# FISC 安全対策基準 実務基準と Control Tower コントロールでの対策 Control Tower コントロールの総数は 362(2023/3/31 時点)。[動作=プロアクティブ] と [ガイダンス=必須] を除く 205 のコントロールを対象に、FISC 安全対策基準 第 10 版 実務基準の観点から有効化すべきコントロールを抽出しています。抽出対象のサービスは EC2, IAM, EBS, RDS, S3, CloudTrail, KMS, ECR, ECS, Lambda, GuardDuty です。 コントロールのサポート状況はリージョンによって異なります。大阪リージョンでサポートされていないコントロールの詳細については下記サイトを参照下さい。 [コントロールの制限事項](https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/limits.html#control-limitations)
[["ガイダンス"列でソートしたバージョン]](./ct-guardrails-for-fisc.md) > NOTE: 有効化列の "◯" は適用を推奨、"-"は要件に応じて適用可否を判断 | FISC 実務基準 | ガイダンス | 重大度 | サービス | 統制目標 | 実装 | ID | 名前 | [#](./ct-guardrails-for-fisc.md) | 有効化 | コメント | 解説ドキュメント | | ------------- | ---------- | ------ | ---------------- | ------------------------------------------ | ------------- | ----------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------- | ------ | ------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------- | | 実 3 | 強く推奨 | 高 | RDS | ネットワークアクセスを制限 | Config ルール | AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK | Amazon RDS データベースインスタンスへのパブリックアクセスを有効にしない | 5 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/data-residency-controls.html#lambda-function-public-access-prohibited | | 実 3 | 強く推奨 | 高 | EBS | 保管中のデータを暗号化 | Config ルール | AWS-GR_ENCRYPTED_VOLUMES | Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームの暗号化が有効になっているかどうかを検出する | 7 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#ebs-enable-encryption | | 実 3 | 強く推奨 | 高 | RDS | 保管中のデータを暗号化 | Config ルール | AWS-GR_RDS_STORAGE_ENCRYPTED | Amazon RDS データベースインスタンスのストレージ暗号化が有効になっているかどうかを検出する | 8 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-rds-storage-unencrypted | | 実 3 | 選択的 | 重大 | RDS | ネットワークアクセスを制限 | Config ルール | SH.RDS.2 | RDS DB インスタンスは、パブリックアクセスを禁止する必要がある | 18 | | 代わりに No5 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-2 | | 実 3 | 選択的 | 中 | KMS | 最小特権を強制 | Config ルール | SH.KMS.1 | IAM カスタマー管理ポリシーでは、すべての KMS キーに対する復号化アクションを許可すべきではありません | 43 | | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-kms-1 | | 実 3 | 選択的 | 中 | KMS | 最小特権を強制 | Config ルール | SH.KMS.2 | IAM プリンシパルには、すべての KMS キーに対する復号アクションを許可する IAM インラインポリシーがあってはなりません。 | 44 | | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-kms-2 | | 実 3 | 選択的 | 中 | CloudTrail | 保管中のデータを暗号化 | Config ルール | SH.CloudTrail.2 | CloudTrail では保管時の暗号化を有効にする必要があります | 61 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-cloudtrail-2 | | 実 3 | 選択的 | 中 | EBS | 保管中のデータを暗号化 | Config ルール | SH.EC2.3 | アタッチされた EBS ボリュームは保管時に暗号化する必要があります | 62 | | 代わりに No7 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-3 | | 実 3 | 選択的 | 中 | EBS | 保管中のデータを暗号化 | Config ルール | SH.EC2.7 | EBS のデフォルト暗号化を有効にする必要があります | 63 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-7 | | 実 3 | 選択的 | 中 | RDS | 保管中のデータを暗号化 | Config ルール | SH.RDS.3 | RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります | 64 | | 代わりに No8 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-3 | | 実 3 | 選択的 | 中 | RDS | 保管中のデータを暗号化 | Config ルール | SH.RDS.4 | RDS クラスタースナップショットとデータベーススナップショットは保存時に暗号化する必要があります | 65 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-4 | | 実 3 | 選択的 | 中 | S3 | 保管中のデータを暗号化 | Config ルール | SH.S3.4 | S3 バケットではサーバー側の暗号化を有効にする必要があります | 66 | | S3 バケットはデフォルト暗号化されるため、指定不要 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-4 | | 実 3 | 選択的 | 中 | S3 | 保管中のデータを暗号化 | SCP | AWS-GR_AUDIT_BUCKET_ENCRYPTION_ENABLED | Amazon S3 バケットの暗号化設定の変更を許可しない | 67 | | 有効化した S3 バケットの作成は、Control Tower の組み込みロールである `AWSControlTowerExecution` ロール以外では実行できなくなる | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/elective-controls.html#log-archive-encryption-enabled | | 実 3 | 強く推奨 | 高 | RDS | ネットワークアクセスを制限 | Config ルール | AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED | Amazon RDS データベーススナップショットへのパブリックアクセスを有効にしない | 6 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-rds-snapshot-public-access | | 実 3 | 強く推奨 | 高 | S3 | 最小特権を強制 | Config ルール | AWS-GR_S3_BUCKET_PUBLIC_READ_PROHIBITED | Amazon S3 バケットへのパブリック読み取りアクセスを許可しない | 12 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#s3-disallow-public-read | | 実 3 | 強く推奨 | 高 | S3 | 最小特権を強制 | Config ルール | AWS-GR_S3_BUCKET_PUBLIC_WRITE_PROHIBITED | Amazon S3 バケットへのパブリック書き込みアクセスを許可しない | 13 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#s3-disallow-public-write | | 実 3 | 選択的 | 重大 | EC2 | 最小特権を強制 | Config ルール | SH.EC2.1 | EBS スナップショットはパブリックに復元可能であってはならない | 19 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-1 | | 実 3 | 選択的 | 重大 | S3 | 最小特権を強制 | Config ルール | SH.S3.2 | S3 バケットはパブリック読み取りアクセスを禁止する | 22 | | 代わりに No12 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-2 | | 実 3 | 選択的 | 重大 | S3 | 最小特権を強制 | Config ルール | SH.S3.3 | S3 バケットはパブリック書き込みアクセスを禁止する | 23 | | 代わりに No13 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-3 | | 実 3 | 選択的 | 重大 | RDS | 最小特権を強制、データの完全性を保護 | Config ルール | SH.RDS.1 | RDS スナップショットはプライベートにする必要があります | 24 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-1 | | 実 3 | 選択的 | 高 | S3 | 最小特権を強制 | Config ルール | SH.S3.6 | バケットポリシーで他の AWS アカウントに付与される S3 権限は制限する必要がある | 29 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-6 | | 実 3 | 選択的 | 高 | S3 | 最小特権を強制 | Config ルール | SH.S3.8 | S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります | 30 | | 代わりに No47 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-8 | | 実 3 | 選択的 | 中 | S3 | 最小特権を強制 | Config ルール | AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC | パブリックアクセスをブロックする Amazon S3 の設定がアカウントで true に設定されている | 45 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/data-residency-controls.html#s3-account-level-public-access-blocks-periodic | | 実 3 | 選択的 | 中 | S3 | 最小特権を強制 | Config ルール | SH.S3.1 | S3 ブロックパブリックアクセス設定を有効にする必要があります | 46 | | 代わりに No45 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-1 | | 実 3 | 選択的 | 中 | S3 | 最小特権を強制 | Config ルール | SH.S3.12 | S3 アクセスコントロールリスト (ACL) はバケットへのユーザーアクセスの管理には使用しない | 47 | ◯ | ACL の利用は現在非推奨 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-12 | | 実 3 | 選択的 | 中 | S3 | データの完全性を保護 | SCP | AWS-GR_AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED | Amazon S3 バケットのバケットポリシーの変更を許可しない | 53 | | 有効化した S3 バケットの作成は、Control Tower の組み込みロールである `AWSControlTowerExecution` ロール以外では実行できなくなる | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/elective-controls.html#log-archive-policy-changes | | 実 7 | 選択的 | 中 | S3 | 転送中のデータを暗号化 | Config ルール | SH.S3.5 | S3 バケットには Secure Socket Layer を使用するリクエストが必要です | 56 | ◯ | | | | 実 9 | 強く推奨 | 高 | IAM | 最小特権を強制 | SCP | AWS-GR_RESTRICT_ROOT_USER_ACCESS_KEYS | ルートユーザーのアクセスキーの作成を許可しない | 9 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys | | 実 9 | 強く推奨 | 高 | IAM | 最小特権を強制 | SCP | AWS-GR_RESTRICT_ROOT_USER | ルートユーザーとしてのアクションを許可しない | 10 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions | | 実 9 | 強く推奨 | 高 | IAM | 最小特権を強制 | Config ルール | AWS-GR_ROOT_ACCOUNT_MFA_ENABLED | ルートユーザーの MFA が有効になっているかどうかを検出する | 11 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#enable-root-mfa | | 実 9 | 選択的 | 重大 | IAM | 最小特権を強制 | Config ルール | SH.IAM.6 | ルートユーザーにはハードウェア MFA を有効にする必要があります | 20 | | 代わりに No11 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-6 | | 実 9 | 選択的 | 重大 | IAM | 最小特権を強制 | Config ルール | SH.IAM.4 | IAM ルートユーザーのアクセスキーは使用しない | 21 | | 代わりに No9 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-4 | | 実 9 | 選択的 | 高 | IAM | 最小特権を強制 | Config ルール | SH.IAM.1 | IAM ポリシーでは完全な「\*」管理者権限を許可すべきではありません | 28 | | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-1 | | 実 9 | 選択的 | 中 | IAM | 最小特権を強制 | Config ルール | AWS-GR_IAM_USER_MFA_ENABLED | IAM ユーザーの MFA が有効になっている | 39 | | 代わりに No40 を有効化 | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/elective-controls.html#disallow-access-mfa | | 実 9 | 選択的 | 中 | IAM | 最小特権を強制 | Config ルール | AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS | AWS コンソールにアクセスする IAM ユーザーの MFA が有効になっている | 40 | ◯ | MFA の利用は一般化してきている | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/elective-controls.html#disallow-console-access-mfa | | 実 9 | 選択的 | 中 | IAM | 最小特権を強制 | Config ルール | SH.IAM.5 | MFA は、コンソールパスワードを持つすべての IAM ユーザーに対して有効化する必要があります | 41 | | 代わりに No42 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-5 | | 実 9 | 選択的 | 中 | IAM | 最小特権を強制 | Config ルール | SH.IAM.8 | 未使用の IAM ユーザー認証情報は削除する必要がある | 42 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-8 | | 実 9 | 選択的 | 中 | IAM | 設定を保護 | Config ルール | SH.IAM.7 | IAM ユーザーのパスワードポリシーには厳密な設定が必要です | 49 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-7 | | 実 10 | 選択的 | 中 | RDS | データの完全性を保護 | Config ルール | SH.RDS.9 | データベースロギングを有効にする必要がある | 52 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-9 | | 実 10 | 選択的 | 中 | S3 | データの完全性を保護 | SCP | AWS-GR_AUDIT_BUCKET_LOGGING_ENABLED | Amazon S3 バケットのログ記録設定の変更を許可しない | 54 | | 有効にすると ControlTower 以外はアクセスログ設定の変更ができなくなる | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/elective-controls.html#log-archive-access-enabled | | 実 10 | 選択的 | 中 | CloudTrail | データの完全性を保護 | Config ルール | SH.CloudTrail.4 | CloudTrail ログファイルの検証を有効にする | 50 | | 必須コントロール「CloudTrail のログファイルの整合性検証を有効にする」と同じ | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-cloudtrail-4 | | 実 10 | 選択的 | 中 | EC2 | データの完全性を保護 | Config ルール | SH.EC2.6 | VPC フローロギングはすべての VPC で有効にする必要があります | 51 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-6 | | 実 10 | 選択的 | 中 | S3 | データの完全性を保護 | Config ルール | SH.S3.9 | S3 バケットサーバーアクセスロギングを有効にする必要があります | 55 | | 全体で強制するかは組織のポリシーで判断 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-9 | | 実 14 | 選択的 | 高 | EC2 | 最小特権を強制、ネットワークアクセスを制限 | Config ルール | SH.EC2.18 | セキュリティグループは、許可されたポートのみ無制限の受信トラフィックを許可する | 31 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-18 | | 実 14 | 選択的 | 高 | EC2 | 最小特権を強制、ネットワークアクセスを制限 | Config ルール | SH.EC2.2 | VPC のデフォルトセキュリティグループでは、インバウンドとアウトバウンドのトラフィックを許可しない | 32 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-2 | | 実 14 | 選択的 | 高 | ECS | 脆弱性を管理 | Config ルール | SH.ECS.1 | Amazon ECS タスク定義には、安全なネットワークモードとユーザー定義が必要です。 | 34 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ecs-1 | | 実 14 | 選択的 | 高 | EC2 | 設定を保護 | Config ルール | SH.EC2.8 | EC2 インスタンスはインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります | 35 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-8 | | 実 14 | 選択的 | 高 | EC2 Auto Scaling | 設定を保護 | Config ルール | SH.AutoScaling.3 | Auto Scaling グループの起動設定では、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように EC2 インスタンスを設定する必要があります | 36 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-autoscaling-3 | | 実 14 | 選択的 | 低 | CloudTrail | データの完全性を保護 | Config ルール | SH.CloudTrail.5 | CloudTrail トレイルは Amazon CloudWatch Logs と統合する必要があります | 68 | ◯ | CT 環境下ではこの設定がデフォルト | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-cloudtrail-5 | | 実 15 | 強く推奨 | 高 | EC2 | ネットワークアクセスを制限 | Config ルール | AWS-GR_RESTRICTED_COMMON_PORTS | 無制限のインバウンド TCP トラフィックを許可しない | 3 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#rdp-disallow-internet | | 実 15 | 強く推奨 | 高 | EC2 | ネットワークアクセスを制限 | Config ルール | AWS-GR_RESTRICTED_SSH | SSH を介した無制限のインターネット接続を許可しない | 4 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#ssh-disallow-internet | | 実 15 | 選択的 | 重大 | EC2 | ネットワークアクセスを制限 | Config ルール | SH.EC2.19 | セキュリティグループは、リスクの高いポートへの無制限のアクセスを許可すべきではない | 16 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-19 | | 実 15 | 選択的 | 重大 | Lambda | ネットワークアクセスを制限 | Config ルール | SH.Lambda.1 | Lambda 関数ポリシーではパブリックアクセスを禁止すべき | 17 | | VPC Lambda の利用で代替できるため | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-lambda-1 | | 実 15 | 選択的 | 高 | EC2 Auto Scaling | ネットワークアクセスを制限 | Config ルール | SH.Autoscaling.5 | Auto Scaling グループ起動設定を使用して起動された Amazon EC2 インスタンスには、パブリック IP アドレスがあってはなりません | 27 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-autoscaling-5 | | 実 15 | 選択的 | 中 | EC2 | ネットワークアクセスを制限 | SCP | AWS-GR_DISALLOW_VPC_INTERNET_ACCESS | お客様が管理する Amazon VPC インスタンスのインターネットアクセスを禁止する | 57 | | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/data-residency-controls.html#disallow-vpc-internet-access | | 実 15 | 選択的 | 中 | EC2 | ネットワークアクセスを制限 | Config ルール | AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW | インターネットゲートウェイ (IGW) のルートテーブルにパブリックルートが存在するかどうかを検出する。 | 58 | | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/data-residency-controls.html#no-unrestricted-route-to-igw | | 実 15 | 選択的 | 中 | EC2 | ネットワークアクセスを制限 | Config ルール | SH.EC2.15 | EC2 サブネットはパブリック IP アドレスを自動的に割り当てるべきではない | 59 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-15 | | 実 15 | 選択的 | 中 | Lambda | ネットワークアクセスを制限 | Config ルール | AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED | Lambda リソースにアタッチされた AWS Lambda 関数ポリシーでパブリックアクセスをブロックすること | 60 | | 代わりに No17 を有効化 | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/data-residency-controls.html#lambda-function-public-access-prohibited | | 実 15 | 選択的 | 中 | EC2 | 設定を保護 | Config ルール | SH.EC2.22 | 未使用の EC2 セキュリティグループは削除する必要があります | 48 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-22 | | 実 15 | 選択的 | 低 | EC2 | 設定を保護 | Config ルール | SH.EC2.16 | 未使用のネットワークアクセスコントロールリストは削除する必要があります | 69 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-16 | | 実 16 | 強く推奨 | 高 | CloudTrail | データの完全性を保護 | Config ルール | AWS-GR_DETECT_CLOUDTRAIL_ENABLED_ON_MEMBER_ACCOUNTS | アカウントで AWS CloudTrail または CloudTrail Lake が有効になっているかどうかを検出します。 | 2 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#ensure-cloudtrail-enabled-recommended | | 実 16 | 選択的 | 高 | GuardDuty | インシデント対応のために準備 | Config ルール | SH.GuardDuty.1 | GuardDuty を有効にする必要があります | 25 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-guardduty-1 | | 実 16 | 選択的 | 高 | CloudTrail | データの完全性を保護 | Config ルール | SH.CloudTrail.1 | CloudTrail を有効にして、読み取りと書き込みの管理イベントを含むマルチリージョントレールを少なくとも 1 つ設定する必要があります。 | 26 | | No2 を有効化するので、こちらはオプション | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-cloudtrail-1 | | 実 16 | 選択的 | 中 | CloudTrail | データの完全性を保護 | Config ルール | SH.CloudTrail.4 | CloudTrail ログファイルの検証を有効にする | 50 | | 必須コントロール「CloudTrail のログファイルの整合性検証を有効にする」と同じ | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-cloudtrail-4 | | 実 16 | 選択的 | 中 | EC2 | データの完全性を保護 | Config ルール | SH.EC2.6 | VPC フローロギングはすべての VPC で有効にする必要があります | 51 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-6 | | 実 16 | 選択的 | 低 | CloudTrail | データの完全性を保護 | Config ルール | SH.CloudTrail.5 | CloudTrail トレイルは Amazon CloudWatch Logs と統合する必要があります | 68 | ◯ | CT 環境下ではこの設定がデフォルト | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-cloudtrail-5 | | 実 21 | 選択的 | 高 | ECR | 脆弱性を管理 | Config ルール | SH.ECR.1 | ECR プライベートリポジトリにはイメージスキャンを設定する必要があります | 33 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ecr-1 | | 実 25 | 強く推奨 | 高 | RDS | ネットワークアクセスを制限 | Config ルール | AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED | Amazon RDS データベーススナップショットへのパブリックアクセスを有効にしない | 6 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-rds-snapshot-public-access | | 実 25 | 強く推奨 | 高 | S3 | 最小特権を強制 | Config ルール | AWS-GR_S3_BUCKET_PUBLIC_READ_PROHIBITED | Amazon S3 バケットへのパブリック読み取りアクセスを許可しない | 12 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#s3-disallow-public-read | | 実 25 | 強く推奨 | 高 | S3 | 最小特権を強制 | Config ルール | AWS-GR_S3_BUCKET_PUBLIC_WRITE_PROHIBITED | Amazon S3 バケットへのパブリック書き込みアクセスを許可しない | 13 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#s3-disallow-public-write | | 実 25 | 選択的 | 重大 | EC2 | 最小特権を強制 | Config ルール | SH.EC2.1 | EBS スナップショットはパブリックに復元可能であってはならない | 19 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-1 | | 実 25 | 選択的 | 重大 | S3 | 最小特権を強制 | Config ルール | SH.S3.2 | S3 バケットはパブリック読み取りアクセスを禁止する | 22 | | 代わりに No12 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-2 | | 実 25 | 選択的 | 重大 | S3 | 最小特権を強制 | Config ルール | SH.S3.3 | S3 バケットはパブリック書き込みアクセスを禁止する | 23 | | 代わりに No13 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-3 | | 実 25 | 選択的 | 重大 | RDS | 最小特権を強制、データの完全性を保護 | Config ルール | SH.RDS.1 | RDS スナップショットはプライベートにする必要があります | 24 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-1 | | 実 25 | 選択的 | 高 | S3 | 最小特権を強制 | Config ルール | SH.S3.6 | バケットポリシーで他の AWS アカウントに付与される S3 権限は制限する必要がある | 29 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-6 | | 実 25 | 選択的 | 高 | S3 | 最小特権を強制 | Config ルール | SH.S3.8 | S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります | 30 | | 代わりに No47 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-8 | | 実 25 | 選択的 | 中 | S3 | 最小特権を強制 | Config ルール | AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC | パブリックアクセスをブロックする Amazon S3 の設定がアカウントで true に設定されている | 45 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/data-residency-controls.html#s3-account-level-public-access-blocks-periodic | | 実 25 | 選択的 | 中 | S3 | 最小特権を強制 | Config ルール | SH.S3.1 | S3 ブロックパブリックアクセス設定を有効にする必要があります | 46 | | 代わりに No45 を有効化 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-1 | | 実 25 | 選択的 | 中 | S3 | 最小特権を強制 | Config ルール | SH.S3.12 | S3 アクセスコントロールリスト (ACL) はバケットへのユーザーアクセスの管理には使用しない | 47 | ◯ | ACL の利用は現在非推奨 | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-12 | | 実 25 | 選択的 | 中 | S3 | データの完全性を保護 | SCP | AWS-GR_AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED | Amazon S3 バケットのバケットポリシーの変更を許可しない | 53 | | 有効化した S3 バケットの作成は、Control Tower の組み込みロールである `AWSControlTowerExecution` ロール以外では実行できなくなる | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/elective-controls.html#log-archive-policy-changes | | 実 30 | 選択的 | 重大 | KMS | データの完全性を保護 | Config ルール | SH.KMS.3 | AWS KMS キーは意図せずに削除しない | 15 | | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-kms-3 | | 実 39 | 選択的 | 中 | RDS | 回復力を改善 | Config ルール | SH.RDS.11 | RDS インスタンスでは自動バックアップを有効にする必要があります | 37 | | AWS Backup もあるため必須とはしない | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-11 | | 実 48 | 選択的 | 中 | EC2 | 設定を保護 | Config ルール | SH.EC2.22 | 未使用の EC2 セキュリティグループは削除する必要があります | 48 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-22 | | 実 48 | 選択的 | 低 | EC2 | 設定を保護 | Config ルール | SH.EC2.16 | 未使用のネットワークアクセスコントロールリストは削除する必要があります | 69 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-ec2-16 | | 実 84 | 選択的 | 中 | RDS | 可用性を改善 | Config ルール | SH.RDS.5 | RDS DB インスタンスは複数のアベイラビリティーゾーンで構成する必要があります | 38 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-5 | | 実 100 | 強く推奨 | 高 | EC2 | コスト最適化 | Config ルール | AWS-GR_EC2_VOLUME_INUSE_CHECK | Amazon EBS ボリュームが Amazon EC2 インスタンスにアタッチされているかどうかを検出する | 1 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-unattached-ebs | | 実 100 | 選択的 | 低 | RDS | 可用性を改善 | Config ルール | SH.RDS.8 | RDS DB インスタンスでは削除保護を有効にする必要があります | 70 | ◯ | | https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-rds-8 | | - | 強く推奨 | 高 | EC2 | 可用性を改善 | Config ルール | AWS-GR_EBS_OPTIMIZED_INSTANCE | Amazon EC2 インスタンスの Amazon EBS 最適化が有効になっているかどうかを検出する | 14 | ◯ | | https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-controls.html#disallow-not-ebs-optimized |