# FISC 安全対策基準 実務基準と Control Tower コントロールでの対策 Control Tower コントロールの総数は 362(2023/3/31 時点)。[動作=プロアクティブ] と [ガイダンス=必須] を除く 205 のコントロールを対象に、FISC 安全対策基準 第 10 版 実務基準の観点から有効化すべきコントロールを抽出しています。抽出対象のサービスは EC2, IAM, EBS, RDS, S3, CloudTrail, KMS, ECR, ECS, Lambda, GuardDuty です。 コントロールのサポート状況はリージョンによって異なります。大阪リージョンでサポートされていないコントロールの詳細については下記サイトを参照下さい。 [コントロールの制限事項](https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/limits.html#control-limitations)
[["FISC 実務基準"列でソートしたバージョン]](./fiscmapping-ct-guardrails.md) > NOTE: 有効化列の "◯" は適用を推奨 | # | ガイダンス | 重大度 | サービス | 統制目標 | 実装 | ID | 名前 | [対応する FISC 実務基準](./fiscmapping-ct-guardrails.md) | 有効化 | コメント | 解説ドキュメント | | --- | ---------- | ------ | ---------------- | ------------------------------------------ | ------------- | ----------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------- | ------ | ------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------- | | 1 | 強く推奨 | 高 | EC2 | コスト最適化 | Config ルール | AWS-GR_EC2_VOLUME_INUSE_CHECK | Amazon EBS ボリュームが Amazon EC2 インスタンスにアタッチされているかどうかを検出する | 実 100 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-unattached-ebs | | 2 | 強く推奨 | 高 | CloudTrail | データの完全性を保護 | Config ルール | AWS-GR_DETECT_CLOUDTRAIL_ENABLED_ON_MEMBER_ACCOUNTS | アカウントで AWS CloudTrail または CloudTrail Lake が有効になっているかどうかを検出します。 | 実 16 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#ensure-cloudtrail-enabled-recommended | | 3 | 強く推奨 | 高 | EC2 | ネットワークアクセスを制限 | Config ルール | AWS-GR_RESTRICTED_COMMON_PORTS | 無制限のインバウンド TCP トラフィックを許可しない | 実 15 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#rdp-disallow-internet | | 4 | 強く推奨 | 高 | EC2 | ネットワークアクセスを制限 | Config ルール | AWS-GR_RESTRICTED_SSH | SSH を介した無制限のインターネット接続を許可しない | 実 15 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#ssh-disallow-internet | | 5 | 強く推奨 | 高 | RDS | ネットワークアクセスを制限 | Config ルール | AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK | Amazon RDS データベースインスタンスへのパブリックアクセスを有効にしない | 実 3 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/data-residency-controls.html#lambda-function-public-access-prohibited | | 6 | 強く推奨 | 高 | RDS | ネットワークアクセスを制限 | Config ルール | AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED | Amazon RDS データベーススナップショットへのパブリックアクセスを有効にしない | 実 3, 実 25 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-rds-snapshot-public-access | | 7 | 強く推奨 | 高 | EBS | 保管中のデータを暗号化 | Config ルール | AWS-GR_ENCRYPTED_VOLUMES | Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームの暗号化が有効になっているかどうかを検出する | 実 3 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#ebs-enable-encryption | | 8 | 強く推奨 | 高 | RDS | 保管中のデータを暗号化 | Config ルール | AWS-GR_RDS_STORAGE_ENCRYPTED | Amazon RDS データベースインスタンスのストレージ暗号化が有効になっているかどうかを検出する | 実 3 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-rds-storage-unencrypted | | 9 | 強く推奨 | 高 | IAM | 最小特権を強制 | SCP | AWS-GR_RESTRICT_ROOT_USER_ACCESS_KEYS | ルートユーザーのアクセスキーの作成を許可しない | 実 9 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys | | 10 | 強く推奨 | 高 | IAM | 最小特権を強制 | SCP | AWS-GR_RESTRICT_ROOT_USER | ルートユーザーとしてのアクションを許可しない | 実 9 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions | | 11 | 強く推奨 | 高 | IAM | 最小特権を強制 | Config ルール | AWS-GR_ROOT_ACCOUNT_MFA_ENABLED | ルートユーザーの MFA が有効になっているかどうかを検出する | 実 9 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#enable-root-mfa | | 12 | 強く推奨 | 高 | S3 | 最小特権を強制 | Config ルール | AWS-GR_S3_BUCKET_PUBLIC_READ_PROHIBITED | Amazon S3 バケットへのパブリック読み取りアクセスを許可しない | 実 3, 実 25 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#s3-disallow-public-read | | 13 | 強く推奨 | 高 | S3 | 最小特権を強制 | Config ルール | AWS-GR_S3_BUCKET_PUBLIC_WRITE_PROHIBITED | Amazon S3 バケットへのパブリック書き込みアクセスを許可しない | 実 3, 実 25 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#s3-disallow-public-write | | 14 | 強く推奨 | 高 | EC2 | 可用性を改善 | Config ルール | AWS-GR_EBS_OPTIMIZED_INSTANCE | Amazon EC2 インスタンスの Amazon EBS 最適化が有効になっているかどうかを検出する | - | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-not-ebs-optimized | | 15 | 選択的 | 重大 | KMS | データの完全性を保護 | Config ルール | SH.KMS.3 | AWS KMS キーは意図せずに削除しない | 実 30 | | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-kms-3 | | 16 | 選択的 | 重大 | EC2 | ネットワークアクセスを制限 | Config ルール | SH.EC2.19 | セキュリティグループは、リスクの高いポートへの無制限のアクセスを許可すべきではない | 実 15 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-19 | | 17 | 選択的 | 重大 | Lambda | ネットワークアクセスを制限 | Config ルール | SH.Lambda.1 | Lambda 関数ポリシーではパブリックアクセスを禁止すべき | 実 15 | | VPC Lambda の利用で代替できるため | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-lambda-1 | | 18 | 選択的 | 重大 | RDS | ネットワークアクセスを制限 | Config ルール | SH.RDS.2 | RDS DB インスタンスは、パブリックアクセスを禁止する必要がある | 実 3 | | 代わりに No5 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-2 | | 19 | 選択的 | 重大 | EC2 | 最小特権を強制 | Config ルール | SH.EC2.1 | EBS スナップショットはパブリックに復元可能であってはならない | 実 3, 実 25 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-1 | | 20 | 選択的 | 重大 | IAM | 最小特権を強制 | Config ルール | SH.IAM.6 | ルートユーザーにはハードウェア MFA を有効にする必要があります | 実 9 | | 代わりに No11 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-6 | | 21 | 選択的 | 重大 | IAM | 最小特権を強制 | Config ルール | SH.IAM.4 | IAM ルートユーザーのアクセスキーは使用しない | 実 9 | | 代わりに No9 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-4 | | 22 | 選択的 | 重大 | S3 | 最小特権を強制 | Config ルール | SH.S3.2 | S3 バケットはパブリック読み取りアクセスを禁止する | 実 3, 実 25 | | 代わりに No12 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-2 | | 23 | 選択的 | 重大 | S3 | 最小特権を強制 | Config ルール | SH.S3.3 | S3 バケットはパブリック書き込みアクセスを禁止する | 実 3, 実 25 | | 代わりに No13 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-3 | | 24 | 選択的 | 重大 | RDS | 最小特権を強制、データの完全性を保護 | Config ルール | SH.RDS.1 | RDS スナップショットはプライベートにする必要があります | 実 3, 実 25 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-1 | | 25 | 選択的 | 高 | GuardDuty | インシデント対応のために準備 | Config ルール | SH.GuardDuty.1 | GuardDuty を有効にする必要があります | 実 16 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-guardduty-1 | | 26 | 選択的 | 高 | CloudTrail | データの完全性を保護 | Config ルール | SH.CloudTrail.1 | CloudTrail を有効にして、読み取りと書き込みの管理イベントを含むマルチリージョントレールを少なくとも 1 つ設定する必要があります。 | 実 16 | | No2 を有効化するので、こちらはオプション | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-cloudtrail-1 | | 27 | 選択的 | 高 | EC2 Auto Scaling | ネットワークアクセスを制限 | Config ルール | SH.Autoscaling.5 | Auto Scaling グループ起動設定を使用して起動された Amazon EC2 インスタンスには、パブリック IP アドレスがあってはなりません | 実 15 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-autoscaling-5 | | 28 | 選択的 | 高 | IAM | 最小特権を強制 | Config ルール | SH.IAM.1 | IAM ポリシーでは完全な「\*」管理者権限を許可すべきではありません | 実 9 | | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-1 | | 29 | 選択的 | 高 | S3 | 最小特権を強制 | Config ルール | SH.S3.6 | バケットポリシーで他の AWS アカウントに付与される S3 権限は制限する必要がある | 実 3, 実 25 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-6 | | 30 | 選択的 | 高 | S3 | 最小特権を強制 | Config ルール | SH.S3.8 | S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります | 実 3, 実 25 | | 代わりに No47 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-8 | | 31 | 選択的 | 高 | EC2 | 最小特権を強制、ネットワークアクセスを制限 | Config ルール | SH.EC2.18 | セキュリティグループは、許可されたポートのみ無制限の受信トラフィックを許可する | 実 14 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-18 | | 32 | 選択的 | 高 | EC2 | 最小特権を強制、ネットワークアクセスを制限 | Config ルール | SH.EC2.2 | VPC のデフォルトセキュリティグループでは、インバウンドとアウトバウンドのトラフィックを許可しない | 実 14 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-2 | | 33 | 選択的 | 高 | ECR | 脆弱性を管理 | Config ルール | SH.ECR.1 | ECR プライベートリポジトリにはイメージスキャンを設定する必要があります | 実 21 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ecr-1 | | 34 | 選択的 | 高 | ECS | 脆弱性を管理 | Config ルール | SH.ECS.1 | Amazon ECS タスク定義には、安全なネットワークモードとユーザー定義が必要です。 | 実 14 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ecs-1 | | 35 | 選択的 | 高 | EC2 | 設定を保護 | Config ルール | SH.EC2.8 | EC2 インスタンスはインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります | 実 14 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-8 | | 36 | 選択的 | 高 | EC2 Auto Scaling | 設定を保護 | Config ルール | SH.AutoScaling.3 | Auto Scaling グループの起動設定では、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように EC2 インスタンスを設定する必要があります | 実 14 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-autoscaling-3 | | 37 | 選択的 | 中 | RDS | 回復力を改善 | Config ルール | SH.RDS.11 | RDS インスタンスでは自動バックアップを有効にする必要があります | 実 39 | | AWS Backup もあるため必須とはしない | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-11 | | 38 | 選択的 | 中 | RDS | 可用性を改善 | Config ルール | SH.RDS.5 | RDS DB インスタンスは複数のアベイラビリティーゾーンで構成する必要があります | 実 84 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-5 | | 39 | 選択的 | 中 | IAM | 最小特権を強制 | Config ルール | AWS-GR_IAM_USER_MFA_ENABLED | IAM ユーザーの MFA が有効になっている | 実 9 | | 代わりに No40 を有効化 | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/elective-controls.html#disallow-access-mfa | | 40 | 選択的 | 中 | IAM | 最小特権を強制 | Config ルール | AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS | AWS コンソールにアクセスする IAM ユーザーの MFA が有効になっている | 実 9 | ◯ | MFA の利用は一般化してきている | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/elective-controls.html#disallow-console-access-mfa | | 41 | 選択的 | 中 | IAM | 最小特権を強制 | Config ルール | SH.IAM.5 | MFA は、コンソールパスワードを持つすべての IAM ユーザーに対して有効化する必要があります | 実 9 | | 代わりに No42 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-5 | | 42 | 選択的 | 中 | IAM | 最小特権を強制 | Config ルール | SH.IAM.8 | 未使用の IAM ユーザー認証情報は削除する必要がある | 実 9 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-8 | | 43 | 選択的 | 中 | KMS | 最小特権を強制 | Config ルール | SH.KMS.1 | IAM カスタマー管理ポリシーでは、すべての KMS キーに対する復号化アクションを許可すべきではありません | 実 3 | | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-kms-1 | | 44 | 選択的 | 中 | KMS | 最小特権を強制 | Config ルール | SH.KMS.2 | IAM プリンシパルには、すべての KMS キーに対する復号アクションを許可する IAM インラインポリシーがあってはなりません。 | 実 3 | | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-kms-2 | | 45 | 選択的 | 中 | S3 | 最小特権を強制 | Config ルール | AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC | パブリックアクセスをブロックする Amazon S3 の設定がアカウントで true に設定されている | 実 3, 実 25 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/data-residency-controls.html#s3-account-level-public-access-blocks-periodic | | 46 | 選択的 | 中 | S3 | 最小特権を強制 | Config ルール | SH.S3.1 | S3 ブロックパブリックアクセス設定を有効にする必要があります | 実 3, 実 25 | | 代わりに No45 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-1 | | 47 | 選択的 | 中 | S3 | 最小特権を強制 | Config ルール | SH.S3.12 | S3 アクセスコントロールリスト (ACL) はバケットへのユーザーアクセスの管理には使用しない | 実 3, 実 25 | ◯ | ACL の利用は現在非推奨 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-12 | | 48 | 選択的 | 中 | EC2 | 設定を保護 | Config ルール | SH.EC2.22 | 未使用の EC2 セキュリティグループは削除する必要があります | 実 15, 実 48 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-22 | | 49 | 選択的 | 中 | IAM | 設定を保護 | Config ルール | SH.IAM.7 | IAM ユーザーのパスワードポリシーには厳密な設定が必要です | 実 9 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-7 | | 50 | 選択的 | 中 | CloudTrail | データの完全性を保護 | Config ルール | SH.CloudTrail.4 | CloudTrail ログファイルの検証を有効にする | 実 10, 実 16 | | 必須コントロール「CloudTrail のログファイルの整合性検証を有効にする」と同じ | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-cloudtrail-4 | | 51 | 選択的 | 中 | EC2 | データの完全性を保護 | Config ルール | SH.EC2.6 | VPC フローロギングはすべての VPC で有効にする必要があります | 実 10, 実 16 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-6 | | 52 | 選択的 | 中 | RDS | データの完全性を保護 | Config ルール | SH.RDS.9 | データベースロギングを有効にする必要がある | 実 10 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-9 | | 53 | 選択的 | 中 | S3 | データの完全性を保護 | SCP | AWS-GR_AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED | Amazon S3 バケットのバケットポリシーの変更を許可しない | 実 3, 実 25 | | 有効化した S3 バケットの作成は、Control Tower の組み込みロールである `AWSControlTowerExecution` ロール以外では実行できなくなる | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/elective-controls.html#log-archive-policy-changes | | 54 | 選択的 | 中 | S3 | データの完全性を保護 | SCP | AWS-GR_AUDIT_BUCKET_LOGGING_ENABLED | Amazon S3 バケットのログ記録設定の変更を許可しない | 実 10 | | 有効にすると ControlTower 以外はアクセスログ設定の変更ができなくなる | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/elective-controls.html#log-archive-access-enabled | | 55 | 選択的 | 中 | S3 | データの完全性を保護 | Config ルール | SH.S3.9 | S3 バケットサーバーアクセスロギングを有効にする必要があります | 実 10 | | 全体で強制するかは組織のポリシーで判断 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-9 | | 56 | 選択的 | 中 | S3 | 転送中のデータを暗号化 | Config ルール | SH.S3.5 | S3 バケットには Secure Socket Layer を使用するリクエストが必要です | 実 7 | ◯ | | | | 57 | 選択的 | 中 | EC2 | ネットワークアクセスを制限 | SCP | AWS-GR_DISALLOW_VPC_INTERNET_ACCESS | お客様が管理する Amazon VPC インスタンスのインターネットアクセスを禁止する | 実 15 | | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/data-residency-controls.html#disallow-vpc-internet-access | | 58 | 選択的 | 中 | EC2 | ネットワークアクセスを制限 | Config ルール | AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW | インターネットゲートウェイ (IGW) のルートテーブルにパブリックルートが存在するかどうかを検出する。 | 実 15 | | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/data-residency-controls.html#no-unrestricted-route-to-igw | | 59 | 選択的 | 中 | EC2 | ネットワークアクセスを制限 | Config ルール | SH.EC2.15 | EC2 サブネットはパブリック IP アドレスを自動的に割り当てるべきではない | 実 15 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-15 | | 60 | 選択的 | 中 | Lambda | ネットワークアクセスを制限 | Config ルール | AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED | Lambda リソースにアタッチされた AWS Lambda 関数ポリシーでパブリックアクセスをブロックすること | 実 15 | | 代わりに No17 を有効化 | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/data-residency-controls.html#lambda-function-public-access-prohibited | | 61 | 選択的 | 中 | CloudTrail | 保管中のデータを暗号化 | Config ルール | SH.CloudTrail.2 | CloudTrail では保管時の暗号化を有効にする必要があります | 実 3 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-cloudtrail-2 | | 62 | 選択的 | 中 | EBS | 保管中のデータを暗号化 | Config ルール | SH.EC2.3 | アタッチされた EBS ボリュームは保管時に暗号化する必要があります | 実 3 | | 代わりに No7 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-3 | | 63 | 選択的 | 中 | EBS | 保管中のデータを暗号化 | Config ルール | SH.EC2.7 | EBS のデフォルト暗号化を有効にする必要があります | 実 3 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-7 | | 64 | 選択的 | 中 | RDS | 保管中のデータを暗号化 | Config ルール | SH.RDS.3 | RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります | 実 3 | | 代わりに No8 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-3 | | 65 | 選択的 | 中 | RDS | 保管中のデータを暗号化 | Config ルール | SH.RDS.4 | RDS クラスタースナップショットとデータベーススナップショットは保存時に暗号化する必要があります | 実 3 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-4 | | 66 | 選択的 | 中 | S3 | 保管中のデータを暗号化 | Config ルール | SH.S3.4 | S3 バケットではサーバー側の暗号化を有効にする必要があります | 実 3 | | S3 バケットはデフォルト暗号化されるため、指定不要 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-4 | | 67 | 選択的 | 中 | S3 | 保管中のデータを暗号化 | SCP | AWS-GR_AUDIT_BUCKET_ENCRYPTION_ENABLED | Amazon S3 バケットの暗号化設定の変更を許可しない | 実 3 | | 有効化した S3 バケットの作成は、Control Tower の組み込みロールである `AWSControlTowerExecution` ロール以外では実行できなくなる | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/elective-controls.html#log-archive-encryption-enabled | | 68 | 選択的 | 低 | CloudTrail | データの完全性を保護 | Config ルール | SH.CloudTrail.5 | CloudTrail トレイルは Amazon CloudWatch Logs と統合する必要があります | 実 14, 実 16 | ◯ | CT 環境下ではこの設定がデフォルト | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-cloudtrail-5 | | 69 | 選択的 | 低 | EC2 | 設定を保護 | Config ルール | SH.EC2.16 | 未使用のネットワークアクセスコントロールリストは削除する必要があります | 実 15, 実 48 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-16 | | 70 | 選択的 | 低 | RDS | 可用性を改善 | Config ルール | SH.RDS.8 | RDS DB インスタンスでは削除保護を有効にする必要があります | 実 100 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-8 |