メインコンテンツまでスキップ

AWS 向けのマネージド検査

本ページでは、AWS 向けに Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。

検査を実施するには

以下で公開されているワークフローを Shisho Cloud 組織に登録することでマネージド検査項目を利用できます:

検査項目の一覧

info

各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすることで、組織のポリシーに合わせた緊急度の変更も可能です。

検査項目名関連する標準デフォルトの緊急度Shisho Cloud 内の管理 ID
ACM で発行された証明書の有効期限を十分に確保するACM.1 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_acm_certificate_expiry
ACM 管理の証明書の鍵アルゴリズムに自社基準以上を利用するACM.2 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_acm_certificate_key_algorithm
Application Load Balancer の削除保護を有効にするELB.6 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_alb_delete_protection
Application Load Balancer が HTTP Desync 攻撃を緩和するよう設定するELB.12 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_alb_desync_mitigation
Application Load Balancer への全ての HTTP リクエストを HTTPS にリダイレクトするELB.1 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_alb_https_redirection
Application Load Balancer が無効な HTTP ヘッダをドロップするように設定するELB.4 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_alb_invalid_header_handling
Application Load Balancer のログ記録を有効にするELB.5 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_alb_logging
API Gateway V2 ステージにロギングを設定するAPIGateway.9 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_apigateway_access_logging
API Gateway REST API キャッシュデータを暗号化するAPIGateway.5 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_apigateway_cache_encryption
API Gateway REST/WebSocket API のロギングを有効にするAPIGateway.1 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_apigateway_logging
API Gateway ルートかバックエンドの少なくとも一方で認証を実装するAPIGateway.8 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_apigateway_route_auth
API Gateway バックエンドへの通信にクライアント証明書を利用するAPIGateway.2 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_apigateway_ssl_certificates
API Gateway を WAF Web ACL と関連付けるAPIGateway.4 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_apigateway_waf_web_acl
API Gateway で AWS X-Ray トレースを利用するAPIGateway.3 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_apigateway_xray_tracing
Auto Scaling グループで複数のアベイラビリティゾーンをカバーするAutoScaling.2 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_autoscaling_group_availability_zones
Auto Scaling グループで複数のインスタンスタイプを使用するAutoScaling.6 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_autoscaling_group_instance_types
Auto Scaling グループで起動テンプレートを使用するAutoScaling.9 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_autoscaling_group_launch_template
Auto Scaling に紐づく Classic Load Balancer でヘルスチェックを利用するAutoScaling.1 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_autoscaling_group_lb_health_check
Auto Scaling グループで IMDSv2 を使用するAutoScaling.3 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_autoscaling_launch_configuration_imdsv2
Auto Scaling グループでパブリック IP アドレスを使用しないAutoScaling.5 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_autoscaling_launch_configuration_public_ip
Auto Scaling グループのメタデータ応答ホップ制限を 1 以下にするAutoScaling.4 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_autoscaling_launch_configuration_response_hop_limit
CloudFormation スタックのイベントを SNS トピックで通知するCloudFormation.1 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_cloudformation_stack_sns
CloudFront ディストリビューションはカスタムSSL/TLS証明書を使用するCloudFront.7 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_cloudfront_default_certificate
CloudFront ディストリビューションにデフォルトルートオブジェクトを設定するCloudFront.1 (AWS FSBP)Criticaldecision.api.shisho.dev/v1beta:aws_cloudfront_default_root_object
CloudFront ディストリビューションへのアクセスログを記録するCloudFront.5 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_cloudfront_logging
S3 バックエンドを持つ CloudFront ディストリビューションに Origin Access Control を設定するCloudFront.13 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_cloudfront_origin_access_control
CloudFront ディストリビューションには、オリジンフェイルオーバーを構成するCloudFront.4 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_cloudfront_origin_failover
CloudFront ディストリビューションで存在しない S3 オリジンを指定しないCloudFront.12 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_cloudfront_origin_s3_bucket_existence
CloudFront ディストリビューションのオリジンに対する接続で HTTPS を利用するCloudFront.9 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_cloudfront_origin_transport
CloudFront ディストリビューションのオリジンに対する HTTPS 接続でセキュアな SSL/TLS プロトコルを利用するCloudFront.10 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_cloudfront_origin_transport_version
CloudFront ディストリビューションの HTTPS リクエストの処理に SNI を使用するCloudFront.8 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_cloudfront_sni
CloudFront ディストリビューションへの接続に HTTPS を強制するCloudFront.3 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_cloudfront_transport
CloudFront ディストリビューションで WAF を利用するCloudFront.6 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_cloudfront_waf
CloudTrail 証跡と CloudWatch Logs を連携するCloudTrail.5 (AWS FSBP), 3.4 (CIS AWS v1.5.0)Infodecision.api.shisho.dev/v1beta:aws_cloudtrail_cloudwatch_logs_integration
CloudTrail 証跡の暗号化に KMS CMK を利用するCloudTrail.2 (AWS FSBP), 3.7 (CIS AWS v1.5.0), 3.5 (CIS AWS v3.0.0)Lowdecision.api.shisho.dev/v1beta:aws_cloudtrail_cmk_encryption
CloudTrail ログを保存する S3 バケットを一般公開しない3.3 (CIS AWS v1.5.0)Lowdecision.api.shisho.dev/v1beta:aws_cloudtrail_log_bucket_accessibility
CloudTrail ログファイルのバリデーションを有効にするPCI.CloudTrail.4 (AWS FSBP), 3.2 (CIS AWS v1.5.0), 3.2 (CIS AWS v3.0.0)Mediumdecision.api.shisho.dev/v1beta:aws_cloudtrail_log_file_validation
全てのリージョンで CloudTrail を有効にするCloudTrail.1 (AWS FSBP), 3.1 (CIS AWS v1.5.0), 3.1 (CIS AWS v3.0.0)Highdecision.api.shisho.dev/v1beta:aws_cloudtrail_usage
CodeBuild プロジェクトでの特権モードの使用を最小化するCodeBuild.5 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_codebuild_project_env_privileged_mode
CodeBuild プロジェクトの環境変数で平文の AWS 認証情報を使用しないCodeBuild.2 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_codebuild_project_env_variables
CodeBuild プロジェクトでログを記録するCodeBuild.4 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_codebuild_project_logging_status
CodeBuild プロジェクトが S3 に出力するログを暗号化するCodeBuild.3 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_codebuild_project_s3_logs_encryption
CodeBuild Bitbucket ソースリポジトリ URL に認証情報を埋め込まないCodeBuild.1 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_codebuild_project_source_repository_credential
全リージョンで AWS Config を有効にするConfig.1 (AWS FSBP), 3.5 (CIS AWS v1.5.0), 3.3 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_config_recorder_status
DynamoDB Accelerator クラスタのデータ暗号化を有効化するDynamoDB.3 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_dax_cluster_encryption
DynamoDB テーブルのポイントインタイムリカバリを有効化するDynamoDB.2 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_dynamodb_table_point_in_time_recovery
DynamoDB テーブルのオートスケーリングを有効化するDynamoDB.1 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_dynamodb_table_scale_capacity
Amazon EBS スナップショットの復元を任意のプリンシパルに対して許可しないEC2.1 (AWS FSBP)Criticaldecision.api.shisho.dev/v1beta:aws_ebs_snapshot_publicly_restorable
利用中の Amazon EBS ボリュームを暗号化するEC2.3 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_ebs_volume_encryption
EBS ボリュームの暗号化がデフォルトで行われるように全リージョンを設定するEC2.7 (AWS FSBP), 2.2.1 (CIS AWS v1.5.0), 2.2.1 (CIS AWS v3.0.0)Lowdecision.api.shisho.dev/v1beta:aws_ebs_volume_encryption_baseline
EC2 インスタンスで Instance Metadata Service Version 2 (IMDSv2) を使用するEC2.8 (AWS FSBP), 5.6 (CIS AWS v3.0.0)Highdecision.api.shisho.dev/v1beta:aws_ec2_instance_imdsv2
EC2 インスタンスが利用する ENI を 1 つに限定するEC2.17 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_ec2_instance_network_interface
EC2 インスタンスにパブリック IPv4 アドレスを割り当てないEC2.9 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_ec2_instance_public_ip_address
停止済みの EC2 インスタンスを削除するEC2.4 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_ec2_instance_state
EC2 で準仮想化インスタンスタイプを使用しないEC2.24 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_ec2_instance_virtualization
EC2 インスタンスの EC2 API 接続時に VPC エンドポイントを利用するEC2.10 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_ec2_instance_vpc_endpoint
EC2 起動テンプレート中で ENI へのパブリック IP 割り当てを有効化しないEC2.25 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_ec2_launch_template_public_ip_address
ECR プライベートリポジトリのイメージスキャニングを有効化するECR.1 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_ecr_repository_image_scan_config
ECR リポジトリのライフサイクルポリシーを設定するECR.3 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_ecr_repository_lifecycle_policy_config
ECR プライベートリポジトリのタグをイミュータブルにするECR.2 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_ecr_repository_tag_immutability
ECS クラスターで Container Insights を有効化するECS.12 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_ecs_cluster_container_insights
ECS コンテナの環境変数としてシークレットを渡さないECS.8 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_ecs_container_environment_variables
ECS コンテナによるルートファイルシステム操作を読み取りのみに制限するECS.5 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_ecs_container_fs_permission
ECS コンテナの privileged フラグを有効化しないECS.4 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_ecs_container_privilege
ECS サービスに対するパブリック IP のアサインを最小限に留めるECS.2 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_ecs_service_public_ip
ECS Fargate サービスを適切なプラットフォームバージョンで実行するECS.10 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_ecs_task_fargate_version
ECS タスク定義で安全なネットワークモードを利用するECS.1 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_ecs_task_networking_mode
ECS タスクにホストのプロセス名前空間を共有しないECS.3 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_ecs_task_process_namespace
EFS アクセスポイントのルートディレクトリを / 以外で指定するEFS.3 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_efs_access_point_root_directory
EFS アクセスポイントごとに POSIX ユーザーを指定するEFS.4 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_efs_access_point_user_identity
Amazon EFS ボリュームを AWS Backup によりバックアップするEFS.2 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_efs_volume_backup_plan
EFS ボリュームを暗号化するEFS.1 (AWS FSBP), 2.4.1 (CIS AWS v1.5.0), 2.4.1 (CIS AWS v3.0.0)Mediumdecision.api.shisho.dev/v1beta:aws_efs_volume_encryption
EKS クラスターの監査ログ記録を有効にするEKS.8 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_eks_audit_logging
EKS クラスターのパブリックエンドポイントへのアクセスを制限するEKS.1 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_eks_public_access
AWS 上のロードバランサを複数のアベイラビリティゾーンを跨るように構成するELB.13 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_elb_availability_zones
GuardDuty を有効化するGuardDuty.1 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_guardduty_status
すべてのリージョンで IAM Access Analyzer を有効にする1.20 (CIS AWS v1.5.0), 1.20 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_iam_access_analyzers
AWS アカウントにセキュリティ関連用の連絡先が登録されているAccount.1 (AWS FSBP), 1.2 (CIS AWS v1.5.0), 1.2 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_iam_account_alternate_contact
任意リソース・任意アクションに対して権限を持つ IAM ポリシーを利用しないIAM.1 (AWS FSBP), 1.16 (CIS AWS v1.5.0), 1.16 (CIS AWS v3.0.0)Criticaldecision.api.shisho.dev/v1beta:aws_iam_administrative_policy_limitation
マネジメントコンソールのみを利用する IAM ユーザーには作成時にアクセスキーを払い出さない1.11 (CIS AWS v1.5.0), 1.11 (CIS AWS v3.0.0)Mediumdecision.api.shisho.dev/v1beta:aws_iam_console_user_keys
一定期間以上未使用の AWS 認証情報を無効化するIAM.8 (AWS FSBP), 1.12 (CIS AWS v1.5.0), 1.12 (CIS AWS v3.0.0)Highdecision.api.shisho.dev/v1beta:aws_iam_credentials_inventory
AWS IAM のアクセスキーを所定の期間でローテーションするIAM.3 (AWS FSBP), 1.14 (CIS AWS v1.5.0), 1.14 (CIS AWS v3.0.0)Mediumdecision.api.shisho.dev/v1beta:aws_iam_key_rotation
IAM パスワードポリシーでパスワードに十分な文字数を要求する1.8 (CIS AWS v1.5.0), 1.8 (CIS AWS v3.0.0)Highdecision.api.shisho.dev/v1beta:aws_iam_password_length
IAM パスワードポリシーで過去に利用したパスワードの設定を禁止する1.9 (CIS AWS v1.5.0), 1.9 (CIS AWS v3.0.0)Highdecision.api.shisho.dev/v1beta:aws_iam_password_reuse
アクションにワイルドカードを指定した IAM ポリシーを作成・利用しないIAM.21 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_iam_policy_service_limitation
AWS サポートセンターを利用できる IAM ロールを用意する1.17 (CIS AWS v1.5.0), 1.17 (CIS AWS v3.0.0)Lowdecision.api.shisho.dev/v1beta:aws_iam_role_for_support
AWS のルートユーザーの利用時にハードウェアによる多要素認証(MFA)を要求するIAM.6 (AWS FSBP), 1.6 (CIS AWS v1.5.0), 1.6 (CIS AWS v3.0.0)Highdecision.api.shisho.dev/v1beta:aws_iam_root_user_hardware_mfa
AWS のルートユーザーのアクセスキーを発行しないIAM.4 (AWS FSBP), 1.4 (CIS AWS v1.5.0), 1.4 (CIS AWS v3.0.0)Criticaldecision.api.shisho.dev/v1beta:aws_iam_root_user_key
AWS のルートユーザーの利用時に多要素認証(MFA)を要求する1.5 (CIS AWS v1.5.0), 1.5 (CIS AWS v3.0.0)Criticaldecision.api.shisho.dev/v1beta:aws_iam_root_user_mfa
AWS ルートユーザーの使用を最小限に留め、日常的に利用しない1.7 (CIS AWS v1.5.0), 1.7 (CIS AWS v3.0.0)Criticaldecision.api.shisho.dev/v1beta:aws_iam_root_user_usage
AWS IAM に保存されている SSL/TLS 証明書が期限切れになっていないことを確認する1.19 (CIS AWS v1.5.0), 1.19 (CIS AWS v3.0.0)Lowdecision.api.shisho.dev/v1beta:aws_iam_server_certificates
IAM ユーザーのアクティブなアクセスキーを 1 つのみに保つ1.13 (CIS AWS v1.5.0), 1.13 (CIS AWS v3.0.0)Mediumdecision.api.shisho.dev/v1beta:aws_iam_user_available_access_keys
IAM ユーザーへの権限付与を IAM グループ経由で行うIAM.2 (AWS FSBP), 1.15 (CIS AWS v1.5.0), 1.15 (CIS AWS v3.0.0)Lowdecision.api.shisho.dev/v1beta:aws_iam_user_group_permission_assignment
コンソール用のパスワードを設定済みの AWS のユーザーに多要素認証(MFA)を要求するIAM.5 (AWS FSBP), 1.10 (CIS AWS v1.5.0), 1.10 (CIS AWS v3.0.0)Highdecision.api.shisho.dev/v1beta:aws_iam_user_mfa
Kinesis ストリームを暗号化するKinesis.1 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_kinesis_stream_encryption
削除予定の AWS KMS キーが意図したものであることを確認するKMS.3 (AWS FSBP)Criticaldecision.api.shisho.dev/v1beta:aws_kms_key_deletion
各 KMS キーによる複合権限を持つプリンシパル・各プリンシパルが利用できるキーの両方を最小にするKMS.1 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_kms_key_iam_policies
カスタマー作成の対称 CMK のローテーションを有効にする3.8 (CIS AWS v1.5.0), 3.6 (CIS AWS v3.0.0)Lowdecision.api.shisho.dev/v1beta:aws_kms_symmetric_cmk_rotation
Lambda 関数が想定外にパブリックアクセス可能になっていないかを確認するLambda.1 (AWS FSBP)Criticaldecision.api.shisho.dev/v1beta:aws_lambda_public_access
Lambda 関数で可能な限り新しいランタイムを使用するLambda.2 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_lambda_runtime
VPC Lambda 関数が複数のアベイラビリティゾーンで動作するLambda.5 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_lambda_vpc_availability_zone
S3 バケットポリシー変更のログメトリックフィルタとアラームを設定する4.8 (CIS AWS v1.5.0), 4.8 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_bucket_policy_changes
CloudTrail の設定変更に対するログメトリックフィルターとアラームを設定する4.5 (CIS AWS v1.5.0), 4.5 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_cloudtrail_changes
カスタマー管理のCMKの無効化またはスケジュールされた削除のログメトリックフィルタとアラームを設定する4.7 (CIS AWS v1.5.0), 4.7 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_cmk_changes
AWS Config の設定変更に対するログメトリックフィルターとアラームを設定する4.9 (CIS AWS v1.5.0), 4.9 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_config_changes
AWS Management Consoleの認証失敗のログメトリックフィルタとアラームを設定する4.6 (CIS AWS v1.5.0), 4.6 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_console_auth_failure
ルートユーザーの利用に対するログメトリックフィルタとアラームを設定する4.3 (CIS AWS v1.5.0), 4.3 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_console_root_user_usage
MFAなしでの管理コンソールサインインに対するログメトリックフィルタとアラームを設定する4.2 (CIS AWS v1.5.0), 4.2 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_console_signin_mfa
IAMポリシーの変更に対するログメトリックフィルターとアラームを設定する4.4 (CIS AWS v1.5.0), 4.4 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_iam_policy_changes
ネットワークアクセスコントロールリスト(NACL)の変更に対するログメトリックフィルターとアラームを設定する4.11 (CIS AWS v1.5.0), 4.11 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_nacl_changes
ネットワークゲートウェイの変更に対するログメトリックフィルターとアラームを設定する4.12 (CIS AWS v1.5.0), 4.12 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_network_gateway_changes
AWS Organizations 変更のログメトリックフィルタとアラームを設定する4.15 (CIS AWS v1.5.0), 4.15 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_organizations_changes
ルートテーブル変更のログメトリックフィルタとアラームを設定する4.13 (CIS AWS v1.5.0), 4.13 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_route_table_changes
セキュリティグループの変更に対するログメトリックフィルターとアラームを設定する4.10 (CIS AWS v1.5.0), 4.10 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_security_group_changes
未承認の API 呼び出しに対するログメトリックフィルタとアラームを設定する4.1 (CIS AWS v1.5.0), 4.1 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_unauthorized_api_calls
VPC 変更のログメトリックフィルタとアラームを設定する4.14 (CIS AWS v1.5.0), 4.14 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_logmetric_vpc_changes
未使用のネットワーク ACL を削除するEC2.16 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_networking_acl_assosiations
AWS ネットワーク ACL で 0.0.0.0/0 からの管理用ポートへの接続を許可しないEC2.21 (AWS FSBP), 5.1 (CIS AWS v1.5.0), 5.1 (CIS AWS v3.0.0)Highdecision.api.shisho.dev/v1beta:aws_networking_acl_ingress
VPC のデフォルトセキュリティグループによる通信を許可しないEC2.2 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_networking_default_sg_restriction
Network Firewall ポリシーのデフォルトの状態をドロップまたはフルパケットの転送にするNetworkFirewall.4 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_networking_fp_stateless_action
Network Firewall ポリシーのデフォルトの状態をドロップまたはフォワードにするNetworkFirewall.5 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_networking_fp_stateless_fragment_action
Stateless Network Firewall ルールグループが空ではないNetworkFirewall.6 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_networking_frg_rules
デフォルトの AWS セキュリティグループの利用を避けるために全ての通信をブロックする5.4 (CIS AWS v1.5.0), 5.4 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_networking_sg_baseline
セキュリティグループで広範な接続元に対して許可する Ingress 通信のポートを限定するEC2.18 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_networking_sg_ingress_rules
AWS VPC の Security Group で 0.0.0.0/0 からの管理用ポートへの接続を許可しない5.2 (CIS AWS v1.5.0), 5.2 (CIS AWS v3.0.0)Highdecision.api.shisho.dev/v1beta:aws_networking_sg_ingress_v4
AWS VPC の Security Group で ::/0 からの管理用ポートへの接続を許可しない5.3 (CIS AWS v1.5.0), 5.3 (CIS AWS v3.0.0)Highdecision.api.shisho.dev/v1beta:aws_networking_sg_ingress_v6
AWS VPC サブネットによる自動パブリック IP アドレスを割り当てを無効にするEC2.15 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_networking_subnet_public_ip
Transit Gateway で VPC アタッチメントリクエストを自動的に受け入れないEC2.23 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_networking_transit_gateway_auto_vpc_attachment
AWS VPC でフローログを有効にするEC2.6 (AWS FSBP), 3.9 (CIS AWS v1.5.0), 3.7 (CIS AWS v3.0.0)Mediumdecision.api.shisho.dev/v1beta:aws_networking_vpc_flow_logging
AWS Site-to-Site VPN による VPN トンネルの両端の正常を状態を保つEC2.20 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_networking_vpn_tunnels_state
RDS クラスタのマスターユーザー名を非デフォルト値にするRDS.24 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_rds_cluster_administrator_username
RDS クラスタが複数のアベイラビリティゾーンで構成されているRDS.15 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_rds_cluster_availability_zone
Amazon Aurora クラスタのバックトラック機能を有効化するRDS.14 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_rds_cluster_backtracking
RDS クラスタのスナップショットにタグがコピーされるよう設定するRDS.16 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_rds_cluster_copy_tags_to_snapshots
RDS クラスタの削除保護を有効化するRDS.7 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_rds_cluster_deletion_protection
RDS クラスタの IAM 認証を利用するRDS.12 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_rds_cluster_iam_authentication
RDS インスタンスおよびクラスタで非デフォルトのポートを使用するRDS.23 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_rds_default_port_usage
RDS インスタンスに接続できる通信元を限定するRDS.2 (AWS FSBP), 2.3.3 (CIS AWS v1.5.0), 2.3.3 (CIS AWS v3.0.0)Highdecision.api.shisho.dev/v1beta:aws_rds_instance_accessibility
RDS インスタンスのマスターユーザ名に非デフォルト値を使用するRDS.25 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_rds_instance_administrator_username
RDS インスタンスのマイナーバージョンの自動更新を有効にするRDS.13 (AWS FSBP), 2.3.2 (CIS AWS v1.5.0), 2.3.2 (CIS AWS v3.0.0)Lowdecision.api.shisho.dev/v1beta:aws_rds_instance_auto_upgrade
RDS インスタンスの自動バックアップを有効化するRDS.11 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_rds_instance_automatic_backup
RDS DB インスタンスが複数のアベイラビリティゾーンで構成されているRDS.5 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_rds_instance_availability_zone
RDS インスタンスのスナップショットにタグがコピーされるよう設定するRDS.17 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_rds_instance_copy_tags_to_snapshots
RDS インスタンスの削除保護を有効化するRDS.8 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_rds_instance_deletion_protection
RDS インスタンスのデータ暗号化を有効化するRDS.3 (AWS FSBP), 2.3.1 (CIS AWS v1.5.0), 2.3.1 (CIS AWS v3.0.0)Mediumdecision.api.shisho.dev/v1beta:aws_rds_instance_encryption
RDS インスタンスの拡張モニタリングを有効化するRDS.6 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_rds_instance_enhanced_monitoring
RDS インスタンスの IAM 認証を利用するRDS.10 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_rds_instance_iam_authentication
RDS インスタンスのログ記録を有効にするRDS.9 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_rds_instance_logging
RDS インスタンスを VPC 内で運用するRDS.18 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_rds_instance_vpc
RDS スナップショットをパブリックにしないRDS.1 (AWS FSBP)Criticaldecision.api.shisho.dev/v1beta:aws_rds_snapshot_accessibility
RDS クラスタスナップショットとデータベーススナップショットが暗号化されているRDS.4 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_rds_snapshot_encryption
クリティカルなデータベースパラメータグループイベントのために RDS イベント通知サブスクリプションが構成されているRDS.21 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_rds_subscription_parameter_group_event
RDS イベント通知サブスクリプションが重要なデータベースセキュリティグループイベントに対して構成されているRDS.22 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_rds_subscription_security_group_event
S3 バケットのブロックパブリックアクセスをアカウントレベルで有効にするS3.1 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_s3_account_public_access_block
重要な S3 バケットに対してアクセスログを記録するS3.9 (AWS FSBP), 3.6 (CIS AWS v1.5.0), 3.4 (CIS AWS v3.0.0)Lowdecision.api.shisho.dev/v1beta:aws_s3_bucket_access_logging
S3 バケットポリシーにより許可される他の AWS アカウント内プリンシパルによる操作を最小化するS3.6 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_s3_bucket_account_permission
S3 バケットのアクセスコントロールリスト(ACL)を使用しないS3.12 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_s3_bucket_acl
S3 バケットのクロスリージョンレプリケーションを有効にするS3.7 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_s3_bucket_cross_region_replication
S3 バケットの暗号化を有効にするS3.4 (AWS FSBP), 2.1.1 (CIS AWS v1.5.0)Lowdecision.api.shisho.dev/v1beta:aws_s3_bucket_encryption
S3 バケットのイベント通知を有効にするS3.11 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_s3_bucket_event_notifications
S3 バケットを AWS KMS キーで暗号化するS3.17 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_s3_bucket_kms_encryption
S3 バケットのライフサイクルポリシーを設定するS3.13 (AWS FSBP)Infodecision.api.shisho.dev/v1beta:aws_s3_bucket_lifecycle_policy
S3 バケットの MFA 削除を有効にする2.1.3 (CIS AWS v1.5.0), 2.1.3 (CIS AWS v3.0.0)Mediumdecision.api.shisho.dev/v1beta:aws_s3_bucket_mfa_delete
S3 バケットがオブジェクトロックを使用するS3.15 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_s3_bucket_object_lock
S3 バケットのパブリックアクセスブロック機能を有効にするS3.8 (AWS FSBP), 2.1.5 (CIS AWS v1.5.0), 2.1.4 (CIS AWS v3.0.0)Mediumdecision.api.shisho.dev/v1beta:aws_s3_bucket_public_access_block
S3 バケットへのパブリック読み込みアクセスを許可しないS3.2 (AWS FSBP)Criticaldecision.api.shisho.dev/v1beta:aws_s3_bucket_public_read_access
S3 バケットへのパブリック書き込みアクセスを許可しないS3.3 (AWS FSBP)Criticaldecision.api.shisho.dev/v1beta:aws_s3_bucket_public_write_access
S3 バケットのオブジェクト読み取りイベントの発生証跡を記録する3.11 (CIS AWS v1.5.0), 3.9 (CIS AWS v3.0.0)Lowdecision.api.shisho.dev/v1beta:aws_s3_bucket_read_trail
S3 バケットの利用時に HTTPS のみが利用されるよう強制する2.1.2 (CIS AWS v1.5.0), 2.1.1 (CIS AWS v3.0.0)Mediumdecision.api.shisho.dev/v1beta:aws_s3_bucket_transport
S3 バケットはバージョニングを有効にするS3.14 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_s3_bucket_versioning
バージョニングが有効な S3 バケットにライフサイクルポリシーを設定するS3.10 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_s3_bucket_versioning_lifecycle_policy
S3 バケットのオブジェクト書き込みイベントの発生証跡を記録する3.10 (CIS AWS v1.5.0), 3.8 (CIS AWS v3.0.0)Lowdecision.api.shisho.dev/v1beta:aws_s3_bucket_write_trail
Secrets Manager のシークレットの自動ローテーションを有効にするSecretsManager.1 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_secretsmanager_auto_rotation
Secrets Manager で自動ローテーションが設定されたシークレットが正常にローテーションされていることを確認するSecretsManager.2 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_secretsmanager_auto_rotation_state
Secrets Manager のシークレットが指定された日数以内にローテーションされているSecretsManager.4 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_secretsmanager_rotation_interval
未使用の Secrets Manager のシークレットを削除するSecretsManager.3 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_secretsmanager_secret_usage
AWS Security Hub を利用する4.16 (CIS AWS v1.5.0), 4.16 (CIS AWS v3.0.0)Infodecision.api.shisho.dev/v1beta:aws_securityhub_usage
SNS トピック内のデータを暗号化するSNS.1 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_sns_kms_encryption
Amazon SQS キュー内のデータを暗号化するSQS.1 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_sqs_encryption
Systems Manager によって管理されている EC2 インスタンスの関連付けが COMPLIANT ステータスであるSSM.3 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_ssm_association_compliance
SSM ドキュメントを公開しないSSM.4 (AWS FSBP)Criticaldecision.api.shisho.dev/v1beta:aws_ssm_document_accessibility
EC2 インスタンスが AWS Systems Manager によって管理されているSSM.1 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_ssm_managed_instances
Systems Manager によって管理されている EC2 インスタンスがパッチのインストール後に COMPLIANT ステータスになっているSSM.2 (AWS FSBP)Highdecision.api.shisho.dev/v1beta:aws_ssm_patch_compliance
WAF ルールに少なくとも 1 つの条件を設定するWAF.2 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_waf_classic_rule_condition
WAF Classic ルールグループに少なくとも1つのルールを設定するWAF.3 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_waf_classic_rule_group_attached_rules
AWS WAF Classic Global Web ACL のログ記録を有効にするWAF.1 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_waf_classic_web_acl_logging
WAF Classic Web ACL には少なくとも 1 つのルールまたはルールグループを設定するWAF.4 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_waf_classic_web_acl_rules
AWS WAFv2 Web ACL のログ記録を有効化にするWAF.11 (AWS FSBP)Mediumdecision.api.shisho.dev/v1beta:aws_waf_web_acl_logging
WAFv2 web ACL には少なくとも 1 つのルールまたはルールグループを設定するWAF.10 (AWS FSBP)Lowdecision.api.shisho.dev/v1beta:aws_waf_web_acl_rules