NERC CIP BCSI に関する運用上のベストプラクティス - AWS Config

NERC CIP BCSI に関する運用上のベストプラクティス

コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

以下に、BES Cyber System Information (BCSI) に関する North American Electric Reliability Corporation の「Critical Infrastructure Protection Standards (NERC CIP)」、CIP-004-7 & CIP-011-3 と、AWS Config マネージドルール間のマッピングの例を示します。各 AWS Config ルールが特定の AWS リソースに適用され、1 つ以上の NERC CIP によるコントロールに関連付けられます。NERC の「CIP」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

AWS リージョン:中東 (バーレーン) を除く、サポートされているすべての AWS リージョン

コントロール ID コントロールの概要 AWS Config ルール ガイダンス
CIP-004-7-R6-Part 6.1 各責任主体は、CIP‐004‐7 Table R6 - Access Management Program for BES Cyber System Information の該当する各要件部分のまとめを含む、CIP-004-7 Table R6 - Access Management for BES Cyber System Information で特定される「対象システム」に関連する BCSI へのプロビジョニングされたアクセスを承認、検証、および取り消すため、1 つ以上のドキュメント化されたアクセスマネジメントプログラムを実装するものとします。この要件のコンテキストで BCSI へのアクセスと見なされるために、個人は BCSI を入手する機能と利用する機能の両方を持っている必要があります。プロビジョニングされたアクセスは、BCSI へのアクセス手段 (例: 物理的なキーまたはアクセスカード、ユーザーアカウントおよび関連する権利と特権、暗号化キーを含む) を個人に提供するために実行される特定のアクションの結果と見なされます。Part 6.1: プロビジョニングの前に、CIP Exceptional Circumstances: 6.1.1 を除き、責任主体の決定に従い、必要性に基づいて承認 (Part 4.1 に従って既に承認されている場合を除く) します。電子的な BCSI へのプロビジョニングされた電子アクセス

opensearch-access-control-enabled

Amazon OpenSearch Service ドメインで、きめ細かいアクセスコントロールが有効になっていることを確認します。きめ細かいアクセスコントロールは、Amazon OpenSearch ドメインへの最小特権アクセスを実現するための強化された承認メカニズムを提供します。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、およびフィールドレベルのセキュリティ、OpenSearch ダッシュボードのマルチテナンシーのサポート、OpenSearch と Kibana の HTTP 基本認証が可能になります。
CIP-004-7-R6-Part 6.1 各責任主体は、CIP‐004‐7 Table R6 - Access Management Program for BES Cyber System Information の該当する各要件部分のまとめを含む、CIP-004-7 Table R6 - Access Management for BES Cyber System Information で特定される「対象システム」に関連する BCSI へのプロビジョニングされたアクセスを承認、検証、および取り消すため、1 つ以上のドキュメント化されたアクセスマネジメントプログラムを実装するものとします。この要件のコンテキストで BCSI へのアクセスと見なされるために、個人は BCSI を入手する機能と利用する機能の両方を持っている必要があります。プロビジョニングされたアクセスは、BCSI へのアクセス手段 (例: 物理的なキーまたはアクセスカード、ユーザーアカウントおよび関連する権利と特権、暗号化キーを含む) を個人に提供するために実行される特定のアクションの結果と見なされます。Part 6.1: プロビジョニングの前に、CIP Exceptional Circumstances: 6.1.1 を除き、責任主体の決定に従い、必要性に基づいて承認 (Part 4.1 に従って既に承認されている場合を除く) します。電子的な BCSI へのプロビジョニングされた電子アクセス

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CIP-004-7-R6-Part 6.1 各責任主体は、CIP‐004‐7 Table R6 - Access Management Program for BES Cyber System Information の該当する各要件部分のまとめを含む、CIP-004-7 Table R6 - Access Management for BES Cyber System Information で特定される「対象システム」に関連する BCSI へのプロビジョニングされたアクセスを承認、検証、および取り消すため、1 つ以上のドキュメント化されたアクセスマネジメントプログラムを実装するものとします。この要件のコンテキストで BCSI へのアクセスと見なされるために、個人は BCSI を入手する機能と利用する機能の両方を持っている必要があります。プロビジョニングされたアクセスは、BCSI へのアクセス手段 (例: 物理的なキーまたはアクセスカード、ユーザーアカウントおよび関連する権利と特権、暗号化キーを含む) を個人に提供するために実行される特定のアクションの結果と見なされます。Part 6.1: プロビジョニングの前に、CIP Exceptional Circumstances: 6.1.1 を除き、責任主体の決定に従い、必要性に基づいて承認 (Part 4.1 に従って既に承認されている場合を除く) します。電子的な BCSI へのプロビジョニングされた電子アクセス

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つの IAM ユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいて IAM ユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CIP-004-7-R6-Part 6.1 各責任主体は、CIP‐004‐7 Table R6 - Access Management Program for BES Cyber System Information の該当する各要件部分のまとめを含む、CIP-004-7 Table R6 - Access Management for BES Cyber System Information で特定される「対象システム」に関連する BCSI へのプロビジョニングされたアクセスを承認、検証、および取り消すため、1 つ以上のドキュメント化されたアクセスマネジメントプログラムを実装するものとします。この要件のコンテキストで BCSI へのアクセスと見なされるために、個人は BCSI を入手する機能と利用する機能の両方を持っている必要があります。プロビジョニングされたアクセスは、BCSI へのアクセス手段 (例: 物理的なキーまたはアクセスカード、ユーザーアカウントおよび関連する権利と特権、暗号化キーを含む) を個人に提供するために実行される特定のアクションの結果と見なされます。Part 6.1: プロビジョニングの前に、CIP Exceptional Circumstances: 6.1.1 を除き、責任主体の決定に従い、必要性に基づいて承認 (Part 4.1 に従って既に承認されている場合を除く) します。電子的な BCSI へのプロビジョニングされた電子アクセス

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CIP-004-7-R6-Part 6.1 各責任主体は、CIP‐004‐7 Table R6 - Access Management Program for BES Cyber System Information の該当する各要件部分のまとめを含む、CIP-004-7 Table R6 - Access Management for BES Cyber System Information で特定される「対象システム」に関連する BCSI へのプロビジョニングされたアクセスを承認、検証、および取り消すため、1 つ以上のドキュメント化されたアクセスマネジメントプログラムを実装するものとします。この要件のコンテキストで BCSI へのアクセスと見なされるために、個人は BCSI を入手する機能と利用する機能の両方を持っている必要があります。プロビジョニングされたアクセスは、BCSI へのアクセス手段 (例: 物理的なキーまたはアクセスカード、ユーザーアカウントおよび関連する権利と特権、暗号化キーを含む) を個人に提供するために実行される特定のアクションの結果と見なされます。Part 6.1: プロビジョニングの前に、CIP Exceptional Circumstances: 6.1.1 を除き、責任主体の決定に従い、必要性に基づいて承認 (Part 4.1 に従って既に承認されている場合を除く) します。電子的な BCSI へのプロビジョニングされた電子アクセス

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
CIP-004-7-R6-Part 6.1 各責任主体は、CIP‐004‐7 Table R6 - Access Management Program for BES Cyber System Information の該当する各要件部分のまとめを含む、CIP-004-7 Table R6 - Access Management for BES Cyber System Information で特定される「対象システム」に関連する BCSI へのプロビジョニングされたアクセスを承認、検証、および取り消すため、1 つ以上のドキュメント化されたアクセスマネジメントプログラムを実装するものとします。この要件のコンテキストで BCSI へのアクセスと見なされるために、個人は BCSI を入手する機能と利用する機能の両方を持っている必要があります。プロビジョニングされたアクセスは、BCSI へのアクセス手段 (例: 物理的なキーまたはアクセスカード、ユーザーアカウントおよび関連する権利と特権、暗号化キーを含む) を個人に提供するために実行される特定のアクションの結果と見なされます。Part 6.1: プロビジョニングの前に、CIP Exceptional Circumstances: 6.1.1 を除き、責任主体の決定に従い、必要性に基づいて承認 (Part 4.1 に従って既に承認されている場合を除く) します。電子的な BCSI へのプロビジョニングされた電子アクセス

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CIP-004-7-R6-Part 6.1 各責任主体は、CIP‐004‐7 Table R6 - Access Management Program for BES Cyber System Information の該当する各要件部分のまとめを含む、CIP-004-7 Table R6 - Access Management for BES Cyber System Information で特定される「対象システム」に関連する BCSI へのプロビジョニングされたアクセスを承認、検証、および取り消すため、1 つ以上のドキュメント化されたアクセスマネジメントプログラムを実装するものとします。この要件のコンテキストで BCSI へのアクセスと見なされるために、個人は BCSI を入手する機能と利用する機能の両方を持っている必要があります。プロビジョニングされたアクセスは、BCSI へのアクセス手段 (例: 物理的なキーまたはアクセスカード、ユーザーアカウントおよび関連する権利と特権、暗号化キーを含む) を個人に提供するために実行される特定のアクションの結果と見なされます。Part 6.1: プロビジョニングの前に、CIP Exceptional Circumstances: 6.1.1 を除き、責任主体の決定に従い、必要性に基づいて承認 (Part 4.1 に従って既に承認されている場合を除く) します。電子的な BCSI へのプロビジョニングされた電子アクセス

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CIP-004-7-R6-Part 6.1 各責任主体は、CIP‐004‐7 Table R6 - Access Management Program for BES Cyber System Information の該当する各要件部分のまとめを含む、CIP-004-7 Table R6 - Access Management for BES Cyber System Information で特定される「対象システム」に関連する BCSI へのプロビジョニングされたアクセスを承認、検証、および取り消すため、1 つ以上のドキュメント化されたアクセスマネジメントプログラムを実装するものとします。この要件のコンテキストで BCSI へのアクセスと見なされるために、個人は BCSI を入手する機能と利用する機能の両方を持っている必要があります。プロビジョニングされたアクセスは、BCSI へのアクセス手段 (例: 物理的なキーまたはアクセスカード、ユーザーアカウントおよび関連する権利と特権、暗号化キーを含む) を個人に提供するために実行される特定のアクションの結果と見なされます。Part 6.1: プロビジョニングの前に、CIP Exceptional Circumstances: 6.1.1 を除き、責任主体の決定に従い、必要性に基づいて承認 (Part 4.1 に従って既に承認されている場合を除く) します。電子的な BCSI へのプロビジョニングされた電子アクセス

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CIP-004-7-R6-Part 6.1 各責任主体は、CIP‐004‐7 Table R6 - Access Management Program for BES Cyber System Information の該当する各要件部分のまとめを含む、CIP-004-7 Table R6 - Access Management for BES Cyber System Information で特定される「対象システム」に関連する BCSI へのプロビジョニングされたアクセスを承認、検証、および取り消すため、1 つ以上のドキュメント化されたアクセスマネジメントプログラムを実装するものとします。この要件のコンテキストで BCSI へのアクセスと見なされるために、個人は BCSI を入手する機能と利用する機能の両方を持っている必要があります。プロビジョニングされたアクセスは、BCSI へのアクセス手段 (例: 物理的なキーまたはアクセスカード、ユーザーアカウントおよび関連する権利と特権、暗号化キーを含む) を個人に提供するために実行される特定のアクションの結果と見なされます。Part 6.1: プロビジョニングの前に、CIP Exceptional Circumstances: 6.1.1 を除き、責任主体の決定に従い、必要性に基づいて承認 (Part 4.1 に従って既に承認されている場合を除く) します。電子的な BCSI へのプロビジョニングされた電子アクセス

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CIP-004-7-R6-Part 6.1 各責任主体は、CIP‐004‐7 Table R6 - Access Management Program for BES Cyber System Information の該当する各要件部分のまとめを含む、CIP-004-7 Table R6 - Access Management for BES Cyber System Information で特定される「対象システム」に関連する BCSI へのプロビジョニングされたアクセスを承認、検証、および取り消すため、1 つ以上のドキュメント化されたアクセスマネジメントプログラムを実装するものとします。この要件のコンテキストで BCSI へのアクセスと見なされるために、個人は BCSI を入手する機能と利用する機能の両方を持っている必要があります。プロビジョニングされたアクセスは、BCSI へのアクセス手段 (例: 物理的なキーまたはアクセスカード、ユーザーアカウントおよび関連する権利と特権、暗号化キーを含む) を個人に提供するために実行される特定のアクションの結果と見なされます。Part 6.1: プロビジョニングの前に、CIP Exceptional Circumstances: 6.1.1 を除き、責任主体の決定に従い、必要性に基づいて承認 (Part 4.1 に従って既に承認されている場合を除く) します。電子的な BCSI へのプロビジョニングされた電子アクセス

s3-bucket-policy-grantee-check

s3_ bucket_policy_grantee_check を有効にして、AWS クラウドへのアクセスを管理します。このルールにより、Amazon S3 バケットによって許可されたアクセスが、指定した任意の AWS プリンシパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、Amazon Virtual Private Cloud (Amazon VPC) ID によって制限されているかどうかチェックされます。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

acm-certificate-expiration-check

X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

cloudwatch-log-group-encrypted

保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

cmk-backing-key-rotation-enabled

キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

ecr-private-image-scanning-enabled

Amazon Elastic Container Repository (ECR) イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを有効にすると、保存されているイメージの整合性と安全性を検証するレイヤーが追加されます。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

ecr-private-tag-immutability-enabled

Elastic Container Repository (ECR) のタグ不変性を有効にして、ECR イメージのイメージタグが上書きされないようにします。以前は、タグが上書きされる可能性があり、手作業でイメージを一意に識別するための手法が必要でした。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

ecs-containers-readonly-access

Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

kinesis-stream-encrypted

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Kinesis Streams で暗号化が有効になっていることを確認します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

kms-cmk-not-scheduled-for-deletion

保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

opensearch-audit-logging-enabled

Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

opensearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、Amazon OpenSearch と Amazon VPC 内の他のサービスの間で安全な通信ができるようになります。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

redshift-audit-logging-enabled

Amazon Redshift クラスターの接続とユーザーアクティビティに関する情報をキャプチャするには、監査ログ作成が有効になっていることを確認します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

s3-event-notifications-enabled

Amazon S3 イベント通知により、バケットオブジェクトに対する偶発的または意図的な変更について、関連する担当者に警告できます。アラートの例としては、新しいオブジェクトの作成、オブジェクトの削除、オブジェクトの復元、オブジェクトの紛失およびレプリケートなどが含まれます。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

s3-lifecycle-policy-check

Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

rds-cluster-default-admin-check

デフォルトのユーザー名はパブリックナレッジであるため、デフォルトのユーザー名を変更することで、Amazon Relational Database Service (Amazon RDS) データベースクラスターのアタックサーフェスを減らすことができます。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

rds-instance-default-admin-check

デフォルトのユーザー名はパブリックナレッジであるため、デフォルトのユーザー名を変更することで、Amazon Relational Database Service (Amazon RDS) データベースインスタンスのアタックサーフェスを減らすことができます。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

redshift-default-admin-check

デフォルトのユーザー名はパブリックナレッジであるため、デフォルトのユーザー名を変更することで、Amazon Redshift クラスターのアタックサーフェスを減らすことができます。
CIP-011-3-R1-Part 1.2 各責任主体は、CIP-011-3 Table R1 – Information Protection に記載された該当する各要件部分のまとめを含む、1 つ以上のドキュメント化された情報保護プログラムを実装するものとします。Part 1.2: 機密性を侵害するリスクを軽減するために、BCSI を保護し、安全に処理する方法。

s3-bucket-acl-prohibited

このルールは、アクセスコントロールリスト (ACL) が Amazon S3 バケットのアクセスコントロールに使用されているかどうかを確認します。ACL は、AWS Identity and Access Management (IAM) より前の Amazon S3 バケットのレガシーアクセスコントロールメカニズムです。ベストプラクティスは、ACL の代わりに、IAM ポリシーまたは S3 バケットポリシーを使用して、S3 バケットへのアクセスをより簡単に管理することです。

テンプレート

テンプレートは、GitHub の「Operational Best Practices for NERC CIP BCSI」で入手できます。