翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CIS AWS Foundations Benchmark
インターネットセキュリティセンター (CIS) AWS Foundations Benchmark は、 のセキュリティ設定のベストプラクティスのセットとして機能します。 AWS。 これらの業界で認められているベストプラクティスは、明確で step-by-step 実装、評価の手順を提供します。オペレーティングシステムからクラウドサービスやネットワークデバイスに至るまで、このベンチマークのコントロールは、組織が使用する特定のシステムの保護に役立ちます。
AWS Security Hub が をサポート CIS AWS Foundations Benchmark v3.0.0、1.4.0、および v1.2.0。
このページには、各バージョンがサポートするセキュリティコントロールが一覧表示され、バージョンの比較が表示されます。
CIS AWS Foundations Benchmark v3.0.0
Security Hub が のバージョン 3.0.0 をサポート CIS AWS Foundations Benchmark 標準です。
Security Hub はCIS、セキュリティソフトウェア認定の要件を満たしており、以下のCISベンチマークに対してCISセキュリティソフトウェア認定を受けています。
-
CIS のベンチマーク CIS AWS Foundations Benchmark、v3.0.0、レベル 1
-
CIS のベンチマーク CIS AWS Foundations Benchmark、v3.0.0、レベル 2
に適用されるコントロール CIS AWS Foundations Benchmark v3.0.0
[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント
〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン追跡を有効にして設定する必要があります
〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります
〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります
〔CloudTrail.7] S3 バケットで CloudTrail S3 バケットアクセスログ記録が有効になっていることを確認する
[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります
〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください
〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs
〔EC2.7] EBSデフォルトの暗号化を有効にする必要があります
〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります
〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください
〔EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください
〔EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください
〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります
〔IAM.4] IAMルートユーザーアクセスキーが存在しません
コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります
〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります
ルートユーザーに対して [IAM.9] を有効にするMFA必要があります
〔IAM.15] IAMパスワードポリシーでパスワードの最小長が 14 以上であることを確認してください
〔IAM.16] IAMパスワードポリシーでパスワードの再利用が禁止されていることを確認する
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認する AWS Support
45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります
〔IAM.26] 期限切れSSL/TLS で管理されている証明書は削除IAMする必要があります
〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください
〔IAM.28] IAM Access Analyzer の外部アクセスアナライザーを有効にする必要があります
〔KMS.4] AWS KMS キーローテーションを有効にする必要があります
〔RDS.2] RDS DB インスタンスは、 によって決定されるパブリックアクセスを禁止する必要があります PubliclyAccessible AWS Config uration
〔RDS.3] RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります
〔RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります
[S3.1] S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります
[S3.5] S3 汎用バケットでは、 の使用をリクエストする必要があります SSL
[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります
[S3.20] S3 汎用バケットでは、MFA削除を有効にする必要があります
[S3.22] S3 汎用バケットは、オブジェクトレベルの書き込みイベントをログに記録する必要があります
[S3.23] S3 汎用バケットは、オブジェクトレベルの読み取りイベントをログに記録する必要があります
CIS AWS Foundations Benchmark v1.4.0
Security Hub が の v1.4.0 をサポート CIS AWS Foundations Benchmark 標準です。
に適用されるコントロール CIS AWS Foundations Benchmark v1.4.0
〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン追跡を有効にして設定する必要があります
〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります
〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります
〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります
〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする
〔CloudTrail.7] S3 バケットで CloudTrail S3 バケットアクセスログ記録が有効になっていることを確認する
〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります
〔CloudWatch.4] IAMポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.5] のログメトリクスフィルターとアラームが存在することを確認する CloudTrail AWS Config URL の変更
〔CloudWatch.6] のログメトリクスフィルターとアラームが存在することを確認する AWS Management Console 認証の失敗
〔CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除のためのログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.8] S3 バケットポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.9] のログメトリクスフィルターとアラームが存在することを確認する AWS Config 設定の変更
〔CloudWatch.10] セキュリティグループの変更に対してログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.11] ネットワークアクセスコントロールリストの変更に対するログメトリクスフィルターとアラームが存在することを確認する (NACL)
〔CloudWatch.12] ネットワークゲートウェイの変更に対するログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.14] VPC変更に対するログメトリクスフィルターとアラームが存在することを確認する
[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります
〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください
〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs
〔EC2.7] EBSデフォルトの暗号化を有効にする必要があります
〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください
〔IAM.1] IAMポリシーでは、完全な「*」管理権限を許可しないでください
〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります
〔IAM.4] IAMルートユーザーアクセスキーが存在しません
コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります
〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります
ルートユーザーに対して [IAM.9] を有効にするMFA必要があります
〔IAM.15] IAMパスワードポリシーでパスワードの最小長が 14 以上であることを確認してください
〔IAM.16] IAMパスワードポリシーでパスワードの再利用が禁止されていることを確認する
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認する AWS Support
45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります
〔KMS.4] AWS KMS キーローテーションを有効にする必要があります
〔RDS.3] RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります
[S3.1] S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります
[S3.5] S3 汎用バケットでは、 の使用をリクエストする必要があります SSL
[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります
[S3.20] S3 汎用バケットでは、MFA削除を有効にする必要があります
インターネットセキュリティセンター (CIS) AWS Foundations Benchmark v1.2.0
Security Hub が のバージョン 1.2.0 をサポート CIS AWS Foundations Benchmark 標準です。
Security Hub はCIS、セキュリティソフトウェア認定の要件を満たしており、以下のCISベンチマークに対してCISセキュリティソフトウェア認定を受けています。
-
CIS のベンチマーク CIS AWS Foundations Benchmark、v1.2.0、レベル 1
-
CIS のベンチマーク CIS AWS Foundations Benchmark、v1.2.0、レベル 2
に適用されるコントロール CIS AWS Foundations Benchmark v1.2.0
〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン追跡を有効にして設定する必要があります
〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります
〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります
〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります
〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする
〔CloudTrail.7] S3 バケットで CloudTrail S3 バケットアクセスログ記録が有効になっていることを確認する
〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります
〔CloudWatch.2] 不正なAPI呼び出しに対してログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.3] を使用しない マネジメントコンソールのサインインにログメトリクスフィルターとアラームが存在することを確認する MFA
〔CloudWatch.4] IAMポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.5] のログメトリクスフィルターとアラームが存在することを確認する CloudTrail AWS Config URL の変更
〔CloudWatch.6] のログメトリクスフィルターとアラームが存在することを確認する AWS Management Console 認証の失敗
〔CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除のためのログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.8] S3 バケットポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.9] のログメトリクスフィルターとアラームが存在することを確認する AWS Config 設定の変更
〔CloudWatch.10] セキュリティグループの変更に対してログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.11] ネットワークアクセスコントロールリストの変更に対するログメトリクスフィルターとアラームが存在することを確認する (NACL)
〔CloudWatch.12] ネットワークゲートウェイの変更に対するログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認する
〔CloudWatch.14] VPC変更に対するログメトリクスフィルターとアラームが存在することを確認する
[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります
〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください
〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください
〔IAM.1] IAMポリシーでは、完全な「*」管理権限を許可しないでください
〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください
〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります
〔IAM.4] IAMルートユーザーアクセスキーが存在しません
コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります
〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります
〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります
ルートユーザーに対して [IAM.9] を有効にするMFA必要があります
〔IAM.11] IAMパスワードポリシーで少なくとも 1 つの大文字が要求されていることを確認する
〔IAM.12] IAMパスワードポリシーに少なくとも 1 つの小文字が必要であることを確認する
〔IAM.13] IAMパスワードポリシーに少なくとも 1 つの記号が必要であることを確認する
〔IAM.14] IAMパスワードポリシーに少なくとも 1 つの数字が必要であることを確認する
〔IAM.15] IAMパスワードポリシーでパスワードの最小長が 14 以上であることを確認してください
〔IAM.16] IAMパスワードポリシーでパスワードの再利用が禁止されていることを確認する
〔IAM.17] IAMパスワードポリシーが 90 日以内にパスワードを期限切れにすることを確認する
〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認する AWS Support
〔KMS.4] AWS KMS キーローテーションを有効にする必要があります
のバージョン比較 CIS AWS Foundations Benchmark
このセクションでは、Center for Internet Security (CIS) の違いをまとめます。 AWS Foundations Benchmark v3.0.0、v1.4.0、および v1.2.0。
Security Hub は、 の各バージョンをサポートしています。 CIS AWS Foundations Benchmark ですが、v3.0.0 を使用してセキュリティのベストプラクティスを常に把握することをお勧めします。複数のバージョンの標準を同時に有効にできます。標準を有効にする手順については、「」を参照してくださいSecurity Hub での標準の設定。v3.0.0 にアップグレードする場合は、古いバージョンを無効にする前に最初に有効にすることをお勧めします。Security Hub と の統合を使用する場合 AWS Organizations 複数の を一元管理するには AWS アカウント すべてのアカウントで v3.0.0 をバッチ有効化する場合は、中央設定 を使用できます。
各バージョンCISの要件に対するコントロールのマッピング
の各バージョンをコントロールする を理解する CIS AWS Foundations Benchmark は をサポートしています。
| コントロール ID とタイトル | CIS v3.0.0 の要件 | CIS v1.4.0 の要件 | CIS v1.2.0 の要件 |
|---|---|---|---|
|
1.2 |
1.2 |
1.18 |
|
|
〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン追跡を有効にして設定する必要があります |
3.1 |
3.1 |
2.1 |
|
3.5 |
37 |
2.7 |
|
|
3.2 |
3.2 |
2.2 |
|
|
〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります |
サポート対象外 — この要件CISを削除しました |
3.4 |
2.4 |
|
〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする |
サポート対象外 — この要件CISを削除しました |
3.3 |
2.3 |
|
〔CloudTrail.7] S3 バケットで CloudTrail S3 バケットアクセスログ記録が有効になっていることを確認する |
3.4 |
3.6 |
2.6 |
|
〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります |
サポート対象外 – 手動チェック |
4.3 |
3.3 |
|
サポート対象外 – 手動チェック |
サポート対象外 – 手動チェック |
3.1 |
|
|
〔CloudWatch.3] を使用しない マネジメントコンソールのサインインにログメトリクスフィルターとアラームが存在することを確認する MFA |
サポート対象外 – 手動チェック |
サポート対象外 – 手動チェック |
3.2 |
|
サポート対象外 – 手動チェック |
4.4 |
3.4 |
|
|
〔CloudWatch.5] のログメトリクスフィルターとアラームが存在することを確認する CloudTrail AWS Config URL の変更 |
サポート対象外 – 手動チェック |
4.5 |
3.5 |
|
〔CloudWatch.6] のログメトリクスフィルターとアラームが存在することを確認する AWS Management Console 認証の失敗 |
サポート対象外 – 手動チェック |
4.6 |
3.6 |
|
〔CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除のためのログメトリクスフィルターとアラームが存在することを確認する |
サポート対象外 – 手動チェック |
4.7 |
37 |
|
〔CloudWatch.8] S3 バケットポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する |
サポート対象外 – 手動チェック |
4.8 |
3.8 |
|
〔CloudWatch.9] のログメトリクスフィルターとアラームが存在することを確認する AWS Config 設定の変更 |
サポート対象外 – 手動チェック |
4.9 |
3.9 |
|
〔CloudWatch.10] セキュリティグループの変更に対してログメトリクスフィルターとアラームが存在することを確認する |
サポート対象外 – 手動チェック |
4.10 |
3.10 |
|
〔CloudWatch.11] ネットワークアクセスコントロールリストの変更に対するログメトリクスフィルターとアラームが存在することを確認する (NACL) |
サポート対象外 – 手動チェック |
4.11 |
3.11 |
|
〔CloudWatch.12] ネットワークゲートウェイの変更に対するログメトリクスフィルターとアラームが存在することを確認する |
サポート対象外 – 手動チェック |
4.12 |
3.12 |
|
サポート対象外 – 手動チェック |
4.13 |
3.13 |
|
|
サポート対象外 – 手動チェック |
4.14 |
3.14 |
|
|
[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります |
3.3 |
3.5 |
2.5 |
|
〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください |
5.4 |
5.3 |
4.3 |
|
37 |
3.9 |
2.9 |
|
|
2.2.1 |
2.2.1 |
サポートされていません |
|
|
〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります |
5.6 |
サポートされません |
サポートされません |
|
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください |
サポート対象外 — 要件 5.2 および 5.3 に置き換えられました |
サポート対象外 — 要件 5.2 および 5.3 に置き換えられました |
4.1 |
|
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください |
サポート対象外 — 要件 5.2 および 5.3 に置き換えられました |
サポート対象外 — 要件 5.2 および 5.3 に置き換えられました |
4.2 |
|
〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください |
5.1 |
5.1 |
サポートされていません |
|
〔EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください |
5.2 |
サポートされません |
サポートされません |
|
〔EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください |
5.3 |
サポートされません |
サポートされません |
|
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS |
2.4.1 |
サポートされません |
サポートされません |
|
サポートされません |
1.16 |
1.22 |
|
|
1.15 |
サポートされていません |
1.16 |
|
|
1.14 |
1.14 |
1.4 |
|
|
1.4 |
1.4 |
1.12 |
|
|
1.10 |
1.10 |
1.2 |
|
|
1.6 |
1.6 |
1.14 |
|
|
サポートされていない – 45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります代わりに「」を参照してください。 |
サポートされていない – 45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります代わりに「」を参照してください。 |
1.3 |
|
|
1.5 |
1.5 |
1.13 |
|
|
サポート対象外 — この要件CISを削除しました |
サポート対象外 — この要件CISを削除しました |
1.5 |
|
|
サポート対象外 — この要件CISを削除しました |
サポート対象外 — この要件CISを削除しました |
1.6 |
|
|
サポート対象外 — この要件CISを削除しました |
サポート対象外 — この要件CISを削除しました |
1.7 |
|
|
サポート対象外 — この要件CISを削除しました |
サポート対象外 — この要件CISを削除しました |
1.8 |
|
|
1.8 |
1.8 |
1.9 |
|
|
1.9 |
1.9 |
1.10 |
|
|
サポート対象外 — この要件CISを削除しました |
サポート対象外 — この要件CISを削除しました |
1.11 |
|
|
1.17 |
1.17 |
1.2 |
|
|
サポート対象外 — この要件CISを削除しました |
サポート対象外 — この要件CISを削除しました |
1.1 |
|
|
1.12 |
1.12 |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
|
|
1.19 |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
|
|
〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください |
1.22 |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
|
1.20 |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
|
|
3.6 |
3.8 |
2.8 |
|
|
サポート対象外 – 手動チェック |
サポート対象外 – 手動チェック |
サポート対象外 – 手動チェック |
|
|
〔RDS.2] RDS DB インスタンスは、 によって決定されるパブリックアクセスを禁止する必要があります PubliclyAccessible AWS Config uration |
2.3.3 |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
|
2.3.1 |
2.3.1 |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
|
|
2.3.2 |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
|
|
2.1.4 |
2.1.5 |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
|
|
2.1.1 |
2.1.2 |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
|
|
2.1.4 |
2.1.5 |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
|
|
2.1.2 |
2.1.3 |
サポート対象外 — 新しいバージョンでこの要件CISを追加しました |
CIS に関する ARNs AWS Foundations Benchmark
の 1 つ以上のバージョンを有効にする場合 CIS AWS Foundations Benchmark、 で検出結果の受信を開始します。 AWS セキュリティ検出結果形式 (ASFF)。ではASFF、各バージョンは次の Amazon リソースネーム () を使用しますARN。
- CIS AWS Foundations Benchmark v3.0.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0- CIS AWS Foundations Benchmark v1.4.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0- CIS AWS Foundations Benchmark v1.2.0
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
を使用できます。 GetEnabledStandards Security Hub の オペレーションAPIで、有効な標準ARNから を検索します。
上記の値は 用ですStandardsArn。ただし、 は、 を呼び出して標準をサブスクライブするときに Security Hub が作成する標準サブスクリプションリソースStandardsSubscriptionArnを指します。 BatchEnableStandards リージョン内の 。
注記
のバージョンを有効にする場合 CIS AWS Foundations Benchmark、Security Hub は、同じ を使用するコントロールの検出結果を生成するまでに最大 18 時間かかる場合があります。 AWS Config 他の有効な標準で有効なコントロールとしての サービスにリンクされたルール。コントロールの検出結果を生成するスケジュールの詳細については、「」を参照してくださいセキュリティチェックの実行スケジュール。
統合統制結果を有効にすると、検出結果フィールドは異なります。違いについての詳細は ASFF フィールドと値に対する統合の影響 を参照してください。サンプルコントロールの検出結果については、「」を参照してくださいSecurity Hub でのコントロールの検出結果の例。
CIS Security Hub でサポートされていない 要件
前の表で説明したように、Security Hub は のすべてのバージョンのすべてのCIS要件をサポートしているわけではありません。 CIS AWS Foundations Benchmark 標準です。サポートされていない要件の多くは、 の状態を確認することで手動でのみ評価できます。 AWS リソースの使用料金を見積もることができます。
