翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CIS AWS ベンチマーク v1.2.0
AWS Audit Manager には、Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0 をサポートする 2 つの構築済みフレームワークが用意されています。
注記
-
v1.3.0 をサポートする Audit Manager フレームワークについては、「CIS AWS ベンチマーク v1.3.0」を参照してください。
-
v1.4.0 をサポートする Audit Manager フレームワークについては、「CIS AWS ベンチマーク v1.4.0」を参照してください。
CIS とは?
CIS は、 CIS AWS Foundations Benchmark
詳細については、 セキュリティブログ の CIS AWS Foundations Benchmark
CIS ベンチマークとCISコントロールの違い
CIS ベンチマークは、ベンダー製品に固有のセキュリティのベストプラクティスガイドラインです。オペレーティングシステムからクラウドサービスやネットワークデバイスに至るまで、ベンチマークから適用される設定は、組織が使用する特定のシステムを保護します。CIS コントロールは、組織レベルのシステムが既知のサイバー攻撃ベクトルから保護するために従うべき基本的なベストプラクティスガイドラインです。
例
-
CIS ベンチマークは規範的です。これらは通常、ベンダー製品で確認および設定できる特定の設定を参照します。
例: CIS AWS Benchmark v1.2.0 - 「ルートユーザー」アカウントで MFAが有効になっていることを確認します。
この推奨事項では、これを確認する方法と AWS 、環境のルートアカウントでこれを設定する方法に関する規範的なガイダンスを提供します。
-
CIS コントロールは組織全体を対象としています。1 つのベンダー製品のみに特化したものではありません。
例: CIS v7.1 - すべての管理アクセスに多要素認証を使用する
このコントロールは、組織内で適用されるであろう内容を記述しています。実行しているシステムやワークロード (場所に関係なく) にそれを適用する方法については説明されていません。
このフレームワークを使用する
の CIS AWS Benchmark v1.2 フレームワークを使用すると AWS Audit Manager 、CIS監査の準備に役立ちます。これらのフレームワークとそのコントロールをカスタマイズして、特定の要件を満たす必要がある内部監査をサポートすることもできます。
フレームワークを出発点として使用して Audit Manager の評価を作成し、監査に関連する証拠の収集を開始点できます。評価を作成すると、Audit Manager は AWS リソースの評価を開始します。これは、CISフレームワークで定義されているコントロールに基づいて行われます。監査の時間になると、ユーザー (または任意の受任者) は、Audit Manager で収集された証拠を確認できます。評価の証拠フォルダを参照するか、評価レポートに含める証拠を選択できます。または、証拠ファインダーを有効にした場合は、特定の証拠を検索してCSV形式でエクスポートするか、検索結果から評価レポートを作成できます。どの場合でも、この評価レポートは、コントロールが意図したとおりに機能していることを実証するのに役立ちます。
このフレームワークの詳細は以下のとおりです。
| のフレームワーク名 AWS Audit Manager | 自動化されたコントロールの数 | 手動コントロールの数 | コントロールセットの数 |
|---|---|---|---|
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0、レベル 1 | 33 | 3 | 4 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0、レベル 1 および 2 | 45 | 4 | 4 |
重要
これらのフレームワークが から意図した証拠を確実に収集するには AWS Security Hub、Security Hub ですべての標準を有効にしていることを確認してください。
これらのフレームワークが から意図した証拠を確実に収集するには AWS Config、必要な AWS Config ルールを有効にしてください。これらの標準フレームワークのデータソースマッピングとして使用される AWS Config ルールのリストを確認するには、次のファイルをダウンロードします。
これらのフレームワークのコントロールは、システムがCIS AWS ベンチマークのベストプラクティスに準拠しているかどうかを検証することを意図したものではありません。さらに、CISAudit. AWS Audit Manager does を渡すことを保証することはできません。手動証拠収集を必要とする手順コントロールを自動的にチェックしません。
これらのフレームワークは、Audit Manager のフレームワークライブラリの標準フレームワークタブにあります。
これらのフレームワークを使用するための前提条件
CIS AWS Benchmark v1.2 フレームワークの多くのコントロールは、データソースタイプ AWS Config として を使用します。これらのコントロールをサポートするには、Audit Manager を有効に AWS リージョン した各 のすべてのアカウントで を有効にする AWS Config必要があります。また、特定の AWS Config ルールが有効になっていること、およびこれらのルールが正しく設定されていることを確認する必要があります。
Foundations Benchmark CIS AWS v1.2 の正しい証拠を収集し、正確なコンプライアンスステータスをキャプチャするには、次の AWS Config ルールとパラメータが必要です。ルールを有効化または設定する方法については、「 AWS Config マネージドルールの使用」を参照してください。
| 必須 AWS Config ルール | 必須パラメータ |
|---|---|
| ACCESS_KEYS_ROTATED |
|
| CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED | 該当しない |
| CLOUD_TRAIL_ENCRYPTION_ENABLED | 該当しない |
| CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED | 該当しない |
| CMK_BACKING_KEY_ROTATION_ENABLED | 該当しない |
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
|
|
| IAM_POLICY_NO_STATEMENTS_WITHADMIN_ACCESS | 該当しない |
| IAM_ROOT_ACCESS_KEY_CHECK | 該当しない |
| IAM_USER_NO_POLICIES_CHECK | 該当しない |
| IAM_USER_UNUSED_CREDENTIALS_CHECK |
|
| INCOMING_SSH_DISABLED | 該当しない |
| MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS | 該当しない |
| MULTI_REGION_CLOUD_TRAIL_ENABLED | 該当しない |
| RESTRICTED_INCOMING_TRAFFIC |
|
| ROOT_ACCOUNT_HARDWARE_MFA_ENABLED | 該当しない |
| ROOT_ACCOUNT_MFA_ENABLED | 該当しない |
| S3_BUCKETLOGGING_ENABLED |
|
| S3_BUCKET_PUBLICREAD_PROHIBITED | 該当しない |
| VPC_DEFAULT_SECURITY_GROUP_CLOSED | 該当しない |
| VPC_FLOW_LOGS_ENABLED |
|
次のステップ
これらのフレームワークを使用して評価を作成する方法については、「での評価の作成 AWS Audit Manager」を参照してください。
特定の要件をサポートするためにこれらのフレームワークをカスタマイズする方法については、「」を参照してくださいで既存のフレームワークの編集可能なコピーを作成する AWS Audit Manager。
追加リソース
-
CIS AWS Foundations Benchmark ブログ記事
AWS 「 セキュリティブログ」
