EC2 インスタンスの STIG コンプライアンス
セキュリティ技術実装ガイド (STIG) は、防衛情報システム局 (DISA) が情報システムとソフトウェアを保護するために作成した設定強化標準です。システムを STIG 標準に準拠させるには、さまざまなセキュリティ設定をインストール、設定、およびテストする必要があります。
STIG は、次の脆弱性分類に基づいて適用されます。STIG の強化イメージを作成するとき、あるいは既存のインスタンスに STIG 設定を適用するときは、強化適用レベルを選択できます。上位のレベルには、すべての下位レベルの STIG 設定が含まれます。たとえば、高 (カテゴリ I) レベルには、中カテゴリと低カテゴリの両方の設定が含まれます。
コンプライアンスレベル
-
高 (カテゴリ I)
最も深刻なリスクです。機密性、可用性、または整合性の損失につながる可能性のある脆弱性が含まれます。
-
ミディアム (カテゴリ II)
機密性、可用性、整合性の損失につながる可能性があるものの、そのリスクが緩和される可能性がある脆弱性が含まれます。
-
低 (カテゴリー III)
機密性、可用性、または整合性の喪失から保護するための対策を低下させる脆弱性が含まれます。
Amazon EC2 には、STIG 強化インスタンスを作成するために以下の方法が用意されています。
-
専用のパブリック AWS Windows AMI から、STIG 強化のために事前設定された Windows インスタンスを起動できます。詳細については、「AWS Windows AMI リファレンス」の「STIG Hardened AWS Windows Server AMIs」を参照してください。
-
カスタマイズされた AMI を作成することで、EC2 Image Builder STIG 強化コンポーネントを使って構築された事前設定済みのインスタンスを起動できます。詳細については、「Image Builder ユーザーガイド」の「STIG hardening components」を参照してください。
-
AWSEC2-ConfigureSTIG Systems Manager コマンドドキュメントを使用すると、STIG 設定を既存の EC2 インスタンスに 適用できます。Systems Manager の STIG コマンドドキュメントは、設定ミスをスキャンし、修復スクリプトを実行して DoD 証明書をインストールおよび更新し、不要な証明書を削除して STIG コンプライアンスを維持します。STIG Systems Manager ドキュメントの使用には、追加料金はかかりません。
