CIS AWS Benchmark v1.2.0 - AWS Audit Manager

CIS AWS Benchmark v1.2.0

AWS Audit Manager は、Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0 をサポートする 2 つの事前構築済みフレームワークを提供します。

注記
  • v1.3.0 をサポートする Audit Manager フレームワークについては、「CIS AWS Benchmark v1.3.0」を参照してください。

  • v1.4.0 をサポートする Audit Manager フレームワークについては、「CIS AWS Benchmark v1.4.0」を参照してください。

CIS とは

CIS は、CIS AWS Foundations Benchmark を開発した非営利団体です。このベンチマークは、AWS のセキュリティ設定のベストプラクティスのセットとして機能します。業界で認められているこれらのベストプラクティスは、既に利用可能となっている概要レベルのセキュリティに関するガイダンスを超えるものであり、明確かつステップバイステップの実装および評価手順を提供します。

詳細については、AWS セキュリティブログCIS AWS Foundations Benchmark のブログ投稿を参照してください。

CIS Benchmarks と CIS Controls の違い

CIS Benchmarks は、ベンダー製品に固有のセキュリティのベストプラクティスに関するガイドラインです。オペレーティングシステムからクラウドサービスやネットワークデバイスに至るまで、ベンチマークから適用される設定は、組織が使用する特定のシステムを保護します。CIS Controls は、組織が既知のサイバー攻撃ベクトルから保護するのに役立てるために従うべき基本的なベストプラクティスガイドラインです。

  • CIS Benchmarks は規範的なものです。これらは通常、ベンダー製品で確認および設定できる特定の設定を参照します。

    例: CIS AWS Benchmark v1.2.0 - MFA が「ルートユーザー」アカウントで有効化されているかどうかを検証します。

    このレコメンデーションは、これを確認する方法と、AWS 環境のルートアカウントでこれを設定する方法に関する規範的なガイダンスを提供します。

  • CIS Controls は組織全体を対象としています。1 つのベンダー製品のみに特化したものではありません。

    例: CIS v7.1 - すべての管理者アクセスで多要素認証を使用します。

    このコントロールは、組織内で適用されるであろう内容を記述しています。実行しているシステムやワークロード (場所に関係なく) にそれを適用する方法については説明されていません。

このフレームワークを使用する

AWS Audit Manager の CIS AWS Benchmark v1.2 フレームワークは、CIS 監査の準備に役立つように設計されています。これらのフレームワークとそのコントロールをカスタマイズして、特定の要件を満たす必要がある内部監査をサポートすることもできます。

フレームワークを出発点として使用して Audit Manager の評価を作成し、監査に関連する証拠の収集を開始点できます。評価を作成すると、Audit Manager が AWS リソースの評価を開始します。これは CIS フレームワークで定義されているコントロールに基づいて行われます。監査の時間になると、ユーザー (または任意の受任者) は、Audit Manager で収集された証拠を確認できます。評価の証拠フォルダを参照するか、評価レポートに含める証拠を選択できます。または、エビデンスファインダーを有効にした場合は、特定のエビデンスを検索して CSV 形式でエクスポートしたり、検索結果から評価レポートを作成できます。どの場合でも、この評価レポートは、コントロールが意図したとおりに機能していることを実証するのに役立ちます。

このフレームワークの詳細は以下のとおりです。

AWS Audit Manager でのフレームワーク名 自動化されたコントロールの数 手動コントロールの数 コントロールセットの数
Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, Level 1 33 3 4
Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, Level 1 and 2 45 4 4
重要

これらのフレームワークが AWS Security Hub から意図した証拠を収集できるようにするには、Security Hub ですべての標準を有効にしていることを確認します。

これらのフレームワークが AWS Config から意図した証拠を確実に収集するには、必要な AWS Config ルールを有効にしていることを確認します。これらの標準フレームワークのデータソースマッピングとして使用される AWS Config ルールのリストを確認するには、以下のファイルをダウンロードしてください。

これらのフレームワークのコントロールは、システムが CIS AWS Benchmark のベストプラクティスに準拠しているかどうかを確認するためのものではありません。さらに、これらのコントロールは、CIS 評価に合格することを保証することはできません。AWS Audit Manager は、手動証拠収集を必要とする手続き型コントロールを自動的にチェックしません。

これらのフレームワークを使用するための前提条件

CIS AWS Benchmark v1.2 フレームワークの多くのコントロールは、データソースタイプとして AWS Config を使用しています。これらのコントロールをサポートするには、Audit Manager を有効にした各 AWS リージョン のすべてのアカウントで AWS Config を有効にする必要があります。また、特定の AWS Config ルールが有効になっていて、それらのルールが正しく設定されていることも確認する必要があります。

CIS AWS Foundations Benchmark v1.2 の正しい証拠を収集し、正確なコンプライアンス状況を把握するには、以下の AWS Config ルールとパラメータが必要です。ルールを有効化または設定する方法については、「AWS Config マネージドルールの使用」を参照してください。

必須 AWS Config ルール 必須パラメータ
ACCESS_KEYS_ROTATED
maxAccessKeyAge
  • ローテーションを行わない最大日数。

  • タイプ: Int

  • デフォルト: (90 日)

  • コンプライアンス要件: 最大 90 日間

CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED 該当しない
CLOUD_TRAIL_ENCRYPTION_ENABLED 該当しない
CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED 該当しない
CMK_BACKING_KEY_ROTATION_ENABLED 該当しない
IAM_PASSWORD_POLICY
MaxPasswordAge (オプション)
  • パスワードが有効期限切れになるまでの日数。

  • タイプ: int

  • デフォルト: 90

  • コンプライアンス要件: 最大 90 日間

IAM_PASSWORD_POLICY
MinimumPasswordLength (オプション)
  • パスワードの最小長。

  • タイプ: int

  • デフォルト: 14

  • コンプライアンス要件: 14 文字以上

IAM_PASSWORD_POLICY
PasswordReusePrevention (オプション)
  • パスワードを再利用できるまでの他のパスワードの使用回数。

  • タイプ: int

  • デフォルト: 24

  • コンプライアンス要件: 再利用までに 24 個以上の他のパスワード

IAM_PASSWORD_POLICY
RequireLowercaseCharacters (オプション)
  • パスワードには少なくとも 1 つの小文字が必要です。

  • 型: ブール値

  • デフォルト: True

  • コンプライアンス要件: 少なくとも 1 文字の小文字

IAM_PASSWORD_POLICY
RequireNumbers (オプション)
  • パスワードには少なくとも 1 つの数字が必要です。

  • 型: ブール値

  • デフォルト: True

  • コンプライアンス要件: 少なくとも 1 つの数字

IAM_PASSWORD_POLICY
RequireSymbols (オプション)
  • パスワードには少なくとも 1 つの記号が必要です。

  • 型: ブール値

  • デフォルト: True

  • コンプライアンス要件: 少なくとも 1 つの記号

IAM_PASSWORD_POLICY
RequireUppercaseCharacters (オプション)
  • パスワードには少なくとも 1 つの大文字が必要です。

  • 型: ブール値

  • デフォルト: True

  • コンプライアンス要件: 少なくとも 1 文字の大文字

IAM_POLICY_IN_USE

policyARN
  • チェック対象の IAM ポリシー ARN。

  • 型: 文字列

  • コンプライアンス要件: AWS でインシデントを管理するための IAM ロール作成。

policyUsageType (オプション)
  • ポリシーを IAM ユーザー、グループ、またはロールにアタッチされることを期待するかどうかを指定します。

  • 型: 文字列

  • 有効な値: IAM_USER | IAM_GROUP | IAM_ROLE | ANY

  • デフォルト値: ANY

  • コンプライアンス要件: 作成した IAM ロールに信頼ポリシーをアタッチ

IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS 該当しない
IAM_ROOT_ACCESS_KEY_CHECK 該当しない
IAM_USER_NO_POLICIES_CHECK 該当しない
IAM_USER_UNUSED_CREDENTIALS_CHECK
maxCredentialUsageAge
  • 認証情報を使用できない最大日数。

  • タイプ: Int

  • デフォルト: (90 日)

  • コンプライアンス要件: 90 日以上

INCOMING_SSH_DISABLED 該当しない
MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS 該当しない
MULTI_REGION_CLOUD_TRAIL_ENABLED 該当しない
RESTRICTED_INCOMING_TRAFFIC
blockedPort1 (オプション)
  • ブロックされた TCP ポート番号。

  • タイプ: int

  • デフォルト: 20

  • コンプライアンス要件: ブロックしたポートへの侵入をどのセキュリティグループにも許可しない

blockedPort2 (オプション)
  • ブロックされた TCP ポート番号。

  • タイプ: int

  • デフォルト: 21

  • コンプライアンス要件: ブロックしたポートへの侵入をどのセキュリティグループにも許可しない

blockedPort3 (オプション)
  • ブロックされた TCP ポート番号。

  • タイプ: int

  • デフォルト: 3389

  • コンプライアンス要件: ブロックしたポートへの侵入をどのセキュリティグループにも許可しない

blockedPort4 (オプション)
  • ブロックされた TCP ポート番号。

  • タイプ: int

  • デフォルト: 3306

  • コンプライアンス要件: ブロックしたポートへの侵入をどのセキュリティグループにも許可しない

blockedPort5 (オプション)
  • ブロックされた TCP ポート番号。

  • タイプ: int

  • デフォルト: 4333

  • コンプライアンス要件: ブロックしたポートへの侵入をどのセキュリティグループにも許可しない

ROOT_ACCOUNT_HARDWARE_MFA_ENABLED 該当しない
ROOT_ACCOUNT_MFA_ENABLED 該当しない
S3_BUCKET_LOGGING_ENABLED
targetBucket (オプション)
  • サーバーアクセスログの保存先の S3 バケット。

  • 型: 文字列

  • コンプライアンス要件: ログ記録を有効にする

targetPrefix (オプション)
  • サーバーアクセスログの保存先である S3 バケットのプレフィックス。

  • 型: 文字列

  • コンプライアンス要件: CloudTrail のログ記録用の S3 バケットを特定する

S3_BUCKET_PUBLIC_READ_PROHIBITED 該当しない
VPC_DEFAULT_SECURITY_GROUP_CLOSED 該当しない
VPC_FLOW_LOGS_ENABLED
trafficType (オプション)
  • フローログの trafficType

  • 型: 文字列

  • コンプライアンス要件: フローログを有効にする

次のステップ

含まれている標準コントロールのリストなど、これらのフレームワークに関する詳細情報を表示する方法については、「AWS Audit Manager でのフレームワークの確認」を参照してください。

これらのフレームワークを使用して評価を作成する方法については、「AWS Audit Manager での評価の作成」を参照してください。

特定の要件をサポートするためにこれらのフレームワークをカスタマイズする方法については、「AWS Audit Manager で既存のフレームワークの編集可能なコピーを作成する」を参照してください。

追加リソース