9 サービスの識別と認証 IA-4 識別子の管理 IA-5 認証システムの管理 AC-2 アカウント管理 | RAM ユーザーグループに少なくとも 1 人の RAM ユーザーが含まれており、RAM ユーザーグループに少なくとも 1 つのポリシーが接続されているかどうかを確認します。接続されている場合、評価結果は「準拠」です。 |
未使用の RAM ポリシーはありません。 | CM-5 | CM-5 変更に対するアクセス制限 AC-9 以前のログオン通知 IA-8 識別と認証 (組織外ユーザー) IA-11 再認証 SC-50 ソフトウェアによる分離とポリシーの適用 AC-2 アカウント管理 CA-3 情報交換 AC-17 リモートアクセス IA-9 サービスの識別と認証 AC-24 アクセス制御の決定 IA-4 識別子の管理 AC-3 アクセス制御の適用 AU-6 監査レコードのレビュー、分析、およびレポート IA-5 認証システムの管理 SC-34 変更不可の実行可能プログラム IA-2 識別と認証 (組織ユーザー) AC-7 ログオン試行の失敗 AC-6 最小権限 AC-4 情報フローの強制 | 少なくとも 1 つの RAM ユーザーグループ、RAM ロール、または RAM ユーザーにポリシーが接続されているかどうかを確認します。接続されている場合、評価結果は「準拠」です。 |
スーパー管理者はいません。 | CM-5 | CM-5 変更に対するアクセス制限 AC-9 以前のログオン通知 IA-8 識別と認証 (組織外ユーザー) IA-11 再認証 SC-50 ソフトウェアによる分離とポリシーの適用 AU-9 監査情報の保護 SC-7 境界保護 AC-2 アカウント管理 CA-3 情報交換 AC-17 リモートアクセス IA-9 サービスの識別と認証 SI-3 悪意のあるコードからの保護 AC-24 アクセス制御の決定 IA-4 識別子の管理 AC-3 アクセス制御の適用 AU-6 監査レコードのレビュー、分析、およびレポート IA-5 認証システムの管理 SC-34 変更不可の実行可能プログラム IA-2 識別と認証 (組織ユーザー) CM-7 最小限の機能 AC-7 ログオン試行の失敗 AC-6 最小権限 AC-4 情報フローの強制 | 各 RAM ユーザー、RAM ユーザーグループ、および RAM ロールの Action パラメータと Resource パラメータが * に設定されていないかどうかを確認します。設定されていない場合、評価結果は「準拠」です。アスタリスク (*) はスーパー管理者権限を示します。 |
RAM ユーザーの MFA を有効にする | IA-2 | IA-2 識別と認証 (組織ユーザー) | コンソールアクセス機能が有効になっている各 RAM ユーザーのログオン設定で MFA が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
RDS インスタンスの SQL 監査ログ保持期間が指定された要件に準拠している | CM-5 | CM-5 アクセス制限の変更 SI-4 システム監視 AU-14 セッション監査 AC-9 以前のログオン通知 SI-7 ソフトウェア、ファームウェア、および情報の整合性 AU-10 否認防止 AU-2 イベントロギング AU-8 タイムスタンプ AU-3 監査レコードの内容 AC-6 最小権限 AU-12 監査レコードの生成 AC-4 情報フローの強制 | 各 ApsaraDB RDS for MySQL インスタンスで SQL エクスプローラーと監査機能が有効になっており、SQL 監査ログを保持できる日数が指定された値以上であるかどうかを確認します。保持できる場合、評価結果は「準拠」です。デフォルト期間は 180 日です。このルールは、SQL エクスプローラーと監査機能をサポートしていないインスタンスには適用されません。 |
rds-instance-enabled-log-backup | CP-9 | CP-9 システムバックアップ SC-36 分散処理とストレージ SC-28 保存データの保護 CP-10 SC-24 既知の状態での障害 | 各 ApsaraDB RDS インスタンスでログバックアップ機能が有効になっている場合、評価結果は「準拠」です。 |
RDS インスタンスでディスク暗号化を有効にする | SC-34 | SC-34 変更不可の実行可能プログラム CP-9 システムバックアップ SC-28 保存データの保護 AU-9 監査情報の保護 IA-5 認証システムの管理 | 各 ApsaraDB RDS インスタンスでディスク暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、ローカルディスクを使用するインスタンス、またはディスク暗号化をサポートしていないインスタンスには適用されません。 |
RDS インスタンスの TDE (透過的データ暗号化) を有効にする | SC-34 | SC-34 変更不可の実行可能プログラム CP-9 システムバックアップ SC-28 保存データの保護 AU-9 監査情報の保護 IA-5 認証システムの管理 | 各 ApsaraDB RDS インスタンスのデータセキュリティ設定で透過的データ暗号化 (TDE) 機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
マルチゾーン RDS インスタンス | SI-22 | SI-22 情報多様性 SC-36 分散処理とストレージ SC-6 リソースの可用性 | 各 ApsaraDB RDS インスタンスがマルチゾーンアーキテクチャを使用しているかどうかを確認します。使用している場合、評価結果は「準拠」です。 |
パブリック IP アドレスを持つ RDS インスタンスのホワイトリストがすべてのソースへのアクセスを許可していない | AC-20 | AC-20 外部システムの使用 AC-16 セキュリティおよびプライバシー属性 AU-9 監査情報の保護 SC-7 境界保護 CA-3 情報交換 AC-17 リモートアクセス IA-9 サービスの識別と認証 CA-9 内部システム接続 SC-38 運用セキュリティ CM-12 情報ロケーション SC-10 ネットワーク切断 AC-3 アクセス制御の適用 CP-9 システムバックアップ AC-4 情報フローの強制 AU-6 監査レコードのレビュー、分析、およびレポート SC-2 システムとユーザー機能の分離 IA-5 認証システムの管理 SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) SC-11 信頼できるパス SC-20 セキュアな名前/アドレス解決サービス (権限のあるソース) IA-3 デバイスの識別と認証 | アカウント内の ApsaraDB RDS インスタンスにパブリック IP アドレスが使用されているかどうか、またはすべてのソース IP アドレスに対してホワイトリストが有効になっていないかどうかを確認します。使用されている場合、または有効になっていない場合、評価結果は「準拠」です。 |
Redis インスタンスの増分バックアップを有効にする | CP-9 | CP-9 システムバックアップ SC-36 分散処理とストレージ SC-28 保存データの保護 CP-10 SC-24 既知の状態での障害 | 各 ApsaraDB for Redis インスタンスで増分バックアップが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、Tair インスタンスまたは ApsaraDB for Redis Enhanced Edition (Tair) のインスタンスにのみ適用されます。 |
Redis インスタンスを最新のマイナーバージョンにアップグレードする | SA-22 | SA-22 SI-2 欠陥の修正 | 各 ApsaraDB for Redis インスタンスが最新のマイナーバージョンにアップグレードされているかどうかを確認します。アップグレードされている場合、評価結果は「準拠」です。 |
Alibaba Cloud アカウントに AccessKey が作成されていない | CM-5 | CM-5 アクセス制限の変更 AC-3 アクセス制御の適用 IA-8 識別と認証 (組織外ユーザー) IA-2 識別と認証 (組織ユーザー) IA-9 サービスの識別と認証 AC-17 リモートアクセス CM-7 最小限の機能 AU-9 監査情報の保護 SI-3 悪意のあるコードからの保護 SC-7 境界保護 IA-4 識別子の管理 IA-5 認証システムの管理 AC-2 アカウント管理 AC-6 最小権限 AC-4 情報フローの強制 | 各 Alibaba Cloud アカウントに AccessKey ペアが作成されているかどうかを確認します。作成されていない場合、評価結果は「準拠」です。 |
Alibaba Cloud アカウントの多要素認証 (MFA) を有効にする | IA-2 | IA-2 識別と認証 (組織ユーザー) | 各 Alibaba Cloud アカウントで多要素認証 (MFA) が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
Security Center Enterprise Edition の使用 | SI-4 | SI-4 システム監視 AU-7 監査レコードの削減とレポート生成 AU-6 監査レコードのレビュー、分析、およびレポート AC-17 リモートアクセス AU-9 監査情報の保護 RA-5 脆弱性監視とスキャン AC-2 アカウント管理 AC-4 情報フローの強制 | Security Center Enterprise Edition 以上が使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。 |
SLB インスタンスとサーバーグループのマルチゾーンデプロイメントを設定する | CP-7 | CP-7 代替処理サイト CP-9 システムバックアップ AC-4 情報フローの強制 SC-36 分散処理とストレージ CP-6 代替ストレージサイト SC-6 リソースの可用性 SI-13 予測可能な障害の防止 SC-22 名前/アドレス解決サービスのアーキテクチャとプロビジョニング AU-5 監査ログプロセス障害への対応 SI-22 情報多様性 CP-2 緊急時対応計画 | 各 SLB インスタンスがマルチゾーンアーキテクチャを使用しており、複数のゾーンのリソースが SLB インスタンスのすべてのリスナーによって使用されるサーバーグループに追加されているかどうかを確認します。追加されている場合、評価結果は「準拠」です。 |
SLB インスタンスの HTTPS リスナーが指定されたセキュリティポリシー スイートを使用している | CP-9 | CP-9 システムバックアップ SA-4 取得プロセス CM-7 最小限の機能 AC-17 リモートアクセス MA-4 SC-13 暗号化保護 SC-23 セッションの信頼性 SC-8 伝送の機密性と整合性 IA-5 認証システムの管理 IA-3 デバイスの識別と認証 | 各 SLB インスタンスの HTTPS リスナーが指定されたセキュリティポリシースイートバージョンを使用しているかどうかを確認します。使用している場合、評価結果は「準拠」です。このルールは、HTTPS リスナーが構成されていない SLB インスタンスには適用されません。 |
SLB インスタンスのアクセスログを有効にする | CM-5 | CM-5 アクセス制限の変更 SI-4 システム監視 AU-14 セッション監査 AC-9 以前のログオン通知 SI-7 ソフトウェア、ファームウェア、および情報の整合性 AU-10 否認防止 AU-2 イベントロギング AU-8 タイムスタンプ AU-3 監査レコードの内容 AC-6 最小権限 AU-12 監査レコードの生成 AC-4 情報フローの強制 | 各 SLB インスタンスでアクセスログ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、レイヤー 7 監視が無効になっている SLB インスタンスには適用されません。 |
SLB に HTTPS リスナーを追加する | CP-9 | CP-9 システムバックアップ SA-4 取得プロセス CM-7 最小限の機能 AC-17 リモートアクセス MA-4 SC-13 暗号化保護 SC-23 セッションの信頼性 SC-8 伝送の機密性と整合性 IA-5 認証システムの管理 IA-3 デバイスの識別と認証 | 各 SLB インスタンスの指定されたポートで HTTPS リスナーが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、TCP または UDP リスナーのみが有効になっている SLB インスタンスには適用されません。 |
ssl-certificate-expired-check | SC-12 | SC-12 暗号鍵の確立と管理 IA-7 暗号モジュールの認証 SC-28 保存データの保護 SC-17 公開鍵基盤証明書 SC-13 暗号化保護 SC-23 セッションの信頼性 CM-3 構成変更管理 IA-5 認証システムの管理 | すべての SSL 証明書の残りの有効期間が指定された値よりも大きいかどうかを確認します。大きい場合、評価結果は「準拠」です。デフォルト値: 30。単位: 日。 |
vpc-flow-logs-enabled | CM-5 | CM-5 アクセス制限の変更 SI-4 システム監視 AU-14 セッション監査 AC-9 以前のログオン通知 SI-7 ソフトウェア、ファームウェア、および情報の整合性 AU-10 否認防止 AU-2 イベントロギング AU-8 タイムスタンプ AU-3 監査レコードの内容 AC-6 最小権限 AU-12 監査レコードの生成 AC-4 情報フローの強制 | 各 VPC でフローログ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
VPC ネットワーク ACL に開いている高リスクポートがない | AC-20 | AC-20 外部システムの使用 SC-10 ネットワーク切断 SC-11 信頼できるパス SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) IA-9 サービスの識別と認証 AC-17 リモートアクセス CA-9 内部システム接続 SC-7 境界保護 IA-5 認証システムの管理 AC-4 情報フローの強制 IA-3 デバイスの識別と認証 | VPC アクセスコントロールのインバウンドルールで指定された宛先 IP アドレスが 0.0.0.0/0 に設定されており、指定されたポート範囲に高リスクポートが含まれていないかどうかを確認します。含まれていない場合、評価結果は「準拠」です。 |
VPC ネットワーク ACL が 1 つ以上のリソースにアタッチされている | AC-20 | AC-20 外部システムの使用 SC-10 ネットワーク切断 SC-11 信頼できるパス SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) IA-9 サービスの識別と認証 AC-17 リモートアクセス CA-9 内部システム接続 SC-7 境界保護 IA-5 認証システムの管理 AC-4 情報フローの強制 IA-3 デバイスの識別と認証 | 各ネットワーク ACL に少なくとも 1 つのリソースが関連付けられているかどうかを確認します。関連付けられている場合、評価結果は「準拠」です。 |
VPC カスタムルートの宛先 CIDR ブロックがすべての CIDR ブロックに設定されていない | SC-3 | SC-3 セキュリティ機能の分離 AC-20 外部システムの使用 SC-10 ネットワーク切断 SC-11 信頼できるパス SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) IA-9 サービスの識別と認証 AC-17 リモートアクセス CA-9 内部システム接続 SC-7 境界保護 IA-5 認証システムの管理 AC-6 最小権限 AC-4 情報フローの強制 IA-3 デバイスの識別と認証 | VPC に関連付けられているルートテーブルのカスタムルートの宛先 CIDR ブロックがすべての CIDR ブロックに設定されているかどうかを確認します。宛先 CIDR ブロックがすべての CIDR ブロックに設定されていない場合、評価結果は「準拠」です。 |
IPsec 接続が確立されている | SC-3 | SC-3 セキュリティ機能の分離 AC-4 情報フローの強制 SC-36 分散処理とストレージ PL-8 SC-7 境界保護 SI-22 情報多様性 SC-6 リソースの可用性 | IPsec 接続が確立されているかどうかを確認します。確立されている場合、評価結果は「準拠」です。 |
waf3-instance-enabled-specified-defense-rules | AC-20 | AC-20 外部システムの使用 SC-10 ネットワーク切断 SC-11 信頼できるパス SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ) IA-9 サービスの識別と認証 AC-17 リモートアクセス CA-9 内部システム接続 SC-7 境界保護 IA-5 認証システムの管理 AC-4 情報フローの強制 IA-3 デバイスの識別と認証 | 指定された保護シナリオのルールが WAF 3.0 インスタンスで有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |