Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 および v1.4.0 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 および v1.4.0

CIS AWS Foundations ベンチマークは、一連のセキュリティ構成のベストプラクティスとして機能します。 AWS業界で認められているこれらのベストプラクティスにより、 step-by-step 実装と評価の明確な手順が示されます。オペレーティングシステムからクラウドサービスやネットワークデバイスに至るまで、このベンチマークのコントロールは、組織が使用する特定のシステムの保護に役立ちます。

AWS Security Hub CIS AWS 財団ベンチマーク v1.2.0 と v1.4.0 をサポートします。

このページには、セキュリティコントロール ID とタイトルが一覧表示されます。 AWS GovCloud (US) Region および中国リージョンでは、規格固有のコントロール ID とタイトルが使用されています。セキュリティコントロール ID とタイトルを標準固有のコントロール ID とタイトルにマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。

Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

Security Hub は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています:

  • CIS 基盤ベンチマーク、v1.2.0、レベル 1 の CIS AWS ベンチマーク

  • CIS 基盤ベンチマーク、v1.2.0、レベル 2 の CIS ベンチマーク AWS

CIS 財団ベンチマーク v1.2.0 に適用される統制 AWS

[CloudTrail.1] を有効にして、読み取り/書き込み管理イベントを含むマルチリージョントレイルを少なくとも 1 CloudTrail つ設定する必要があります。

[CloudTrail.2] CloudTrail では保存時の暗号化を有効にする必要があります

[CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

[CloudTrail.5] CloudTrail トレイルは Amazon ログと統合する必要があります CloudWatch

[CloudTrail.6] CloudTrail ログの保存に使用する S3 バケットがパブリックにアクセスできないようにする

[CloudTrail.7] S3 バケットで S3 バケットアクセスロギングが有効になっていることを確認します。 CloudTrail

[CloudWatch.1]「root」ユーザーが使用するには、ログメトリクスフィルターとアラームが必要です

[CloudWatch.2] 不正な API 呼び出しに対するログメトリクスフィルタとアラームがあることを確認する

[CloudWatch.3] MFA を使用しない管理コンソールサインイン用のログメトリックフィルタとアラームが存在することを確認

[CloudWatch.4] IAM ポリシー変更用のログメトリックフィルタとアラームが存在することを確認する

[CloudWatch.5] CloudTrail AWS Config時間変更用のログメトリクスフィルタとアラームが存在することを確認する

[CloudWatch.6] AWS Management Console 認証に失敗した場合に備えて、ログメトリックフィルタとアラームが存在することを確認する

[CloudWatch.7] 顧客管理キーの無効化や削除の予定を設定するためのログメトリックフィルタとアラームがあることを確認する

[CloudWatch.8] S3 バケットポリシー変更用のログメトリクスフィルタとアラームが存在することを確認する

[CloudWatch.9] AWS Config 設定変更用のログメトリックフィルタとアラームが存在することを確認する

[CloudWatch.10] セキュリティグループの変更に対応するログメトリックフィルタとアラームが存在することを確認する

[CloudWatch.11] ネットワークアクセス制御リスト (NACL) の変更に関するログメトリックフィルタとアラームがあることを確認する

[CloudWatch.12] ネットワークゲートウェイの変更に関するログメトリックフィルタとアラームが存在することを確認する

[CloudWatch.13] ルートテーブルが変更された場合のログメトリックフィルタとアラームがあることを確認する

[CloudWatch.14] VPC 変更用のログメトリックフィルタとアラームが存在することを確認

[Config.1] AWS Config を有効にする必要があります

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します

[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します

[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します

[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します

[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します

[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています

[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します

[IAM.18] インシデントを管理するためのサポートロールが作成されていることを確認する AWS Support

[IAM.20] ルートユーザーの使用を避けます

[KMS.4] キーローテーションを有効にする必要があります AWS KMS

Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0

Security Hub は CIS AWS 基盤ベンチマークの v1.4.0 をサポートしています。

CIS 財団ベンチマーク v1.4.0 に適用される統制 AWS

[CloudTrail.1] を有効にして、読み取り/書き込み管理イベントを含むマルチリージョントレイルを少なくとも 1 CloudTrail つ設定する必要があります。

[CloudTrail.2] CloudTrail では保存時の暗号化を有効にする必要があります

[CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

[CloudTrail.5] CloudTrail トレイルは Amazon ログと統合する必要があります CloudWatch

[CloudTrail.6] CloudTrail ログの保存に使用する S3 バケットがパブリックにアクセスできないようにする

[CloudTrail.7] S3 バケットで S3 バケットアクセスロギングが有効になっていることを確認します。 CloudTrail

[CloudWatch.1]「root」ユーザーが使用するには、ログメトリクスフィルターとアラームが必要です

[CloudWatch.4] IAM ポリシー変更用のログメトリックフィルタとアラームが存在することを確認する

[CloudWatch.5] CloudTrail AWS Config時間変更用のログメトリクスフィルタとアラームが存在することを確認する

[CloudWatch.6] AWS Management Console 認証に失敗した場合に備えて、ログメトリックフィルタとアラームが存在することを確認する

[CloudWatch.7] 顧客管理キーの無効化や削除の予定を設定するためのログメトリックフィルタとアラームがあることを確認する

[CloudWatch.8] S3 バケットポリシー変更用のログメトリクスフィルタとアラームが存在することを確認する

[CloudWatch.9] AWS Config 設定変更用のログメトリックフィルタとアラームが存在することを確認する

[CloudWatch.10] セキュリティグループの変更に対応するログメトリックフィルタとアラームが存在することを確認する

[CloudWatch.11] ネットワークアクセス制御リスト (NACL) の変更に関するログメトリックフィルタとアラームがあることを確認する

[CloudWatch.12] ネットワークゲートウェイの変更に関するログメトリックフィルタとアラームが存在することを確認する

[CloudWatch.13] ルートテーブルが変更された場合のログメトリックフィルタとアラームがあることを確認する

[CloudWatch.14] VPC 変更用のログメトリックフィルタとアラームが存在することを確認

[Config.1] AWS Config を有効にする必要があります

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します

[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています

[IAM.18] インシデントを管理するためのサポートロールが作成されていることを確認する AWS Support

[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります

[KMS.4] キーローテーションを有効にする必要があります AWS KMS

[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

[S3.1] S3 汎用バケットでは、パブリックアクセスのブロック設定が有効になっている必要があります

[S3.5] S3 汎用バケットには SSL を使用するリクエストが必要となるはずです。

[S3.8] S3 汎用バケットはパブリックアクセスをブロックすべきである

[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

CIS ファンデーションズ・ベンチマーク v1.2.0 と v1.4.0 の比較 AWS

このセクションでは、インターネットセキュリティセンター (CIS) 財団ベンチマーク v1.4.0 と v1.2.0 の違いについてまとめています。 AWS Security Hub は、この標準の両バージョンをサポートしています。

注記

セキュリティのベストプラクティスを常に最新の状態に保つため、CIS AWS Foundations Benchmark v1.4.0 にアップグレードすることをお勧めしますが、v1.4.0 と v1.2.0 の両方を同時に有効にしている場合もあります。詳細については、「セキュリティ標準の有効化および無効化」を参照してください。v1.4.0 にアップグレードする場合は、v1.2.0 を無効にするより前に、まずv1.4.0 を有効にするのが最善です。Security Hub AWS Organizations 統合を使用して複数のアカウントを一元管理していて、すべてのアカウントで v1.4.0 を一括有効にする(オプションで v1.2.0 を無効にする)場合は、管理者アカウントから Security Hub マルチアカウントスクリプトを実行できます

CIS AWS Foundations ベンチマーク v1.4.0 には存在するが、v1.2.0 には存在しないコントロール

CIS 基礎ベンチマーク v1.4.0 では、次のコントロールが追加されました。 AWS これらのコントロールは CIS 財団ベンチマーク v1.2.0 には含まれていません。 AWS

セキュリティコントロール ID Cisv1.4.0 の要件 コントロールタイトル

EC2.7

2.2.1

EBSボリュームの暗号化が有効であることを確認します

EC2.21

5.1

ネットワーク ACL が 0.0.0.0/0 からリモートサーバー管理ポートへの侵入を許可していないことを確認します

IAM.22

1.12

45 日間以上使用されていない認証情報は無効にします。

RDS.3

2.3.1

RDSインスタンスで暗号化が有効であることを確認します

S3.1

2.1.5.1

S3 ブロックパブリックアクセス設定を有効にする必要があります

S3.5

2.1.2

S3 バケットポリシーが HTTP リクエストを拒否するように設定されていることを確認する

S3.8

2.1.5.2

S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります

S3.20

2.1.3

S3 汎用バケットでは MFA 削除が有効になっている必要があります

CIS AWS ファンデーションベンチマーク v1.2.0 には存在するが、v1.4.0 には存在しないコントロール

以下のコントロールは CIS ファンデーションベンチマーク v1.2.0 にのみ存在します。 AWS これらのコントロールは CIS 財団ベンチマーク v1.4.0 には含まれていません。 AWS

セキュリティコントロール ID Cisv1.2.0 の要件 コントロールタイトル v1.4.0 に含まれていない理由

CloudWatch.2.

3.1

不正な API コールに対するログメトリクスフィルターとアラームが存在することを確認する

Security Hub がサポートしていない自動チェック

CloudWatch.3

3.2

MFA なしの AWS Management Console サインインに対するログメトリクスフィルターとアラームが存在することを確認する

Security Hub がサポートしていない自動チェック

EC2.13

4.1

どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可していないことを確認する

代わりに [EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります を参照する

EC2.14

4.2

どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないことを確認する

Security Hub がサポートしていない自動チェック

IAM.2

1.16

IAM ユーザーには IAM ポリシーをアタッチしてはなりません

Security Hub がサポートしていない自動チェック

IAM.8

1.3

90 日間以上使用されていない認証情報は無効化されるようにする

代わりに [IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります を参照する

IAM.11

1.5

IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認する

Cisv1.4.0 の要件ではありません

IAM.12

1.6

IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認する

Cisv1.4.0 の要件ではありません

IAM.13

1.7

IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認する

Cisv1.4.0 の要件ではありません

IAM.14

1.8

IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認する

Cisv1.4.0 の要件ではありません

IAM.17

1.11

IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認する

Cisv1.4.0 の要件ではありません

IAM.20

1.1

ルートユーザーであるユーザーを避ける

代わりに [CloudWatch.1]「root」ユーザーが使用するには、ログメトリクスフィルターとアラームが必要です を参照する

CIS AWS Foundations Benchmark v1.2.0 および v1.4.0 に存在するコントロール

CIS AWS ファンデーションベンチマーク v1.2.0 と v1.4.0 の両方に以下のコントロールがあります。ただし、コントロール ID と一部のコントロールタイトルはバージョンごとに異なります。

セキュリティコントロール ID Cisv1.2.0 の要件 CISv1.2.0 でのコントロールのタイトル Cisv1.4.0 の要件 CISv1.4.0 でのコントロールのタイトル

CloudTrail.1.

2.1

Ensure CloudTrail はすべての地域で有効になっています。

3.1

CloudTrail Ensureはすべての地域で有効になっています。

CloudTrail2.

2.7

以下を使用して、 CloudTrail 保存中のログが暗号化されていることを確認します。 AWS KMS keys

37

以下を使用して、 CloudTrail 保存中のログが暗号化されていることを確認します。 AWS KMS keys

CloudTrail4.

2.2

CloudTrail ログファイルの検証が有効になっていることを確認します。

3.2

CloudTrail ログファイルの検証が有効になっていることを確認する

CloudTrail5.

2.4

CloudTrail トレイルがログと統合されていることを確認する CloudWatch

3.4

CloudTrail トレイルがログと統合されていることを確認する CloudWatch

CloudTrail6.

2.3

CloudTrail ログの保存に使用する S3 バケットがパブリックにアクセスできないようにする

3.3

CloudTrail ログの保存に使用する S3 バケットがパブリックにアクセスできないようにする

CloudTrail7.

2.6

S3 バケットで S3 バケットアクセスロギングが有効になっていることを確認します。 CloudTrail

3.6

S3 バケットで S3 バケットアクセスロギングが有効になっていることを確認します。 CloudTrail

CloudWatch1.

1.1

3.3

1.1 - ルートユーザーの使用を避ける

3.3 - ルートユーザーに使用するログメトリクスフィルターとアラームが存在することを確認する

1.7

管理および日常のタスクでのルートユーザーの使用を排除します

CloudWatch4.

3.4

MFA なしの IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認します。

4.4

MFA なしの IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認します。

CloudWatch.5

3.5

CloudTrail設定変更用のログメトリクスフィルタとアラームが存在することを確認してください。

4.5

CloudTrail設定変更用のログメトリクスフィルタとアラームが存在することを確認してください。

CloudWatch6.

3.6

AWS Management Console 認証の失敗に対してログメトリックフィルターとアラームが存在することを確認する

4.6

AWS Management Console 認証の失敗に対してログメトリックフィルターとアラームが存在することを確認する

CloudWatch.7

37

カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認する

4.7

カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認する

CloudWatch.8

3.8

S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します

4.8

S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します

CloudWatch.9

3.9

AWS Config 設定の変更に対してログメトリックフィルターとアラームが存在することを確認する

4.9

AWS Config 設定の変更に対してログメトリックフィルターとアラームが存在することを確認する

CloudWatch.10

3.10

セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します

4.10

セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します

CloudWatch.11

3.11

ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します

4.11

ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します

CloudWatch.12

3.12

ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します

4.12

ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します

CloudWatch.13

3.13

ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します

4.13

ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します

CloudWatch.14

3.14

VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します

4.14

VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します

Config.1

2.5

AWS Config 有効になっていることを確認する

3.5

AWS Config すべての地域でEnsureが有効になっている

EC2.2

4.3

すべての VPC のデフォルトセキュリティグループがすべてのトラフィックを制限するようにします

5.3

すべての VPC のデフォルトセキュリティグループがすべてのトラフィックを制限するようにします

EC2.6

2.9

すべての VPCs で VPC フローログ記録が有効になっていることを確認します

3.9

すべての VPCs で VPC フローログ記録が有効になっていることを確認します

IAM.1

1.22

完全な「*:*」管理者権限を許可する IAM ポリシーが作成されていないことを確認する

1.16

完全な「*:*」管理権限を許可する IAM ポリシーは作成されません。

IAM.3

1.4

アクセスキーは 90 日ごとに更新します。

1.14

アクセスキーは 90 日ごとに更新します。

IAM.4

1.12

ルートユーザーのアクセスキーが存在しないことを確認する

1.4

ルートユーザーアカウントアクセスキーが存在しないことを確認します

IAM.5

1.2

コンソールパスワードを持っているすべての IAM ユーザーについて多要素認証 (MFA) が有効にします。

1.10

コンソールパスワードを持っているすべての IAM ユーザーについて多要素認証 (MFA) が有効にします。

IAM.6

1.14

ハードウェア MFA がルートユーザーで有効になっていることを確認する

1.6

ルートユーザーアカウントでハードウェア MFA を有効にします

IAM.9

1.13

MFA がルートユーザーで有効になっていることを確認する

1.5

ルートユーザーアカウントで MFA が有効であることを確認する

IAM.15

1.9

IAM パスワードポリシーにおいて、14 文字以上のパスワードが要求されるようにする

1.8

IAM パスワードポリシーにおいて 14 文字以上の長さが必要になります。

IAM.16

1.10

IAM パスワードポリシーはパスワードの再使用を禁止しています

1.9

IAM パスワードポリシーはパスワードの再使用を禁止しています

IAM.18

1.20

インシデントを管理するためのサポートロールが作成されていることを確認する AWS Support

1.17

以下の方法でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support

KMS.4

2.8

カスタマー作成の KMS キーのローテーションが有効になっていることを確認する

3.8

カスタマー作成の KMS キーのローテーションが有効になっていることを確認する

CIS AWS Foundations Benchmark v1.4.0 の検出結果フィールドの形式

CIS AWS Foundations Benchmark v1.4.0 を有効にすると、 AWS セキュリティ評価結果フォーマット (ASFF) で結果を受信し始めます。これらの検出結果については、標準固有のフィールドは v1.4.0 を参照します。CIS AWS Foundations Benchmark v1.4.0 については、標準の Amazon リソースネーム (ARN) を参照する ASFF GeneratorIDフィールドの形式と、次の形式に注意してください。

  • 標準 ARNarn:partition:securityhub:region:account-id:standards/cis-aws-foundations-benchmark/v/1.4.0

  • GeneratorIDcis-aws-foundations-benchmark/v/1.4.0/control ID

GetEnabledStandardsAPI オペレーションを呼び出して、標準の ARN を調べることができます。

注記

CIS AWS Foundations Benchmark v1.4.0 を有効にすると、Security Hub は、 AWS Config 他の有効な標準で有効になっている統制と同じサービスにリンクされたルールを使用する統制の結果を生成するまでに最大 18 時間かかる場合があります。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

[統合されたコントロールの検出結果] を有効にしている場合、検出結果フィールドは異なります。違いについての詳細は ASFF フィールドと値への統合の影響 を参照してください。統合を有効化または無効化した場合における CIS コントロールの検出結果のサンプルについては、「コントロールの検出結果のサンプル」を参照してください。

Security Hub でサポートされていない CIS AWS Foundations Benchmark セキュリティチェック

このセクションでは、Security Hub で現在サポートされていない CIS の要件の概要を示します。Center for Internet Security (CIS) は、これらの要件を確立する独立非営利組織です。

Security Hub でサポートされていない CIS AWS Foundations Benchmark v1.2.0 のセキュリティチェック

以下の CIS AWS Foundations ベンチマーク v1.2.0 要件は、現在Security Hub ではサポートされていません

サポートされていない手動チェック

Security Hub は、自動化可能なセキュリティチェックに重点を置いています。そのため、Security Hub は CIS AWS Foundations Benchmark v1.2.0 の以下の要件をサポートしていません。リソースを手動でチェックする必要があるためです。

  • 1.15 - セキュリティの質問が AWS アカウント に登録されているようにする

  • 1.17 - 現在の連絡先詳細を維持する

  • 1.18 - セキュリティの連絡先情報が登録されていることを確認する

  • 1.19 - IAM インスタンスロールはインスタンスからの AWS リソースアクセスに使用されることを確認する

  • 1.21 - コンソールパスワードを持つすべての IAM ユーザーの初期ユーザーセットアップ中にアクセスキーを設定しない

  • 4.4 - VPC ピアリングのルーティングテーブルが「アクセスが最も少ない」ことを確認する

Security Hub は CIS AWS Foundations ベンチマーク v1.2.0 のすべての自動チェックをサポートしています。

Security Hub でサポートされていない CIS AWS Foundations Benchmark v1.4.0 のセキュリティチェック

以下の CIS AWS Foundations ベンチマーク v1.4.0 要件は、現在Security Hub ではサポートされていません

サポートされていない手動チェック

Security Hub は、自動化可能なセキュリティチェックに重点を置いています。そのため、Security Hub は CIS AWS Foundations Benchmark v1.4.0 の以下の要件をサポートしていません。リソースを手動でチェックする必要があるためです。

  • 1.1 - 現在の連絡先詳細を維持する

  • 1.2 - セキュリティの連絡先情報が登録されているようにする

  • 1.3 - セキュリティの質問が AWS アカウント に登録されているようにする

  • 1.11 - コンソールパスワードを持つすべての IAM ユーザーの初期ユーザーセットアップ中にアクセスキーを設定しない

  • 1.18 - IAM インスタンスロールはインスタンスからの AWS リソースアクセスに使用されることを確認する

  • 1.21 — ID フェデレーションまたはマルチアカウント環境で IAM ユーザーを一元管理できるようにする AWS Organizations

  • 2.1.4 — Amazon S3 のすべてのデータが必要に応じて検出、分類、保護されるようにする

  • 5.4 - VPC ピアリングのルーティングテーブルが「アクセスが最も少ない」ことを確認する

サポートされていない自動チェック

Security Hub は、自動チェックに依存する CIS AWS Foundations Benchmark v1.4.0 の以下の要件をサポートしていません。

  • 1.13 – 1 人の IAM ユーザーが使用できるアクティブなアクセスキーが 1 つしかないようにする

  • 1.15 – IAM ユーザーがグループを通してしかアクセス権を受け取れないようにする

  • 1.19 – IAM に保存されている期限切れの SSL/TLS 証明書はすべて削除されるようにする

  • 1.20 – IAM Access Analyzer がすべてのリージョンで有効になっているようにする

  • 3.10 – S3 バケットで書き込みイベントのオブジェクトレベルのログが有効になっているようにする

  • 3.11 – S3 バケットで読み込みイベントのオブジェクトレベルのログが有効になっているようにする

  • 4.1 - 不正な API コールに対するログメトリクスフィルターとアラームが存在するようにする

  • 4.2 – MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在するようにする

  • 4.3 - ルートアカウントの使用に対してログメトリクスフィルターとアラームが存在するようにする (これは Security Hub でサポートされている自動化された要件、1.7 - 管理および日常のタスクでのルートユーザーの使用を排除するに類似)

  • 4.15 - AWS Organizations の変更に対するログメトリクスフィルターとアラームが存在するようにする

  • 5.2 – セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの侵入を許可することがないようにする