CIS AWS Foundations Benchmark - AWS Security Hub
CIS AWS Foundations Benchmark v3.0.0CIS AWS Foundations Benchmark v1.4.0CIS AWS Foundations Benchmark v1.2.0CIS AWS Foundations Benchmark のバージョン比較

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CIS AWS Foundations Benchmark

Center for Internet Security (CIS) AWS Foundations Benchmark は、一連のセキュリティ設定のベストプラクティスとして機能します AWS。これらの業界で認められているベストプラクティスは、明確で step-by-step実装と評価の手順を提供します。オペレーティングシステムからクラウドサービスやネットワークデバイスに至るまで、このベンチマークのコントロールは、組織が使用する特定のシステムの保護に役立ちます。

AWS Security Hub は CIS AWS Foundations Benchmark v3.0.0、1.4.0、および v1.2.0 をサポートしています。

このページでは、各バージョンがサポートするセキュリティコントロールを一覧表示し、バージョンの比較を提供します。

CIS AWS Foundations Benchmark v3.0.0

Security Hub は、 CIS AWS Foundations Benchmark のバージョン 3.0.0 をサポートしています。

Security Hub は、CISセキュリティソフトウェア認定の要件を満たしており、以下のCISベンチマークでCISセキュリティソフトウェア認定を受けています。

  • CIS Benchmark for CIS AWS Foundations Benchmark、v3.0.0、レベル 1

  • CIS Benchmark for CIS AWS Foundations Benchmark、v3.0.0、レベル 2

CIS AWS Foundations Benchmark v3.0.0 に適用されるコントロール

[Account.1]AWS アカウント について、セキュリティの連絡先情報を提供する必要があります

〔CloudTrail.1] CloudTrail 読み取りと書き込みの管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります

〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.7] S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります

〔EC2.2] VPCデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください

〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs

〔EC2.7] EBSデフォルトの暗号化を有効にする必要があります

〔EC2.8] EC2インスタンスはインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください

〔EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください

〔EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります

〔IAM.4] IAMルートユーザーアクセスキーは存在してはいけません

コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

ルートユーザーに対して [IAM.9] を有効にするMFA必要があります

〔IAM.15] IAMパスワードポリシーでパスワードの長さが 14 以上であることを確認してください

〔IAM.16] IAMパスワードポリシーでパスワードの再利用を禁止する

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS Support

45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください

〔IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります

〔KMS.4] AWS KMS キーローテーションを有効にする必要があります

〔RDS.2] RDS DB インスタンスは、 PubliclyAccessible 設定によって決定されるパブリックアクセスを禁止する必要があります

〔RDS.3] RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります

〔RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.5] S3 汎用バケットでは、 を使用するためのリクエストが必要です SSL

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.20] S3 汎用バケットではMFA、削除を有効にする必要があります

[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります

[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります

CIS AWS Foundations Benchmark v1.4.0

Security Hub は CIS AWS Foundations Benchmark の v1.4.0 をサポートしています。

CIS AWS Foundations Benchmark v1.4.0 に適用されるコントロール

〔CloudTrail.1] CloudTrail 読み取りと書き込みの管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります

〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

〔CloudTrail.7] S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります

[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.5] CloudTrail AWS Config 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.6] AWS Management Console 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.9] AWS Config 設定の変更に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します

[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります

〔EC2.2] VPCデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください

〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs

〔EC2.7] EBSデフォルトの暗号化を有効にする必要があります

〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください

〔IAM.1] IAMポリシーでは、完全な「*」管理者権限を許可しないでください

〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります

〔IAM.4] IAMルートユーザーアクセスキーは存在してはいけません

コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

ルートユーザーに対して [IAM.9] を有効にするMFA必要があります

〔IAM.15] IAMパスワードポリシーでパスワードの長さが 14 以上であることを確認してください

〔IAM.16] IAMパスワードポリシーでパスワードの再利用を禁止する

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS Support

45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります

〔KMS.4] AWS KMS キーローテーションを有効にする必要があります

〔RDS.3] RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.5] S3 汎用バケットでは、 を使用するためのリクエストが必要です SSL

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.20] S3 汎用バケットではMFA、削除を有効にする必要があります

Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

Security Hub は、 CIS AWS Foundations Benchmark のバージョン 1.2.0 をサポートしています。

Security Hub は、CISセキュリティソフトウェア認定の要件を満たしており、以下のCISベンチマークでCISセキュリティソフトウェア認定を受けています。

  • CIS Benchmark for CIS AWS Foundations Benchmark、v1.2.0、レベル 1

  • CIS Benchmark for CIS AWS Foundations Benchmark、v1.2.0、レベル 2

CIS AWS Foundations Benchmark v1.2.0 に適用されるコントロール

〔CloudTrail.1] CloudTrail 読み取りと書き込みの管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります

〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

〔CloudTrail.7] S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります

[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.5] CloudTrail AWS Config 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.6] AWS Management Console 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.9] AWS Config 設定の変更に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します

[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります

〔EC2.2] VPCデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください

〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください

〔IAM.1] IAMポリシーでは、完全な「*」管理者権限を許可しないでください

〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります

〔IAM.4] IAMルートユーザーアクセスキーは存在してはいけません

コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります

ルートユーザーに対して [IAM.9] を有効にするMFA必要があります

〔IAM.11] IAMパスワードポリシーに少なくとも 1 つの大文字が必要であることを確認する

〔IAM.12] IAMパスワードポリシーに少なくとも 1 つの小文字が必要であることを確認する

〔IAM.13] IAMパスワードポリシーに少なくとも 1 つの記号が必要であることを確認する

〔IAM.14] IAMパスワードポリシーに少なくとも 1 つの数字が必要であることを確認する

〔IAM.15] IAMパスワードポリシーでパスワードの長さが 14 以上であることを確認してください

〔IAM.16] IAMパスワードポリシーでパスワードの再利用を禁止する

〔IAM.17] IAMパスワードポリシーが 90 日以内にパスワードを期限切れにすることを確認する

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS Support

〔KMS.4] AWS KMS キーローテーションを有効にする必要があります

CIS AWS Foundations Benchmark のバージョン比較

このセクションでは、Center for Internet Security (CIS) AWS Foundations Benchmark v3.0.0、v1.4.0、v1.2.0 の違いをまとめています。

Security Hub はこれらのバージョンの CIS AWS Foundations Benchmark をそれぞれサポートしていますが、v3.0.0 を使用してセキュリティのベストプラクティスを最新の状態に保つことをお勧めします。複数のバージョンの標準を同時に有効にできます。標準を有効にする方法については、「Security Hub でセキュリティ標準を有効にする」を参照してください。v3.0.0 にアップグレードする場合は、古いバージョンを無効にする前に最初に有効にします。これにより、セキュリティチェックのギャップを防ぐことができます。Security Hub と の統合を使用して AWS Organizations いて、複数のアカウントで v3.0.0 をバッチ有効化する場合は、中央設定を使用することをお勧めします。

各バージョンCISの要件に対するコントロールのマッピング

CIS AWS Foundations Benchmark がサポートする各バージョンのコントロールについて説明します。

コントロール ID とタイトル CIS v3.0.0 の要件 CIS v1.4.0 の要件 CIS v1.2.0 の要件

[Account.1]AWS アカウント について、セキュリティの連絡先情報を提供する必要があります

1.2

1.2

1.18

〔CloudTrail.1] CloudTrail 読み取りと書き込みの管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります

3.1

3.1

2.1

〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります

3.5

37

2.7

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

3.2

3.2

2.2

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

サポート対象外 — この要件CISを削除しました

3.4

2.4

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

サポート対象外 — この要件CISを削除しました

3.3

2.3

〔CloudTrail.7] S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

3.4

3.6

2.6

[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります

サポートされていません – 手動チェック

4.3

3.3

[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

サポートされていません – 手動チェック

3.1

[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

サポートされていません – 手動チェック

3.2

[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

4.4

3.4

[CloudWatch.5] CloudTrail AWS Config 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

4.5

3.5

[CloudWatch.6] AWS Management Console 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

4.6

3.6

[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

4.7

37

[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

4.8

3.8

[CloudWatch.9] AWS Config 設定の変更に対してログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

4.9

3.9

[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

4.10

3.10

[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

4.11

3.11

[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

4.12

3.12

[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

4.13

3.13

[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します

サポートされていません – 手動チェック

4.14

3.14

[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります

3.3

3.5

2.5

〔EC2.2] VPCデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください

5.4

5.3

4.3

〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs

37

3.9

2.9

〔EC2.7] EBSデフォルトの暗号化を有効にする必要があります

2.2.1

2.2.1

サポートされていません

〔EC2.8] EC2インスタンスはインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

5.6

サポートされません

サポートされません

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

サポートされません – 要件 5.2 および 5.3 に置き換えられました

サポートされません – 要件 5.2 および 5.3 に置き換えられました

4.1

〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください

サポートされません – 要件 5.2 および 5.3 に置き換えられました

サポートされません – 要件 5.2 および 5.3 に置き換えられました

4.2

〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください

5.1

5.1

サポートされていません

〔EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください

5.2

サポートされません

サポートされません

〔EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください

5.3

サポートされません

サポートされません

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

2.4.1

サポートされません

サポートされません

〔IAM.1] IAMポリシーでは、完全な「*」管理者権限を許可しないでください

サポートされません

1.16

1.22

〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

1.15

サポートされていません

1.16

〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります

1.14

1.14

1.4

〔IAM.4] IAMルートユーザーアクセスキーは存在してはいけません

1.4

1.4

1.12

コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

1.10

1.10

1.2

〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

1.6

1.6

1.14

〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります

サポートされていません – 代わりに「45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります」を参照してください。

サポートされていません – 代わりに「45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります」を参照してください。

1.3

ルートユーザーに対して [IAM.9] を有効にするMFA必要があります

1.5

1.5

1.13

〔IAM.11] IAMパスワードポリシーに少なくとも 1 つの大文字が必要であることを確認する

サポート対象外 — この要件CISを削除しました

サポート対象外 — この要件CISを削除しました

1.5

〔IAM.12] IAMパスワードポリシーに少なくとも 1 つの小文字が必要であることを確認する

サポート対象外 — この要件CISを削除しました

サポート対象外 — この要件CISを削除しました

1.6

〔IAM.13] IAMパスワードポリシーに少なくとも 1 つの記号が必要であることを確認する

サポート対象外 — この要件CISを削除しました

サポート対象外 — この要件CISを削除しました

1.7

〔IAM.14] IAMパスワードポリシーに少なくとも 1 つの数字が必要であることを確認する

サポート対象外 — この要件CISを削除しました

サポート対象外 — この要件CISを削除しました

1.8

〔IAM.15] IAMパスワードポリシーでパスワードの長さが 14 以上であることを確認してください

1.8

1.8

1.9

〔IAM.16] IAMパスワードポリシーでパスワードの再利用を禁止する

1.9

1.9

1.10

〔IAM.17] IAMパスワードポリシーが 90 日以内にパスワードを期限切れにすることを確認する

サポート対象外 — この要件CISを削除しました

サポート対象外 — この要件CISを削除しました

1.11

〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS Support

1.17

1.17

1.2

〔IAM.20] ルートユーザーの使用を避ける

サポート対象外 — この要件CISを削除しました

サポート対象外 — この要件CISを削除しました

1.1

45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります

1.12

1.12

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

〔IAM.26] 有効期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります

1.19

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください

1.22

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

〔IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります

1.20

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

〔KMS.4] AWS KMS キーローテーションを有効にする必要があります

3.6

3.8

2.8

[Macie.1] Amazon Macie を有効にする必要があります

サポートされていません – 手動チェック

サポートされていません – 手動チェック

サポートされていません – 手動チェック

〔RDS.2] RDS DB インスタンスは、 PubliclyAccessible 設定によって決定されるパブリックアクセスを禁止する必要があります

2.3.3

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

〔RDS.3] RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります

2.3.1

2.3.1

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

〔RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

2.3.2

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

2.1.4

2.1.5

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

[S3.5] S3 汎用バケットでは、 を使用するためのリクエストが必要です SSL

2.1.1

2.1.2

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

2.1.4

2.1.5

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

[S3.20] S3 汎用バケットではMFA、削除を有効にする必要があります

2.1.2

2.1.3

サポート対象外 — 新しいバージョンでこの要件CISを追加しました

ARNs for CIS AWS Foundations ベンチマーク

CIS AWS Foundations Benchmark の 1 つ以上のバージョンを有効にすると、 AWS Security Finding 形式 () で結果の受信が開始されますASFF。ではASFF、各バージョンは次の Amazon リソースネーム (ARN) を使用します。

CIS AWS Foundations Benchmark v3.0.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0

CIS AWS Foundations Benchmark v1.4.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0

CIS AWS Foundations Benchmark v1.2.0

arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0

は、 GetEnabledStandards Security Hub の オペレーションAPIで、有効な標準の ARN を検索します。

上記の値は StandardsArn 用です。ただし、 は、 を呼び出して標準をサブスクライブするときに Security Hub が作成する標準サブスクリプションリソースStandardsSubscriptionArnを指します。 BatchEnableStandards リージョン内の 。

注記

CIS AWS Foundations Benchmark のバージョンを有効にすると、Security Hub が他の有効な標準で有効なコントロールと同じ AWS Config サービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに最大 18 時間かかる場合があります。コントロール結果の生成スケジュールの詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

[統合されたコントロールの検出結果] を有効にすると、検出結果フィールドが異なります。違いについての詳細は ASFF フィールドと値に対する統合の影響 を参照してください。サンプルコントロールの検出結果については、「Security Hub でのコントロール検出結果のサンプル」を参照してください。

CIS Security Hub でサポートされていない 要件

前の表で説明したように、Security Hub は CIS AWS Foundations Benchmark のすべてのバージョンですべてのCIS要件をサポートしているわけではありません。サポートされていない要件の多くは、 AWS リソースの状態を確認することによってのみ手動で評価できます。