翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM の CIS AWS Foundations Benchmark

Center for Internet Security (CIS) AWS Foundations Benchmark は、一連のセキュリティ設定のベストプラクティスとして機能します AWS。業界で認められているこれらのベストプラクティスは、明確かつステップバイステップの実装および評価手順を提供します。オペレーティングシステムからクラウドサービスやネットワークデバイスに至るまで、このベンチマークのコントロールは、組織が使用する特定のシステムの保護に役立ちます。

AWS Security Hub CSPM は、CIS AWS Foundations Benchmark バージョン 5.0.0、3.0.0、1.4.0、および 1.2.0 をサポートしています。このページには、各バージョンがサポートするセキュリティコントロールが一覧表示されます。また、バージョンの比較も提供します。

CIS AWS Foundations Benchmark バージョン 5.0.0

Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 5.0.0 (v5.0.0) をサポートしています。Security Hub CSPM は CIS セキュリティソフトウェア認定の要件を満たしており、次の CIS ベンチマークに対して CIS セキュリティソフトウェア認定を受けています。

CIS AWS Foundations Benchmark バージョン 5.0.0 に適用されるコントロール

[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント

[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。

[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります

[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します

[Config.1] AWS Config を有効にし、リソースの記録にサービスにリンクされたロールを使用する必要があります

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります

[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります

[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します

[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています

[IAM.18] AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します

[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります

[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください

[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります

[KMS.4] AWS KMS キーローテーションを有効にする必要があります

[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります

[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります

[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります

CIS AWS Foundations Benchmark バージョン 3.0.0

Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 3.0.0 (v3.0.0) をサポートしています。Security Hub CSPM は CIS セキュリティソフトウェア認定の要件を満たしており、次の CIS ベンチマークに対して CIS セキュリティソフトウェア認定を受けています。

CIS AWS Foundations Benchmark バージョン 3.0.0 に適用されるコントロール

[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント

[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。

[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります

[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します

[Config.1] AWS Config を有効にし、リソースの記録にサービスにリンクされたロールを使用する必要があります

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります

[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります

[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します

[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています

[IAM.18] AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します

[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります

[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください

[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります

[KMS.4] AWS KMS キーローテーションを有効にする必要があります

[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります

[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります

[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります

CIS AWS Foundations Benchmark バージョン 1.4.0

Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 1.4.0 (v1.4.0) をサポートしています。

CIS AWS Foundations Benchmark バージョン 1.4.0 に適用されるコントロール

[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。

[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります

[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります

[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します

[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します

[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります

[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.5] CloudTrail 設定変更のログメトリクスフィルターとアラームが存在することを確認する

[CloudWatch.6] AWS Management Console 認証失敗のログメトリクスフィルターとアラームが存在することを確認する

[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する

[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します

[Config.1] AWS Config を有効にし、リソースの記録にサービスにリンクされたロールを使用する必要があります

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します

[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています

[IAM.18] AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します

[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります

[KMS.4] AWS KMS キーローテーションを有効にする必要があります

[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

CIS AWS Foundations Benchmark バージョン 1.2.0

Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 1.2.0 (v1.2.0) をサポートしています。Security Hub CSPM は CIS セキュリティソフトウェア認定の要件を満たしており、次の CIS ベンチマークに対して CIS セキュリティソフトウェア認定を受けています。

CIS AWS Foundations Benchmark バージョン 1.2.0 に適用されるコントロール

[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。

[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります

[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります

[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します

[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します

[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります

[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.5] CloudTrail 設定変更のログメトリクスフィルターとアラームが存在することを確認する

[CloudWatch.6] AWS Management Console 認証失敗のログメトリクスフィルターとアラームが存在することを確認する

[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する

[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します

[Config.1] AWS Config を有効にし、リソースの記録にサービスにリンクされたロールを使用する必要があります

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します

[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します

[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します

[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します

[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します

[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています

[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します

[IAM.18] AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します

[KMS.4] AWS KMS キーローテーションを有効にする必要があります

CIS AWS Foundations Benchmark のバージョン比較

このセクションでは、Center for Internet Security (CIS) AWS Foundations Benchmark – v5.0.0、v3.0.0、v1.4.0、v1.2.0 の特定のバージョンの違いをまとめています。 AWS Security Hub CSPM は、CIS AWS Foundations Benchmark の各バージョンをサポートしています。ただし、v5.0.0 を使用して、セキュリティのベストプラクティスを常に把握することをお勧めします。CIS AWS Foundations Benchmark 標準の複数のバージョンを同時に有効にできます。標準を有効にする方法については、「」を参照してくださいセキュリティ標準の有効化。v5.0.0 にアップグレードする場合は、古いバージョンを無効にする前に有効にします。これにより、セキュリティチェックのギャップを防ぐことができます。と Security Hub CSPM の統合を使用して AWS Organizations いて、複数のアカウントで v5.0.0 をバッチ有効化する場合は、中央設定を使用することをお勧めします。

各バージョンの CIS 要件に対するコントロールのマッピング

CIS AWS Foundations Benchmark がサポートする各バージョンのコントロールを理解します。

CIS AWS Foundations Benchmarks の ARNs

CIS AWS Foundations Benchmark の 1 つ以上のバージョンを有効にすると、 AWS Security Finding 形式 (ASFF) で結果の受信を開始します。ASFF では、各バージョンは次の Amazon リソースネーム (ARN) を使用します。

Security Hub CSPM API の GetEnabledStandardsオペレーションを使用して、有効な標準の ARN を検索できます。

上記の値は StandardsArn 用です。ただし、 は、リージョンBatchEnableStandardsで を呼び出して標準をサブスクライブするときに Security Hub CSPM が作成する標準サブスクリプションリソースStandardsSubscriptionArnを指します。

[統合されたコントロールの検出結果] を有効にすると、検出結果フィールドが異なります。これらの違いについては、「」を参照してくださいASFF フィールドと値への統合の影響。サンプルコントロールの検出結果については、「コントロールの検出結果のサンプル」を参照してください。

Security Hub CSPM でサポートされていない CIS 要件

前の表で説明したように、Security Hub CSPM は CIS AWS Foundations Benchmark のすべてのバージョンですべての CIS 要件をサポートしているわけではありません。サポートされていない要件の多くは、 AWS リソースの状態を手動で確認することによってのみ評価できます。