# AWS Foundational Security Best Practices (FSBP) に関連するマネージド検査 本ページでは、AWS Foundational Security Best Practices (FSBP) に関して Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。 :::info 本ページには、現状 CIS AWS Foundations Benchmark v1.5.0 向けポリシーと重複している部分が表示されていません。 ::: ## 検査を実施するには 以下で公開されているワークフローを Shisho Cloud 組織に登録することでマネージド検査項目を利用できます: - [AWS Foundational Security Best Practices (FSBP) 向けのワークフロー](https://github.com/flatt-security/shisho-cloud-managed-workflows/tree/main/workflows/csp/aws-fsbp) ## 検査項目の一覧 :::info 各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすることで、組織のポリシーに合わせた緊急度の変更も可能です。 ::: | 検査項目名 | 標準中の項目名 | デフォルトの緊急度 | Shisho Cloud 内の管理 ID | | ------------------------------------------------------------------------------------------------------------------ | ----------------- | ------------------ | ---------------------------------------------------------------------------------------- | | ACM で発行された証明書の有効期限を十分に確保する | ACM.1 | High | `decision.api.shisho.dev/v1beta:aws_acm_certificate_expiry` | | ACM 管理の証明書の鍵アルゴリズムに自社基準以上を利用する | ACM.2 | Medium | `decision.api.shisho.dev/v1beta:aws_acm_certificate_key_algorithm` | | API Gateway REST/WebSocket API のロギングを有効にする | APIGateway.1 | Medium | `decision.api.shisho.dev/v1beta:aws_apigateway_logging` | | API Gateway バックエンドへの通信にクライアント証明書を利用する | APIGateway.2 | High | `decision.api.shisho.dev/v1beta:aws_apigateway_ssl_certificates` | | API Gateway で AWS X-Ray トレースを利用する | APIGateway.3 | Info | `decision.api.shisho.dev/v1beta:aws_apigateway_xray_tracing` | | API Gateway を WAF Web ACL と関連付ける | APIGateway.4 | Info | `decision.api.shisho.dev/v1beta:aws_apigateway_waf_web_acl` | | API Gateway REST API キャッシュデータを暗号化する | APIGateway.5 | Info | `decision.api.shisho.dev/v1beta:aws_apigateway_cache_encryption` | | API Gateway ルートかバックエンドの少なくとも一方で認証を実装する | APIGateway.8 | High | `decision.api.shisho.dev/v1beta:aws_apigateway_route_auth` | | API Gateway V2 ステージにロギングを設定する | APIGateway.9 | Medium | `decision.api.shisho.dev/v1beta:aws_apigateway_access_logging` | | AWS アカウントにセキュリティ関連用の連絡先が登録されている | Account.1 | Info | `decision.api.shisho.dev/v1beta:aws_iam_account_alternate_contact` | | Auto Scaling に紐づく Classic Load Balancer でヘルスチェックを利用する | AutoScaling.1 | Low | `decision.api.shisho.dev/v1beta:aws_autoscaling_group_lb_health_check` | | Auto Scaling グループで複数のアベイラビリティゾーンをカバーする | AutoScaling.2 | Low | `decision.api.shisho.dev/v1beta:aws_autoscaling_group_availability_zones` | | Auto Scaling グループで IMDSv2 を使用する | AutoScaling.3 | Medium | `decision.api.shisho.dev/v1beta:aws_autoscaling_launch_configuration_imdsv2` | | Auto Scaling グループのメタデータ応答ホップ制限を 1 以下にする | AutoScaling.4 | Medium | `decision.api.shisho.dev/v1beta:aws_autoscaling_launch_configuration_response_hop_limit` | | Auto Scaling グループでパブリック IP アドレスを使用しない | AutoScaling.5 | Medium | `decision.api.shisho.dev/v1beta:aws_autoscaling_launch_configuration_public_ip` | | Auto Scaling グループで複数のインスタンスタイプを使用する | AutoScaling.6 | Low | `decision.api.shisho.dev/v1beta:aws_autoscaling_group_instance_types` | | Auto Scaling グループで起動テンプレートを使用する | AutoScaling.9 | Info | `decision.api.shisho.dev/v1beta:aws_autoscaling_group_launch_template` | | CloudFormation スタックのイベントを SNS トピックで通知する | CloudFormation.1 | Info | `decision.api.shisho.dev/v1beta:aws_cloudformation_stack_sns` | | CloudFront ディストリビューションにデフォルトルートオブジェクトを設定する | CloudFront.1 | Critical | `decision.api.shisho.dev/v1beta:aws_cloudfront_default_root_object` | | CloudFront ディストリビューションへの接続に HTTPS を強制する | CloudFront.3 | Medium | `decision.api.shisho.dev/v1beta:aws_cloudfront_transport` | | CloudFront ディストリビューションには、オリジンフェイルオーバーを構成する | CloudFront.4 | Low | `decision.api.shisho.dev/v1beta:aws_cloudfront_origin_failover` | | CloudFront ディストリビューションへのアクセスログを記録する | CloudFront.5 | Medium | `decision.api.shisho.dev/v1beta:aws_cloudfront_logging` | | CloudFront ディストリビューションで WAF を利用する | CloudFront.6 | Low | `decision.api.shisho.dev/v1beta:aws_cloudfront_waf` | | CloudFront ディストリビューションはカスタムSSL/TLS証明書を使用する | CloudFront.7 | Medium | `decision.api.shisho.dev/v1beta:aws_cloudfront_default_certificate` | | CloudFront ディストリビューションの HTTPS リクエストの処理に SNI を使用する | CloudFront.8 | Info | `decision.api.shisho.dev/v1beta:aws_cloudfront_sni` | | CloudFront ディストリビューションのオリジンに対する接続で HTTPS を利用する | CloudFront.9 | Medium | `decision.api.shisho.dev/v1beta:aws_cloudfront_origin_transport` | | CloudFront ディストリビューションのオリジンに対する HTTPS 接続でセキュアな SSL/TLS プロトコルを利用する | CloudFront.10 | Medium | `decision.api.shisho.dev/v1beta:aws_cloudfront_origin_transport_version` | | CloudFront ディストリビューションで存在しない S3 オリジンを指定しない | CloudFront.12 | High | `decision.api.shisho.dev/v1beta:aws_cloudfront_origin_s3_bucket_existence` | | S3 バックエンドを持つ CloudFront ディストリビューションに Origin Access Control を設定する | CloudFront.13 | Medium | `decision.api.shisho.dev/v1beta:aws_cloudfront_origin_access_control` | | 全てのリージョンで CloudTrail を有効にする | CloudTrail.1 | High | `decision.api.shisho.dev/v1beta:aws_cloudtrail_usage` | | CloudTrail 証跡の暗号化に KMS CMK を利用する | CloudTrail.2 | Low | `decision.api.shisho.dev/v1beta:aws_cloudtrail_cmk_encryption` | | CloudTrail 証跡と CloudWatch Logs を連携する | CloudTrail.5 | Info | `decision.api.shisho.dev/v1beta:aws_cloudtrail_cloudwatch_logs_integration` | | CodeBuild Bitbucket ソースリポジトリ URL に認証情報を埋め込まない | CodeBuild.1 | High | `decision.api.shisho.dev/v1beta:aws_codebuild_project_source_repository_credential` | | CodeBuild プロジェクトの環境変数で平文の AWS 認証情報を使用しない | CodeBuild.2 | High | `decision.api.shisho.dev/v1beta:aws_codebuild_project_env_variables` | | CodeBuild プロジェクトが S3 に出力するログを暗号化する | CodeBuild.3 | Low | `decision.api.shisho.dev/v1beta:aws_codebuild_project_s3_logs_encryption` | | CodeBuild プロジェクトでログを記録する | CodeBuild.4 | Low | `decision.api.shisho.dev/v1beta:aws_codebuild_project_logging_status` | | CodeBuild プロジェクトでの特権モードの使用を最小化する | CodeBuild.5 | Medium | `decision.api.shisho.dev/v1beta:aws_codebuild_project_env_privileged_mode` | | 全リージョンで AWS Config を有効にする | Config.1 | Info | `decision.api.shisho.dev/v1beta:aws_config_recorder_status` | | DynamoDB テーブルのオートスケーリングを有効化する | DynamoDB.1 | Low | `decision.api.shisho.dev/v1beta:aws_dynamodb_table_scale_capacity` | | DynamoDB テーブルのポイントインタイムリカバリを有効化する | DynamoDB.2 | Medium | `decision.api.shisho.dev/v1beta:aws_dynamodb_table_point_in_time_recovery` | | DynamoDB Accelerator クラスタのデータ暗号化を有効化する | DynamoDB.3 | Low | `decision.api.shisho.dev/v1beta:aws_dax_cluster_encryption` | | Amazon EBS スナップショットの復元を任意のプリンシパルに対して許可しない | EC2.1 | Critical | `decision.api.shisho.dev/v1beta:aws_ebs_snapshot_publicly_restorable` | | VPC のデフォルトセキュリティグループによる通信を許可しない | EC2.2 | Info | `decision.api.shisho.dev/v1beta:aws_networking_default_sg_restriction` | | 利用中の Amazon EBS ボリュームを暗号化する | EC2.3 | Low | `decision.api.shisho.dev/v1beta:aws_ebs_volume_encryption` | | 停止済みの EC2 インスタンスを削除する | EC2.4 | Info | `decision.api.shisho.dev/v1beta:aws_ec2_instance_state` | | AWS VPC でフローログを有効にする | EC2.6 | Medium | `decision.api.shisho.dev/v1beta:aws_networking_vpc_flow_logging` | | EBS ボリュームの暗号化がデフォルトで行われるように全リージョンを設定する | EC2.7 | Low | `decision.api.shisho.dev/v1beta:aws_ebs_volume_encryption_baseline` | | EC2 インスタンスで Instance Metadata Service Version 2 (IMDSv2) を使用する | EC2.8 | High | `decision.api.shisho.dev/v1beta:aws_ec2_instance_imdsv2` | | EC2 インスタンスにパブリック IPv4 アドレスを割り当てない | EC2.9 | Medium | `decision.api.shisho.dev/v1beta:aws_ec2_instance_public_ip_address` | | EC2 インスタンスの EC2 API 接続時に VPC エンドポイントを利用する | EC2.10 | Info | `decision.api.shisho.dev/v1beta:aws_ec2_instance_vpc_endpoint` | | AWS VPC サブネットによる自動パブリック IP アドレスを割り当てを無効にする | EC2.15 | Medium | `decision.api.shisho.dev/v1beta:aws_networking_subnet_public_ip` | | 未使用のネットワーク ACL を削除する | EC2.16 | Low | `decision.api.shisho.dev/v1beta:aws_networking_acl_assosiations` | | EC2 インスタンスが利用する ENI を 1 つに限定する | EC2.17 | Info | `decision.api.shisho.dev/v1beta:aws_ec2_instance_network_interface` | | セキュリティグループで広範な接続元に対して許可する Ingress 通信のポートを限定する | EC2.18 | High | `decision.api.shisho.dev/v1beta:aws_networking_sg_ingress_rules` | | AWS Site-to-Site VPN による VPN トンネルの両端の正常を状態を保つ | EC2.20 | High | `decision.api.shisho.dev/v1beta:aws_networking_vpn_tunnels_state` | | AWS ネットワーク ACL で 0.0.0.0/0 からの管理用ポートへの接続を許可しない | EC2.21 | High | `decision.api.shisho.dev/v1beta:aws_networking_acl_ingress` | | Transit Gateway で VPC アタッチメントリクエストを自動的に受け入れない | EC2.23 | Medium | `decision.api.shisho.dev/v1beta:aws_networking_transit_gateway_auto_vpc_attachment` | | EC2 で準仮想化インスタンスタイプを使用しない | EC2.24 | Info | `decision.api.shisho.dev/v1beta:aws_ec2_instance_virtualization` | | EC2 起動テンプレート中で ENI へのパブリック IP 割り当てを有効化しない | EC2.25 | Medium | `decision.api.shisho.dev/v1beta:aws_ec2_launch_template_public_ip_address` | | ECR プライベートリポジトリのイメージスキャニングを有効化する | ECR.1 | Low | `decision.api.shisho.dev/v1beta:aws_ecr_repository_image_scan_config` | | ECR プライベートリポジトリのタグをイミュータブルにする | ECR.2 | Medium | `decision.api.shisho.dev/v1beta:aws_ecr_repository_tag_immutability` | | ECR リポジトリのライフサイクルポリシーを設定する | ECR.3 | Low | `decision.api.shisho.dev/v1beta:aws_ecr_repository_lifecycle_policy_config` | | ECS タスク定義で安全なネットワークモードを利用する | ECS.1 | High | `decision.api.shisho.dev/v1beta:aws_ecs_task_networking_mode` | | ECS サービスに対するパブリック IP のアサインを最小限に留める | ECS.2 | High | `decision.api.shisho.dev/v1beta:aws_ecs_service_public_ip` | | ECS タスクにホストのプロセス名前空間を共有しない | ECS.3 | High | `decision.api.shisho.dev/v1beta:aws_ecs_task_process_namespace` | | ECS コンテナの privileged フラグを有効化しない | ECS.4 | High | `decision.api.shisho.dev/v1beta:aws_ecs_container_privilege` | | ECS コンテナによるルートファイルシステム操作を読み取りのみに制限する | ECS.5 | Low | `decision.api.shisho.dev/v1beta:aws_ecs_container_fs_permission` | | ECS コンテナの環境変数としてシークレットを渡さない | ECS.8 | Medium | `decision.api.shisho.dev/v1beta:aws_ecs_container_environment_variables` | | ECS Fargate サービスを適切なプラットフォームバージョンで実行する | ECS.10 | Low | `decision.api.shisho.dev/v1beta:aws_ecs_task_fargate_version` | | ECS クラスターで Container Insights を有効化する | ECS.12 | Info | `decision.api.shisho.dev/v1beta:aws_ecs_cluster_container_insights` | | EFS ボリュームを暗号化する | EFS.1 | Medium | `decision.api.shisho.dev/v1beta:aws_efs_volume_encryption` | | Amazon EFS ボリュームを AWS Backup によりバックアップする | EFS.2 | Low | `decision.api.shisho.dev/v1beta:aws_efs_volume_backup_plan` | | EFS アクセスポイントのルートディレクトリを / 以外で指定する | EFS.3 | Low | `decision.api.shisho.dev/v1beta:aws_efs_access_point_root_directory` | | EFS アクセスポイントごとに POSIX ユーザーを指定する | EFS.4 | Medium | `decision.api.shisho.dev/v1beta:aws_efs_access_point_user_identity` | | EKS クラスターのパブリックエンドポイントへのアクセスを制限する | EKS.1 | High | `decision.api.shisho.dev/v1beta:aws_eks_public_access` | | EKS クラスターの監査ログ記録を有効にする | EKS.8 | Medium | `decision.api.shisho.dev/v1beta:aws_eks_audit_logging` | | Application Load Balancer への全ての HTTP リクエストを HTTPS にリダイレクトする | ELB.1 | Low | `decision.api.shisho.dev/v1beta:aws_alb_https_redirection` | | Application Load Balancer が無効な HTTP ヘッダをドロップするように設定する | ELB.4 | Low | `decision.api.shisho.dev/v1beta:aws_alb_invalid_header_handling` | | Application Load Balancer のログ記録を有効にする | ELB.5 | Medium | `decision.api.shisho.dev/v1beta:aws_alb_logging` | | Application Load Balancer の削除保護を有効にする | ELB.6 | Low | `decision.api.shisho.dev/v1beta:aws_alb_delete_protection` | | Application Load Balancer が HTTP Desync 攻撃を緩和するよう設定する | ELB.12 | Medium | `decision.api.shisho.dev/v1beta:aws_alb_desync_mitigation` | | AWS 上のロードバランサを複数のアベイラビリティゾーンを跨るように構成する | ELB.13 | Low | `decision.api.shisho.dev/v1beta:aws_elb_availability_zones` | | GuardDuty を有効化する | GuardDuty.1 | Medium | `decision.api.shisho.dev/v1beta:aws_guardduty_status` | | 任意リソース・任意アクションに対して権限を持つ IAM ポリシーを利用しない | IAM.1 | Critical | `decision.api.shisho.dev/v1beta:aws_iam_administrative_policy_limitation` | | IAM ユーザーへの権限付与を IAM グループ経由で行う | IAM.2 | Low | `decision.api.shisho.dev/v1beta:aws_iam_user_group_permission_assignment` | | AWS IAM のアクセスキーを所定の期間でローテーションする | IAM.3 | Medium | `decision.api.shisho.dev/v1beta:aws_iam_key_rotation` | | AWS のルートユーザーのアクセスキーを発行しない | IAM.4 | Critical | `decision.api.shisho.dev/v1beta:aws_iam_root_user_key` | | コンソール用のパスワードを設定済みの AWS のユーザーに多要素認証(MFA)を要求する | IAM.5 | High | `decision.api.shisho.dev/v1beta:aws_iam_user_mfa` | | AWS のルートユーザーの利用時にハードウェアによる多要素認証(MFA)を要求する | IAM.6 | High | `decision.api.shisho.dev/v1beta:aws_iam_root_user_hardware_mfa` | | 一定期間以上未使用の AWS 認証情報を無効化する | IAM.8 | High | `decision.api.shisho.dev/v1beta:aws_iam_credentials_inventory` | | アクションにワイルドカードを指定した IAM ポリシーを作成・利用しない | IAM.21 | Low | `decision.api.shisho.dev/v1beta:aws_iam_policy_service_limitation` | | 各 KMS キーによる複合権限を持つプリンシパル・各プリンシパルが利用できるキーの両方を最小にする | KMS.1 | Medium | `decision.api.shisho.dev/v1beta:aws_kms_key_iam_policies` | | 削除予定の AWS KMS キーが意図したものであることを確認する | KMS.3 | Critical | `decision.api.shisho.dev/v1beta:aws_kms_key_deletion` | | Kinesis ストリームを暗号化する | Kinesis.1 | Low | `decision.api.shisho.dev/v1beta:aws_kinesis_stream_encryption` | | Lambda 関数が想定外にパブリックアクセス可能になっていないかを確認する | Lambda.1 | Critical | `decision.api.shisho.dev/v1beta:aws_lambda_public_access` | | Lambda 関数で可能な限り新しいランタイムを使用する | Lambda.2 | Low | `decision.api.shisho.dev/v1beta:aws_lambda_runtime` | | VPC Lambda 関数が複数のアベイラビリティゾーンで動作する | Lambda.5 | Medium | `decision.api.shisho.dev/v1beta:aws_lambda_vpc_availability_zone` | | Network Firewall ポリシーのデフォルトの状態をドロップまたはフルパケットの転送にする | NetworkFirewall.4 | Medium | `decision.api.shisho.dev/v1beta:aws_networking_fp_stateless_action` | | Network Firewall ポリシーのデフォルトの状態をドロップまたはフォワードにする | NetworkFirewall.5 | Medium | `decision.api.shisho.dev/v1beta:aws_networking_fp_stateless_fragment_action` | | Stateless Network Firewall ルールグループが空ではない | NetworkFirewall.6 | Medium | `decision.api.shisho.dev/v1beta:aws_networking_frg_rules` | | CloudTrail ログファイルのバリデーションを有効にする | PCI.CloudTrail.4 | Medium | `decision.api.shisho.dev/v1beta:aws_cloudtrail_log_file_validation` | | RDS スナップショットをパブリックにしない | RDS.1 | Critical | `decision.api.shisho.dev/v1beta:aws_rds_snapshot_accessibility` | | RDS インスタンスに接続できる通信元を限定する | RDS.2 | High | `decision.api.shisho.dev/v1beta:aws_rds_instance_accessibility` | | RDS インスタンスのデータ暗号化を有効化する | RDS.3 | Medium | `decision.api.shisho.dev/v1beta:aws_rds_instance_encryption` | | RDS クラスタスナップショットとデータベーススナップショットが暗号化されている | RDS.4 | Low | `decision.api.shisho.dev/v1beta:aws_rds_snapshot_encryption` | | RDS DB インスタンスが複数のアベイラビリティゾーンで構成されている | RDS.5 | Medium | `decision.api.shisho.dev/v1beta:aws_rds_instance_availability_zone` | | RDS インスタンスの拡張モニタリングを有効化する | RDS.6 | Info | `decision.api.shisho.dev/v1beta:aws_rds_instance_enhanced_monitoring` | | RDS クラスタの削除保護を有効化する | RDS.7 | High | `decision.api.shisho.dev/v1beta:aws_rds_cluster_deletion_protection` | | RDS インスタンスの削除保護を有効化する | RDS.8 | High | `decision.api.shisho.dev/v1beta:aws_rds_instance_deletion_protection` | | RDS インスタンスのログ記録を有効にする | RDS.9 | Medium | `decision.api.shisho.dev/v1beta:aws_rds_instance_logging` | | RDS インスタンスの IAM 認証を利用する | RDS.10 | Low | `decision.api.shisho.dev/v1beta:aws_rds_instance_iam_authentication` | | RDS インスタンスの自動バックアップを有効化する | RDS.11 | Low | `decision.api.shisho.dev/v1beta:aws_rds_instance_automatic_backup` | | RDS クラスタの IAM 認証を利用する | RDS.12 | Low | `decision.api.shisho.dev/v1beta:aws_rds_cluster_iam_authentication` | | RDS インスタンスのマイナーバージョンの自動更新を有効にする | RDS.13 | Low | `decision.api.shisho.dev/v1beta:aws_rds_instance_auto_upgrade` | | Amazon Aurora クラスタのバックトラック機能を有効化する | RDS.14 | Info | `decision.api.shisho.dev/v1beta:aws_rds_cluster_backtracking` | | RDS クラスタが複数のアベイラビリティゾーンで構成されている | RDS.15 | Info | `decision.api.shisho.dev/v1beta:aws_rds_cluster_availability_zone` | | RDS クラスタのスナップショットにタグがコピーされるよう設定する | RDS.16 | Info | `decision.api.shisho.dev/v1beta:aws_rds_cluster_copy_tags_to_snapshots` | | RDS インスタンスのスナップショットにタグがコピーされるよう設定する | RDS.17 | Info | `decision.api.shisho.dev/v1beta:aws_rds_instance_copy_tags_to_snapshots` | | RDS インスタンスを VPC 内で運用する | RDS.18 | Medium | `decision.api.shisho.dev/v1beta:aws_rds_instance_vpc` | | クリティカルなデータベースパラメータグループイベントのために RDS イベント通知サブスクリプションが構成されている | RDS.21 | Low | `decision.api.shisho.dev/v1beta:aws_rds_subscription_parameter_group_event` | | RDS イベント通知サブスクリプションが重要なデータベースセキュリティグループイベントに対して構成されている | RDS.22 | Low | `decision.api.shisho.dev/v1beta:aws_rds_subscription_security_group_event` | | RDS インスタンスおよびクラスタで非デフォルトのポートを使用する | RDS.23 | Low | `decision.api.shisho.dev/v1beta:aws_rds_default_port_usage` | | RDS クラスタのマスターユーザー名を非デフォルト値にする | RDS.24 | Medium | `decision.api.shisho.dev/v1beta:aws_rds_cluster_administrator_username` | | RDS インスタンスのマスターユーザ名に非デフォルト値を使用する | RDS.25 | Medium | `decision.api.shisho.dev/v1beta:aws_rds_instance_administrator_username` | | S3 バケットのブロックパブリックアクセスをアカウントレベルで有効にする | S3.1 | Medium | `decision.api.shisho.dev/v1beta:aws_s3_account_public_access_block` | | S3 バケットへのパブリック読み込みアクセスを許可しない | S3.2 | Critical | `decision.api.shisho.dev/v1beta:aws_s3_bucket_public_read_access` | | S3 バケットへのパブリック書き込みアクセスを許可しない | S3.3 | Critical | `decision.api.shisho.dev/v1beta:aws_s3_bucket_public_write_access` | | S3 バケットの暗号化を有効にする | S3.4 | Low | `decision.api.shisho.dev/v1beta:aws_s3_bucket_encryption` | | S3 バケットポリシーにより許可される他の AWS アカウント内プリンシパルによる操作を最小化する | S3.6 | Medium | `decision.api.shisho.dev/v1beta:aws_s3_bucket_account_permission` | | S3 バケットのクロスリージョンレプリケーションを有効にする | S3.7 | Low | `decision.api.shisho.dev/v1beta:aws_s3_bucket_cross_region_replication` | | S3 バケットのパブリックアクセスブロック機能を有効にする | S3.8 | Medium | `decision.api.shisho.dev/v1beta:aws_s3_bucket_public_access_block` | | 重要な S3 バケットに対してアクセスログを記録する | S3.9 | Low | `decision.api.shisho.dev/v1beta:aws_s3_bucket_access_logging` | | バージョニングが有効な S3 バケットにライフサイクルポリシーを設定する | S3.10 | Low | `decision.api.shisho.dev/v1beta:aws_s3_bucket_versioning_lifecycle_policy` | | S3 バケットのイベント通知を有効にする | S3.11 | Info | `decision.api.shisho.dev/v1beta:aws_s3_bucket_event_notifications` | | S3 バケットのアクセスコントロールリスト(ACL)を使用しない | S3.12 | Low | `decision.api.shisho.dev/v1beta:aws_s3_bucket_acl` | | S3 バケットのライフサイクルポリシーを設定する | S3.13 | Info | `decision.api.shisho.dev/v1beta:aws_s3_bucket_lifecycle_policy` | | S3 バケットはバージョニングを有効にする | S3.14 | Low | `decision.api.shisho.dev/v1beta:aws_s3_bucket_versioning` | | S3 バケットがオブジェクトロックを使用する | S3.15 | Medium | `decision.api.shisho.dev/v1beta:aws_s3_bucket_object_lock` | | S3 バケットを AWS KMS キーで暗号化する | S3.17 | Medium | `decision.api.shisho.dev/v1beta:aws_s3_bucket_kms_encryption` | | SNS トピック内のデータを暗号化する | SNS.1 | Low | `decision.api.shisho.dev/v1beta:aws_sns_kms_encryption` | | Amazon SQS キュー内のデータを暗号化する | SQS.1 | Low | `decision.api.shisho.dev/v1beta:aws_sqs_encryption` | | EC2 インスタンスが AWS Systems Manager によって管理されている | SSM.1 | Medium | `decision.api.shisho.dev/v1beta:aws_ssm_managed_instances` | | Systems Manager によって管理されている EC2 インスタンスがパッチのインストール後に COMPLIANT ステータスになっている | SSM.2 | High | `decision.api.shisho.dev/v1beta:aws_ssm_patch_compliance` | | Systems Manager によって管理されている EC2 インスタンスの関連付けが COMPLIANT ステータスである | SSM.3 | Low | `decision.api.shisho.dev/v1beta:aws_ssm_association_compliance` | | SSM ドキュメントを公開しない | SSM.4 | Critical | `decision.api.shisho.dev/v1beta:aws_ssm_document_accessibility` | | Secrets Manager のシークレットの自動ローテーションを有効にする | SecretsManager.1 | Medium | `decision.api.shisho.dev/v1beta:aws_secretsmanager_auto_rotation` | | Secrets Manager で自動ローテーションが設定されたシークレットが正常にローテーションされていることを確認する | SecretsManager.2 | Medium | `decision.api.shisho.dev/v1beta:aws_secretsmanager_auto_rotation_state` | | 未使用の Secrets Manager のシークレットを削除する | SecretsManager.3 | Low | `decision.api.shisho.dev/v1beta:aws_secretsmanager_secret_usage` | | Secrets Manager のシークレットが指定された日数以内にローテーションされている | SecretsManager.4 | Medium | `decision.api.shisho.dev/v1beta:aws_secretsmanager_rotation_interval` | | AWS WAF Classic Global Web ACL のログ記録を有効にする | WAF.1 | Medium | `decision.api.shisho.dev/v1beta:aws_waf_classic_web_acl_logging` | | WAF ルールに少なくとも 1 つの条件を設定する | WAF.2 | Low | `decision.api.shisho.dev/v1beta:aws_waf_classic_rule_condition` | | WAF Classic ルールグループに少なくとも1つのルールを設定する | WAF.3 | Low | `decision.api.shisho.dev/v1beta:aws_waf_classic_rule_group_attached_rules` | | WAF Classic Web ACL には少なくとも 1 つのルールまたはルールグループを設定する | WAF.4 | Low | `decision.api.shisho.dev/v1beta:aws_waf_classic_web_acl_rules` | | WAFv2 web ACL には少なくとも 1 つのルールまたはルールグループを設定する | WAF.10 | Low | `decision.api.shisho.dev/v1beta:aws_waf_web_acl_rules` | | AWS WAFv2 Web ACL のログ記録を有効化にする | WAF.11 | Medium | `decision.api.shisho.dev/v1beta:aws_waf_web_acl_logging` |