クラウドアカウントのスキャンに関するポリシー
CAM アプリ用に提供されているデフォルトのポリシーをリストしています。これらのポリシーは、スキャンアカウント構成の作成時に使用できます。
スキャンアカウント構成で使用するデフォルトのポリシー
| ポリシー名 | 説明 |
|---|---|
| AWS ディスカバリースケジュールを確認 | AWS サービスアカウントにディスカバリースケジュールが添付されているかどうかを確認します。これは、リソースランドスケープをセキュリティ保護して最新の状態に保ち、潜在的なセキュリティリスクの特定と管理を容易にするのに役立ちます。 |
| AWS アカウントエイリアスを確認 | AWS インフラストラクチャ内でアカウント管理を改善し、エラーを減らし、明確さとトレーサビリティを促進するために、AWS アカウントに一意のエイリアスがあることを確認します。 |
| AWS アカウント所有者タグを確認 | AWS 環境内で説明責任を強化し、コミュニケーションを促進するために、指定された所有者タグが AWS アカウントにあるかどうかを確認します。これにより、各アカウントの責任者がすぐに特定され、オーナーシップの文化が促進され、インシデントレスポンスが簡素化されます。 |
| AWS カスタムパスワードポリシーを確認 | すべての IAM ユーザーに強力なパスワード要件を定義するために、すべての AWS アカウントにカスタムパスワードポリシーが設定されているかどうかを確認します。これにより、攻撃者がブルートフォース攻撃や認証情報の盗難試行によりパスワードを解読することが非常に困難になり、最終的にAWSインフラストラクチャの全体的なセキュリティが強化されます。 |
| AWS の認定の失敗を確認 | 認定ステータスが失敗になっているサービスアカウントをプロアクティブに監視することで、AWS サービスアカウント認定ステータスの失敗をチェックして、強力なアクセス制御を確実なものにします。侵害された認証情報がすぐに非アクティブ化されない可能性があるため、認定の失敗は潜在的なセキュリティの脆弱性を示します。これにより、攻撃者がこれらの弱点を悪用する機会のある期間を最小限に抑えることができます。 |
| AWS の認定の保留を確認 | AWS サービスアカウントの認定が保留中ステータスかどうかを確認します。この監視により、保留中の認定を迅速に解決し、潜在的なセキュリティの脆弱性を回避できます。 |
| AWS の強力なパスワードポリシーを確認 | AWS アカウントがセキュリティを確保するための強力なパスワードポリシーに準拠しているかどうかを確認します。このポリシーにより、強力なパスワードの複雑さの要件が義務付けられ、不正アクセスに対する AWS 環境の防御が大幅に強化されます。 |
| Azure ディスカバリースケジュールを確認 | Azure サービスアカウントにディスカバリースケジュールが添付されているかどうかを確認します。これは、リソースランドスケープをセキュリティ保護して最新の状態に保ち、潜在的なセキュリティリスクの特定と管理を容易にするのに役立ちます。 |
| Azure アカウント所有者タグを確認 | Azure 環境内で説明責任を強化し、コミュニケーションを促進するために、指定された所有者タグが Azure アカウントにあるかどうかを確認します。これにより、各アカウントの責任者がすぐに特定され、オーナーシップの文化が促進され、インシデントレスポンスが簡素化されます。 |
| Azure の認定の失敗を確認 | 認定ステータスが失敗になっているサービスアカウントをプロアクティブに監視することで、Azure サービスアカウント認定ステータスの失敗をチェックして、強力なアクセス制御を確実なものにします。侵害された認証情報がすぐに非アクティブ化されない可能性があるため、認定の失敗は潜在的なセキュリティの脆弱性を示します。これにより、攻撃者がこれらの弱点を悪用する機会のある期間を最小限に抑えることができます。 |
| Azure の認定の保留を確認 | Azure サービスアカウントの認定が保留中ステータスかどうかを確認します。この監視により、保留中の認定を迅速に解決し、潜在的なセキュリティの脆弱性を回避できます。 |
| GCP ディスカバリースケジュールを確認 | GCP サービスアカウントにディスカバリースケジュールが添付されているかどうかを確認します。これは、リソースランドスケープをセキュリティ保護して最新の状態に保ち、潜在的なセキュリティリスクの特定と管理を容易にするのに役立ちます。 |
| GCP アカウント所有者タグを確認 | GCP 環境内で説明責任を強化し、コミュニケーションを促進するために、指定された所有者タグが GCP アカウントにあるかどうかを確認します。これにより、各アカウントの責任者がすぐに特定され、オーナーシップの文化が促進され、インシデントレスポンスが簡素化されます。 |
| GCP の認定の失敗を確認 | 認定ステータスが失敗になっているサービスアカウントをプロアクティブに監視することで、GCP サービスアカウント認定ステータスの失敗をチェックして、強力なアクセス制御を確実なものにします。侵害された認証情報がすぐに非アクティブ化されない可能性があるため、認定の失敗は潜在的なセキュリティの脆弱性を示します。これにより、攻撃者がこれらの弱点を悪用する機会のある期間を最小限に抑えることができます。 |
| GCP の認定の保留を確認 | GCP サービスアカウントの認定が保留中ステータスかどうかを確認します。この監視により、保留中の認定を迅速に解決し、潜在的なセキュリティの脆弱性を回避できます。 |
デフォルトのポリシーのいずれも要件に一致しない場合は、カスタムポリシーを作成できます。カスタムポリシーを作成するには、クラウドコンフィグレーションガバナンス アドミンに (sn_itom_ccg.governor) ロールがアサインされていることを確認します。ロールの詳細については、「クラウドコンフィグレーションガバナンス ロールおよびシステムプロパティ」の [Cloud Configuration Go ロール] の表を参照してください。
手順に戻るには、「データの可視化の設定」を参照してください。