CIS AWS Benchmark v1.2.0
AWS Audit Manager は、Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0 をサポートする 2 つの事前構築済みフレームワークを提供します。
注記
-
v1.3.0 をサポートする Audit Manager フレームワークについては、「CIS AWS Benchmark v1.3.0」を参照してください。
-
v1.4.0 をサポートする Audit Manager フレームワークについては、「CIS AWS Benchmark v1.4.0」を参照してください。
CIS とは
CIS は、CIS AWS Foundations Benchmark
詳細については、AWS セキュリティブログ
CIS Benchmarks と CIS Controls の違い
CIS Benchmarks は、ベンダー製品に固有のセキュリティのベストプラクティスに関するガイドラインです。オペレーティングシステムからクラウドサービスやネットワークデバイスに至るまで、ベンチマークから適用される設定は、組織が使用する特定のシステムを保護します。CIS Controls は、組織が既知のサイバー攻撃ベクトルから保護するのに役立てるために従うべき基本的なベストプラクティスガイドラインです。
例
-
CIS Benchmarks は規範的なものです。これらは通常、ベンダー製品で確認および設定できる特定の設定を参照します。
例: CIS AWS Benchmark v1.2.0 - MFA が「ルートユーザー」アカウントで有効化されているかどうかを検証します。
このレコメンデーションは、これを確認する方法と、AWS 環境のルートアカウントでこれを設定する方法に関する規範的なガイダンスを提供します。
-
CIS Controls は組織全体を対象としています。1 つのベンダー製品のみに特化したものではありません。
例: CIS v7.1 - すべての管理者アクセスで多要素認証を使用します。
このコントロールは、組織内で適用されるであろう内容を記述しています。実行しているシステムやワークロード (場所に関係なく) にそれを適用する方法については説明されていません。
このフレームワークを使用する
AWS Audit Manager の CIS AWS Benchmark v1.2 フレームワークは、CIS 監査の準備に役立つように設計されています。これらのフレームワークとそのコントロールをカスタマイズして、特定の要件を満たす必要がある内部監査をサポートすることもできます。
フレームワークを出発点として使用して Audit Manager の評価を作成し、監査に関連する証拠の収集を開始点できます。評価を作成すると、Audit Manager が AWS リソースの評価を開始します。これは CIS フレームワークで定義されているコントロールに基づいて行われます。監査の時間になると、ユーザー (または任意の受任者) は、Audit Manager で収集された証拠を確認できます。評価の証拠フォルダを参照するか、評価レポートに含める証拠を選択できます。または、エビデンスファインダーを有効にした場合は、特定のエビデンスを検索して CSV 形式でエクスポートしたり、検索結果から評価レポートを作成できます。どの場合でも、この評価レポートは、コントロールが意図したとおりに機能していることを実証するのに役立ちます。
このフレームワークの詳細は以下のとおりです。
| AWS Audit Manager でのフレームワーク名 | 自動化されたコントロールの数 | 手動コントロールの数 | コントロールセットの数 |
|---|---|---|---|
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, Level 1 | 33 | 3 | 4 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, Level 1 and 2 | 45 | 4 | 4 |
重要
これらのフレームワークが AWS Security Hub から意図した証拠を収集できるようにするには、Security Hub ですべての標準を有効にしていることを確認します。
これらのフレームワークが AWS Config から意図した証拠を確実に収集するには、必要な AWS Config ルールを有効にしていることを確認します。これらの標準フレームワークのデータソースマッピングとして使用される AWS Config ルールのリストを確認するには、以下のファイルをダウンロードしてください。
これらのフレームワークのコントロールは、システムが CIS AWS Benchmark のベストプラクティスに準拠しているかどうかを確認するためのものではありません。さらに、これらのコントロールは、CIS 評価に合格することを保証することはできません。AWS Audit Manager は、手動証拠収集を必要とする手続き型コントロールを自動的にチェックしません。
これらのフレームワークを使用するための前提条件
CIS AWS Benchmark v1.2 フレームワークの多くのコントロールは、データソースタイプとして AWS Config を使用しています。これらのコントロールをサポートするには、Audit Manager を有効にした各 AWS リージョン のすべてのアカウントで AWS Config を有効にする必要があります。また、特定の AWS Config ルールが有効になっていて、それらのルールが正しく設定されていることも確認する必要があります。
CIS AWS Foundations Benchmark v1.2 の正しい証拠を収集し、正確なコンプライアンス状況を把握するには、以下の AWS Config ルールとパラメータが必要です。ルールを有効化または設定する方法については、「AWS Config マネージドルールの使用」を参照してください。
| 必須 AWS Config ルール | 必須パラメータ |
|---|---|
| ACCESS_KEYS_ROTATED |
|
| CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED | 該当しない |
| CLOUD_TRAIL_ENCRYPTION_ENABLED | 該当しない |
| CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED | 該当しない |
| CMK_BACKING_KEY_ROTATION_ENABLED | 該当しない |
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
|
|
| IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS | 該当しない |
| IAM_ROOT_ACCESS_KEY_CHECK | 該当しない |
| IAM_USER_NO_POLICIES_CHECK | 該当しない |
| IAM_USER_UNUSED_CREDENTIALS_CHECK |
|
| INCOMING_SSH_DISABLED | 該当しない |
| MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS | 該当しない |
| MULTI_REGION_CLOUD_TRAIL_ENABLED | 該当しない |
| RESTRICTED_INCOMING_TRAFFIC |
|
| ROOT_ACCOUNT_HARDWARE_MFA_ENABLED | 該当しない |
| ROOT_ACCOUNT_MFA_ENABLED | 該当しない |
| S3_BUCKET_LOGGING_ENABLED |
|
| S3_BUCKET_PUBLIC_READ_PROHIBITED | 該当しない |
| VPC_DEFAULT_SECURITY_GROUP_CLOSED | 該当しない |
| VPC_FLOW_LOGS_ENABLED |
|
次のステップ
含まれている標準コントロールのリストなど、これらのフレームワークに関する詳細情報を表示する方法については、「AWS Audit Manager でのフレームワークの確認」を参照してください。
これらのフレームワークを使用して評価を作成する方法については、「AWS Audit Manager での評価の作成」を参照してください。
特定の要件をサポートするためにこれらのフレームワークをカスタマイズする方法については、「AWS Audit Manager で既存のフレームワークの編集可能なコピーを作成する」を参照してください。
追加リソース
