ComplianceCheckForSOC2 コンプライアンスパッケージは、System and Organization Controls (SOC) 2 レポートの関連要件を参照し、データセキュリティ、可用性、整合性、機密性の観点から具体的なコンプライアンステストを推奨しています。このトピックでは、ComplianceCheckForSOC2 コンプライアンスパッケージで提供されるデフォルトルールについて説明します。
ルール名 | ルールの説明 | 要件番号 | 要件の説明 |
ApsaraDB RDS インスタンスでログバックアップが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
NAS ファイルシステムごとにバックアッププランが作成されているかどうかを確認します。作成されている場合、評価結果は「準拠」です。 |
|
| |
ゾーン冗長ストレージ (ZRS) 機能が無効になっている場合、Object Storage Service (OSS) は、データセンターが利用できなくなったときに一貫したサービスを提供し、データリカバリを保証することができません。各 OSS バケットで ZRS 機能が有効になっている場合、評価結果は「準拠」です。 |
|
| |
各 PolarDB クラスタのレベル 1 バックアップの保存期間が指定日数以上であるかどうかを確認します。保存期間が指定日数以上の場合、評価結果は「準拠」です。デフォルト値: 7 。単位: 日。 |
|
| |
API Gateway の API グループでロギングが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
バージョン管理機能が無効になっている場合、データが上書きまたは削除されたときにデータが復元できない可能性があります。バージョン管理機能が有効になっている場合、評価結果は「準拠」です。 |
|
| |
各 Server Load Balancer (SLB) インスタンスでアクセスログ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、レイヤー 7 の監視が無効になっている SLB インスタンスには適用されません。 |
|
| |
各 AnalyticDB クラスタでログバックアップ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
各 ECS ディスクに自動スナップショットポリシーが指定されているかどうかを確認します。指定されている場合、評価結果は「準拠」です。 | CC7.4 | エンティティは、定義されたインシデント対応プログラムを実行することにより、特定されたセキュリティインシデントに対応し、必要に応じてセキュリティインシデントを理解、封じ込め、修復、および伝達します。 | |
ActionTrail にアクティブなトレイルが存在し、すべてのリージョンで生成されるすべてのタイプのイベントが追跡されているかどうかを確認します。存在する場合、評価結果は「準拠」です。リソースディレクトリの管理者がすべてのメンバーに適用されるトレイルを作成した場合、評価結果は「準拠」です。 |
|
| |
セキュリティセンターの各通知項目に通知方法が指定されているかどうかを確認します。指定されている場合、評価結果は「準拠」です。 | A1.2 | エンティティは、その目標を達成するために、環境保護、ソフトウェア、データバックアッププロセス、およびリカバリインフラストラクチャを承認、設計、開発または取得、実装、運用、承認、維持、および監視します。 | |
各 RDS インスタンスで削除保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、サブスクリプション ApsaraDB RDS インスタンスには適用されません。 | C1.1 | エンティティは、機密性に関するエンティティの目標を達成するために、機密情報を特定し、維持します。 | |
各 PolarDB クラスタで削除保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、サブスクリプション課金方式を使用するクラスタには適用されません。 | C1.1 | エンティティは、機密性に関するエンティティの目標を達成するために、機密情報を特定し、維持します。 | |
KMS の各カスタマーマスターキー (CMK) で削除保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、有効になっていない CMK には適用されません。サービスキーは削除できないため、キーがサービスキーである場合、このルールはキーに適用されません。 | C1.1 | エンティティは、機密性に関するエンティティの目標を達成するために、機密情報を特定し、維持します。 | |
各 RAM ユーザーグループに少なくとも 1 人の RAM ユーザーが含まれているかどうかを確認します。含まれている場合、評価結果は「準拠」です。 |
|
| |
RAM ユーザーグループに少なくとも 1 人の RAM ユーザーが含まれており、少なくとも 1 つのポリシーが RAM ユーザーグループにアタッチされているかどうかを確認します。含まれており、アタッチされている場合、評価結果は「準拠」です。 |
|
| |
ポリシーが少なくとも 1 つの RAM ユーザーグループ、RAM ロール、または RAM ユーザーにアタッチされているかどうかを確認します。アタッチされている場合、評価結果は「準拠」です。 | CC1.3 | COSO 原則 3: 経営陣は、取締役会の監督の下、目標の追求において構造、報告ライン、および適切な権限と責任を確立します。 | |
各 RAM ユーザー、RAM ユーザーグループ、および RAM ロールの操作とリソースパラメーターが * に設定されていないかどうかを確認します。設定されていない場合、評価結果は「準拠」です。アスタリスク (*) はスーパー管理者権限を示します。 |
|
| |
Enterprise Edition 以上のセキュリティセンターが使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。 |
|
| |
Cloud Firewall で資産保護が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、Cloud Firewall サービスを購入したユーザーにのみ適用されます。サービスを購入していないユーザー、または無料で使用しているユーザーについては、検出データは利用できません。 |
|
| |
セキュリティセンターコンソールで、指定されたレベルのリスクに対する脆弱性スキャンが構成されているかどうかを確認します。構成されている場合、評価結果は「準拠」です。 |
|
| |
セキュリティセンターコンソールで、指定されたタイプのプロアクティブ防御が有効になっているかどうかを確認します。有効になっている場合、構成は準拠と見なされます。 |
|
| |
指定された保護シナリオのルールが WAF 3.0 インスタンスで有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
インスタンスに CloudMonitor エージェントをインストールして、セキュリティ保護サービスを提供できます。インスタンスに CloudMonitor エージェントがインストールされている場合、評価結果は「準拠」です。このルールは、実行されていない ECS インスタンスには適用されません。 |
|
| |
コンソールアクセス機能が有効になっている各 RAM ユーザーのログイン設定で MFA が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
各実行中の ECS インスタンスに CloudMonitor エージェントがインストールされており、エージェントが想定どおりに実行されているかどうかを確認します。実行されている場合、評価結果は「準拠」です。このルールは、実行されていない ECS インスタンスには適用されません。 |
|
| |
各 Container Service for Kubernetes (ACK) クラスタのすべてのノードに CloudMonitor エージェントがインストールされており、CloudMonitor エージェントが想定どおりに実行されているかどうかを確認します。実行されている場合、評価結果は「準拠」です。 |
|
| |
各仮想プライベートクラウド (VPC) でフローログ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
KMS シークレットで自動回転機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、共通キーには適用されません。 |
|
| |
実行中の ECS インスタンスにパブリック IPv4 アドレスまたは Elastic IP アドレス (EIP) が割り当てられていないかどうかを確認します。割り当てられていない場合、評価結果は「準拠」です。 |
|
| |
各 OSS バケットでサーバー側暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | CC6.1 | エンティティは、セキュリティイベントから保護するために、保護された情報資産に対して論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目標を達成します。 | |
ログページの各 OSS バケットでロギング機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
各 OSS バケットの ACL ポリシーがインターネットからの読み取りアクセスを拒否しているかどうかを確認します。拒否している場合、評価結果は「準拠」です。 | CC6.1 | エンティティは、セキュリティイベントから保護するために、保護された情報資産に対して論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目標を達成します。 | |
各 Alibaba Cloud アカウントに AccessKey ペアが作成されているかどうかを確認します。作成されていない場合、評価結果は「準拠」です。 |
|
| |
各 ECS インスタンスでディスク暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | CC6.1 | エンティティは、セキュリティイベントから保護するために、保護された情報資産に対して論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目標を達成します。 | |
KMS シークレットで自動回転機能が有効になっており、指定された回転期間に基づいて自動回転が実行されるかどうかを確認します。実行される場合、評価結果は「準拠」です。 KMS の汎用シークレットでは定期的なキーローテーションを有効にできないため、このルールは汎用シークレットには適用されません。 | CC6.1 | エンティティは、セキュリティイベントから保護するために、保護された情報資産に対して論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目標を達成します。 | |
各 OSS バケットのバケットポリシーで、HTTPS 経由の読み取りおよび書き込みアクセスが許可され、HTTP 経由のアクセスが拒否されているかどうかを確認します。許可され、拒否されている場合、評価結果は「準拠」です。このルールは、バケットポリシーがない OSS バケットには適用されません。 |
|
| |
Function Compute でインターネットアクセスが無効になっているかどうかを確認します。無効になっている場合、評価結果は「準拠」です。 | CC6.1 | エンティティは、セキュリティイベントから保護するために、保護された情報資産に対して論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目標を達成します。 | |
すべての SSL 証明書の残りの有効期間が指定された値よりも大きいかどうかを確認します。大きい場合、評価結果は「準拠」です。デフォルト値: 30 。単位: 日。 |
|
| |
作成した NAS ファイルシステムでサーバー側暗号化機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | CC6.1 | エンティティは、セキュリティイベントから保護するために、保護された情報資産に対して論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目標を達成します。 | |
各 Elasticsearch クラスタのデータノードでディスク暗号化機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | CC6.1 | エンティティは、セキュリティイベントから保護するために、保護された情報資産に対して論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目標を達成します。 | |
KMS CMK のステータスが削除保留に設定されているかどうかを確認します。設定されている場合、評価結果は「準拠」です。 | CC6.1 | エンティティは、セキュリティイベントから保護するために、保護された情報資産に対して論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目標を達成します。 | |
各 AnalyticDB インスタンスでインターネットアクセスが無効になっているかどうかを確認します。無効になっている場合、評価結果は「準拠」です。 | CC6.1 | エンティティは、セキュリティイベントから保護するために、保護された情報資産に対して論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目標を達成します。 | |
各 OSS バケットのバケットポリシーがインターネットからの読み取りおよび書き込みアクセスを拒否しているかどうかを確認します。拒否している場合、評価結果は「準拠」です。 | CC6.1 | エンティティは、セキュリティイベントから保護するために、保護された情報資産に対して論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目標を達成します。 | |
RAM ユーザーの AccessKey ペアが作成された時刻とコンプライアンスチェックが開始された時刻の間隔が、指定された日数以下であるかどうかを確認します。以下である場合、評価結果は「準拠」です。デフォルト値: 90 。単位: 日。 |
|
| |
Elasticsearch クラスタでインターネットアクセスが無効になっている場合、評価結果は「準拠」です。 | CC6.1 および CC6.6 |
| |
各 RAM ユーザーに構成されたパスワードポリシーの設定が指定された値を満たしているかどうかを確認します。満たしている場合、評価結果は「準拠」です。 |
| エンティティは、セキュリティイベントから保護するために、保護された情報資産に対して論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目標を達成します。#エンティティは、エンティティの目標を達成するために、役割、責任、またはシステム設計と変更に基づいて、データ、ソフトウェア、機能、およびその他の保護された情報資産へのアクセスを承認、変更、または削除し、最小限の権限と職務の分離の概念を考慮します。 | |
推奨される ECS インスタンスが VPC 内にあるかどうかを確認します。 ECS インスタンスが VPC 内にある場合、評価結果は「準拠」です。必須パラメーターを構成し、ECS インスタンスの VPC 設定が指定された値と一致する場合、評価結果は「準拠」です。このルールは、実行状態にない ECS インスタンスには適用されません。 |
|
| |
ALB インスタンスの HTTP リスナーからヘッダーアクションが削除されているかどうかを確認します。削除されている場合、評価結果は「準拠」です。 |
|
| |
各 ApsaraDB RDS インスタンスにパブリックエンドポイントが構成されていないかどうかを確認します。構成されていない場合、評価結果は「準拠」です。サイバー攻撃を防ぐために、本番環境ではインターネット経由で RDS インスタンスに直接アクセスするように構成しないことをお勧めします。 |
|
| |
各 SLB インスタンスの指定されたポートで HTTPS リスナーが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、TCP または UDP リスナーのみが有効になっている SLB インスタンスには適用されません。 |
|
| |
インバウンドルールの認証オブジェクトパラメーターが 0.0.0.0/0 に設定されている場合、セキュリティグループの各インバウンドルールで、指定された範囲のポートからのアクセスのみが許可されているかどうかを確認します。許可されている場合、評価結果は「準拠」です。このルールは、クラウドサービスまたは VNO によって使用されるセキュリティグループには適用されません。 |
|
| |
各 Elasticsearch クラスタで HTTPS が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
サービスの関数を特定の VPC でのみ呼び出すことができるかどうかを確認します。できる場合、評価結果は「準拠」です。 |
|
| |
各 ApsaraDB RDS インスタンスのデータセキュリティ設定で透過的データ暗号化 (TDE) 機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、TDE 機能をサポートしていないインスタンスタイプまたはエディションには適用されません。 |
|
| |
各セキュリティグループの IP アドレスホワイトリストに 0.0.0.0/0 が追加され、危険なポートが無効になっているかどうかを確認します。追加され、無効になっている場合、評価結果は「準拠」です。セキュリティグループのインバウンド IP アドレスホワイトリストに 0.0.0.0/0 が追加されていない場合、高リスクポートが無効になっているかどうかに関係なく、構成は準拠と見なされます。優先度の高い認証ポリシーによって高リスクポートが拒否されている場合、評価結果は「準拠」です。このルールは、クラウドサービスまたは VNO によって使用されるセキュリティグループには適用されません。 |
|
| |
各 PolarDB インスタンスの IP ホワイトリストに 0.0.0.0/0 が追加されているかどうかを確認します。追加されていない場合、評価結果は「準拠」です。 | CC6.1 | エンティティは、セキュリティイベントから保護するために、保護された情報資産に対して論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目標を達成します。 | |
各 PolarDB クラスタのエンドポイントでインターネットアクセスが有効になっているかどうかを確認します。有効になっていない場合、評価結果は「準拠」です。 |
|
| |
各 EIP が ECS インスタンスまたは NAT ゲートウェイにアタッチされているかどうかを確認します。アタッチされている場合、評価結果は「準拠」です。 | CC6.2 | システム資格情報を発行し、システムアクセスを許可する前に、エンティティは、アクセスがエンティティによって管理される新しい内部および外部ユーザーを登録し、承認します。アクセスがエンティティによって管理されるユーザーの場合、ユーザーアクセスが承認されなくなると、ユーザーシステム資格情報は削除されます。 | |
各 RAM ユーザーでコンソールアクセスと API アクセスのいずれかの機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |
|
| |
各 RAM ユーザーにポリシーがアタッチされているかどうかを確認します。アタッチされている場合、評価結果は「準拠」です。 RAM ユーザーは、RAM ユーザーグループまたはロールから権限を継承することをお勧めします。 |
|
| |
各 RAM ユーザーが RAM ユーザーグループに属しているかどうかを確認します。属している場合、評価結果は「準拠」です。 |
|
| |
各 RAM ユーザーにアクティブな AccessKey ペアがない場合、評価結果は「準拠」です。 |
|
| |
各 ACK クラスタに ack-ram-authenticator コンポーネントがインストールされているかどうかを確認します。インストールされている場合、評価結果は「準拠」です。 | CC6.3 | エンティティは、エンティティの目標を達成するために、役割、責任、またはシステム設計と変更に基づいて、データ、ソフトウェア、機能、およびその他の保護された情報資産へのアクセスを承認、変更、または削除し、最小限の権限と職務の分離の概念を考慮します。 | |
各 ECS インスタンスに RAM ロールが割り当てられているかどうかを確認します。割り当てられている場合、評価結果は「準拠」です。 | CC6.3 | エンティティは、エンティティの目標を達成するために、役割、責任、またはシステム設計と変更に基づいて、データ、ソフトウェア、機能、およびその他の保護された情報資産へのアクセスを承認、変更、または削除し、最小限の権限と職務の分離の概念を考慮します。 | |
各 PolarDB クラスタのデータセキュリティ設定で TDE 機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | CC6.6 | エンティティは、システム境界外のソースからの脅威から保護するために、論理アクセスセキュリティ対策を実装します。 | |
API Gateway の API を認証するために、Alibaba Cloud アプリまたは特定のタイプのプラグインが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | CC6.6 | エンティティは、システム境界外のソースからの脅威から保護するために、論理アクセスセキュリティ対策を実装します。 | |
API Gateway の各 API グループにバインドされているドメイン名が WAF または WAF 3.0 に追加されているかどうかを確認します。追加されている場合、評価結果は「準拠」です。 | CC6.6 | エンティティは、システム境界外のソースからの脅威から保護するために、論理アクセスセキュリティ対策を実装します。 | |
スケーリング設定で ECS インスタンスに IPv4 アドレスを割り当てることができると指定されていない場合、評価結果は「準拠」です。 | CC6.6 | エンティティは、システム境界外のソースからの脅威から保護するために、論理アクセスセキュリティ対策を実装します。 | |
ECS インスタンスでセキュリティセンターによって、指定されたタイプまたは指定されたレベルの未修正の脆弱性が検出されたかどうかを確認します。このルールは、実行されていない ECS インスタンスには適用されません。 |
|
| |
現在のアカウントに属する各 ECS インスタンスにセキュリティセンターエージェントがインストールされているかどうかを確認します。インストールされている場合、評価結果は「準拠」です。 | CC6.6 | エンティティは、システム境界外のソースからの脅威から保護するために、論理アクセスセキュリティ対策を実装します。 | |
各 SLB インスタンスにパブリック IP アドレスが関連付けられているかどうかを確認します。関連付けられていない場合、評価結果は「準拠」です。 SLB インスタンスにパブリックネットワークにアクセスさせたくない場合は、SLB インスタンスにパブリック IP アドレスをバインドしないことをお勧めします。 SLB インスタンスにパブリックネットワークにアクセスさせたい場合は、EIP を購入し、必要な SLB インスタンスに EIP をバインドすることをお勧めします。 EIP はより高い柔軟性を提供します。また、EIP 帯域幅プランを使用してコストを削減することもできます。 | CC6.6 | エンティティは、システム境界外のソースからの脅威から保護するために、論理アクセスセキュリティ対策を実装します。 | |
NAT Gateway の DNAT エントリを使用して、指定された高リスクポートがマッピングされているかどうかを確認します。 | CC6.6 | エンティティは、システム境界外のソースからの脅威から保護するために、論理アクセスセキュリティ対策を実装します。 | |
各 SLB インスタンスが Alibaba Cloud によって発行された証明書を使用しているかどうかを確認します。使用している場合、評価結果は「準拠」です。 | CC6.7 | エンティティは、承認された内部および外部のユーザーとプロセスへの情報の送信、移動、および削除を制限し、送信、移動、または削除中に情報を保護して、エンティティの目標を達成します。 | |
各 SLB インスタンスの HTTPS リスナーが、指定されたセキュリティポリシースイートバージョンを使用しているかどうかを確認します。使用している場合、評価結果は「準拠」です。このルールは、HTTPS リスナーが構成されていない SLB インスタンスには適用されません。 | CC6.7 | エンティティは、承認された内部および外部のユーザーとプロセスへの情報の送信、移動、および削除を制限し、送信、移動、または削除中に情報を保護して、エンティティの目標を達成します。 | |
API Gateway の API グループのカスタムドメインに SSL 証明書が指定されているかどうかを確認します。指定されている場合、評価結果は「準拠」です。 | CC6.7 | エンティティは、承認された内部および外部のユーザーとプロセスへの情報の送信、移動、および削除を制限し、送信、移動、または削除中に情報を保護して、エンティティの目標を達成します。 | |
各 PolarDB クラスタで SSL 暗号化機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | CC6.7 | エンティティは、承認された内部および外部のユーザーとプロセスへの情報の送信、移動、および削除を制限し、送信、移動、または削除中に情報を保護して、エンティティの目標を達成します。 | |
Alibaba Cloud CDN によって高速化された各ドメイン名で Transport Layer Security (TLS) 1.3 プロトコルが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | CC6.7 | エンティティは、承認された内部および外部のユーザーとプロセスへの情報の送信、移動、および削除を制限し、送信、移動、または削除中に情報を保護して、エンティティの目標を達成します。 | |
Data Transmission Service (DTS) インスタンスの各同期タスクのソースデータベースとターゲットデータベースで SSL セキュア接続が使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。このルールは、同期タスクに対してのみ有効です。 | CC6.7 | エンティティは、承認された内部および外部のユーザーとプロセスへの情報の送信、移動、および削除を制限し、送信、移動、または削除中に情報を保護して、エンティティの目標を達成します。 | |
各 ECS インスタンスにパブリック IPv4 アドレスまたは EIP が指定されているかどうかを確認します。指定されていない場合、評価結果は「準拠」です。 | CC6.7 | エンティティは、承認された内部および外部のユーザーとプロセスへの情報の送信、移動、および削除を制限し、送信、移動、または削除中に情報を保護して、エンティティの目標を達成します。 | |
Container Registry インスタンスでパブリックアクセス ポータルが有効になっているかどうかを確認します。 Container Registry インスタンスでパブリックアクセス ポータルが有効になっていない場合、評価結果は「準拠」です。このルールは、Container Registry Enterprise Edition インスタンスに適用されます。 | CC6.7 | エンティティは、承認された内部および外部のユーザーとプロセスへの情報の送信、移動、および削除を制限し、送信、移動、または削除中に情報を保護して、エンティティの目標を達成します。 | |
各 Redis インスタンスで TSL または SSL 暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | CC6.7 | エンティティは、承認された内部および外部のユーザーとプロセスへの情報の送信、移動、および削除を制限し、送信、移動、または削除中に情報を保護して、エンティティの目標を達成します。 | |
Security Center (SAS) でイメージスキャン機能が有効になっており、修正が必要なイメージの脆弱性がないかどうかを確認します。有効になっており、脆弱性がない場合、評価結果は「準拠」です。イメージスキャン機能が無効になっている場合、またはイメージスキャンが実行されていないために脆弱性情報が見つからない場合は、このルールは適用されません。 |
|
| |
各 ACK クラスタのすべてのノードに CloudMonitor エージェントがインストールされており、想定どおりに実行されているかどうかを確認します。実行されている場合、評価結果は「準拠」です。 | CC7.1 | 目標を達成するために、エンティティは検出および監視手順を使用して、(1) 新しい脆弱性の導入につながる構成の変更、および (2) 新たに発見された脆弱性に対する感受性を特定します。 | |
Function Compute 2.0 の関数が指定された要件を満たしているかどうかを確認します。満たしている場合、評価結果は「準拠」です。 | CC7.2 | エンティティは、システムコンポーネントとそれらのコンポーネントの動作を監視し、エンティティの目標達成能力に影響を与える悪意のある行為、自然災害、およびエラーを示す異常がないか確認します。異常は、セキュリティイベントを表すかどうかを判断するために分析されます。 | |
指定された名前空間の各 Alibaba Cloud サービスに対して、CloudMonitor コンソールで少なくとも 1 つのアラートルールが構成されているかどうかを確認します。構成されている場合、評価結果は「準拠」です。 |
|
| |
各 AnalyticDB for MySQL クラスタで SQL エクスプローラーと監査機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | CC7.3 | エンティティは、セキュリティイベントを評価して、エンティティの目標達成の失敗 (セキュリティインシデント) につながる可能性があるか、またはつながったかどうかを判断し、もしそうであれば、そのような失敗を防ぎ、または対処するための措置を講じます。 | |
各 PolarDB クラスタで SQL 監査機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | CC7.4 | エンティティは、定義されたインシデント対応プログラムを実行することにより、特定されたセキュリティインシデントに対応し、必要に応じてセキュリティインシデントを理解、封じ込め、修復、および伝達します。 |