Security Hub CSPM の CIS AWS Foundations Benchmark

[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します

[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります

[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります

[EFS.1] Elastic File System は、AWS KMS を使用して保管中のファイルデータを暗号化するように設定する必要があります

[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.18] AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します

[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります

[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください

[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります

[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります

[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります

[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります

CIS AWS Foundations Benchmark v.3.0.0

Security Hub CSPM は、CIS AWS Foundations Benchmark バージョン 3.0.0 (v3.0.0) をサポートしています。Security Hub CSPM は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています:

CIS AWS Foundations Benchmark 用の CIS Benchmark for CIS、v3.0.0、レベル 1
CIS AWS Foundations Benchmark 用の CIS ベンチマーク、v3.0.0、レベル 2

CIS AWS Foundations Benchmark v3.0.0 に適用されるコントロール

[Account.1]AWS アカウントについて、セキュリティの連絡先情報を提供する必要があります

[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します

[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります

[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります

[EFS.1] Elastic File System は、AWS KMS を使用して保管中のファイルデータを暗号化するように設定する必要があります

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.18] AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します

[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります

[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください

[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります

[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります

[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります

[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります

CIS AWS Foundations Benchmark v.1.4.0

Security Hub CSPM は、CIS AWS Foundations Benchmark バージョン 1.4.0 (v1.4.0) をサポートしています。

CIS AWS Foundations Benchmark v1.4.0 に適用されるコントロール

[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります

[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します

[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します

[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります

[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.6] AWS マネジメントコンソール認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.9] AWS Config 設定の変更に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します

[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.18] AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します

[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります

[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

CIS AWS Foundations Benchmark v.1.2.0

Security Hub CSPM は、CIS AWS Foundations Benchmark バージョン 1.2.0 (v1.2.0) をサポートしています。Security Hub CSPM は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています:

CIS AWS Foundations Benchmark 用の CIS Benchmark for CIS、v1.2.0、レベル 1
CIS AWS Foundations Benchmark 用の CIS ベンチマーク、v1.2.0、レベル 2

CIS AWS Foundations Benchmark v1.2.0 に適用されるコントロール

[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります

[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します

[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します

[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります

[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.6] AWS マネジメントコンソール認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.9] AWS Config 設定の変更に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します

[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します

[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します

[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します

[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します

[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します

[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します

[IAM.18] AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します