翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CIS AWS Benchmark v1.2.0
AWS Audit Manager には、Center for Internet Security (CIS) Amazon Web Services ()AWS Benchmark v1.2.0 をサポートする 2 つの構築済みフレームワークが用意されています。
注記
-
v1.3.0 をサポートする Audit Manager フレームワークについては、「CIS AWS Benchmark v1.3.0」を参照してください。
-
v1.4.0 をサポートする Audit Manager フレームワークについては、「CIS AWS Benchmark v1.4.0」を参照してください。
CIS とは
CIS は CIS AWS Foundations Benchmark
詳細については、 セキュリティブログの CIS AWS Foundations Benchmark
CIS Benchmarks と CIS Controls の違い
CIS Benchmarks は、ベンダー製品に固有のセキュリティのベストプラクティスに関するガイドラインです。オペレーティングシステムからクラウドサービスやネットワークデバイスに至るまで、ベンチマークから適用される設定は、組織が使用する特定のシステムを保護します。CIS Controls は、組織が既知のサイバー攻撃ベクトルから保護するのに役立てるために従うべき基本的なベストプラクティスガイドラインです。
例
-
CIS Benchmarks は規範的なものです。これらは通常、ベンダー製品で確認および設定できる特定の設定を参照します。
例: CIS AWS Benchmark v1.2.0 - 「ルートユーザー」アカウントで MFA が有効になっていることを確認します。
このレコメンデーションは、これを確認する方法と、 AWS 環境のルートアカウントでこれを設定する方法に関する規範的なガイダンスを提供します。
-
CIS Controls は組織全体を対象としています。1 つのベンダー製品のみに特化したものではありません。
例: CIS v7.1 - すべての管理アクセスに多要素認証を使用する
このコントロールは、組織内で適用されるであろう内容を記述しています。実行しているシステムやワークロード (場所に関係なく) にそれを適用する方法については説明されていません。
このフレームワークを使用する
で CIS AWS Benchmark v1.2 フレームワークを使用すると AWS Audit Manager 、CIS 監査の準備に役立ちます。これらのフレームワークとそのコントロールをカスタマイズして、特定の要件を満たす必要がある内部監査をサポートすることもできます。
フレームワークを出発点として使用して Audit Manager の評価を作成し、監査に関連する証拠の収集を開始点できます。評価を作成すると、Audit Manager は AWS リソースの評価を開始します。これは CIS フレームワークで定義されているコントロールに基づいて行われます。監査の時間になると、ユーザー (または任意の受任者) は、Audit Manager で収集された証拠を確認できます。評価の証拠フォルダを参照するか、評価レポートに含める証拠を選択できます。または、エビデンスファインダーを有効にした場合は、特定のエビデンスを検索して CSV 形式でエクスポートしたり、検索結果から評価レポートを作成できます。どの場合でも、この評価レポートは、コントロールが意図したとおりに機能していることを実証するのに役立ちます。
このフレームワークの詳細は以下のとおりです。
のフレームワーク名 AWS Audit Manager | 自動化されたコントロールの数 | 手動コントロールの数 | コントロールセットの数 |
---|---|---|---|
Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0、レベル 1 |
35 |
1 | 4 |
Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0、レベル 1 および 2 | 48 | 1 | 4 |
ヒント
これらの標準フレームワークのデータソースマッピングとして使用される AWS Config ルールのリストを確認するには、次のファイルをダウンロードします。
これらのフレームワークのコントロールは、システムが CIS AWS Benchmark のベストプラクティスに準拠しているかどうかを検証することを目的としたものではありません。さらに、CIS audit. AWS Audit Manager does が手動証拠収集を必要とする手続き型コントロールを自動的にチェックすることを保証することはできません。
これらのフレームワークは、Audit Manager のフレームワークライブラリの標準フレームワークタブにあります。
これらのフレームワークを使用するための前提条件
CIS AWS Benchmark v1.2 フレームワークの多くのコントロールは、データソースタイプ AWS Config として を使用します。これらのコントロールをサポートするには、Audit Manager を有効に AWS Config AWS リージョン した各 のすべてのアカウントで を有効にする必要があります。また、特定の AWS Config ルールが有効になっていること、およびこれらのルールが正しく設定されていることを確認する必要があります。
CIS AWS Foundations Benchmark v1.2 の正しい証拠を収集し、正確なコンプライアンスステータスをキャプチャするには、次の AWS Config ルールとパラメータが必要です。ルールを有効化または設定する方法については、「 AWS Config マネージドルールの使用」を参照してください。
必要な AWS Config ルール | 必須パラメータ |
---|---|
ACCESS_KEYS_ROTATED |
|
CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED | 該当しない |
CLOUD_TRAIL_ENCRYPTION_ENABLED | 該当しない |
CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED | 該当しない |
CMK_BACKING_KEY_ROTATION_ENABLED | 該当しない |
IAM_PASSWORD_POLICY |
|
IAM_PASSWORD_POLICY |
|
IAM_PASSWORD_POLICY |
|
IAM_PASSWORD_POLICY |
|
IAM_PASSWORD_POLICY |
|
IAM_PASSWORD_POLICY |
|
IAM_PASSWORD_POLICY |
|
|
|
IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS | 該当しない |
IAM_ROOT_ACCESS_KEY_CHECK | 該当しない |
IAM_USER_NO_POLICIES_CHECK | 該当しない |
IAM_USER_UNUSED_CREDENTIALS_CHECK |
|
INCOMING_SSH_DISABLED | 該当しない |
MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS | 該当しない |
MULTI_REGION_CLOUD_TRAIL_ENABLED | 該当しない |
RESTRICTED_INCOMING_TRAFFIC |
|
ROOT_ACCOUNT_HARDWARE_MFA_ENABLED | 該当しない |
ROOT_ACCOUNT_MFA_ENABLED | 該当しない |
S3_BUCKET_LOGGING_ENABLED |
|
S3_BUCKET_PUBLIC_READ_PROHIBITED | 該当しない |
VPC_DEFAULT_SECURITY_GROUP_CLOSED | 該当しない |
VPC_FLOW_LOGS_ENABLED |
|
次のステップ
これらのフレームワークを使用して評価を作成する方法については、「での評価の作成 AWS Audit Manager」を参照してください。
特定の要件をサポートするためにこれらのフレームワークをカスタマイズする方法については、「」を参照してくださいで既存のフレームワークの編集可能なコピーを作成する AWS Audit Manager。