CIS AWS Foundations Benchmark - AWS Security Hub
CIS AWS Foundations Benchmark v3.0.0CIS AWS Foundations Benchmark v1.4.0CIS AWS Foundations Benchmark v1.2.0CIS AWS Foundations Benchmark のバージョン比較

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CIS AWS Foundations Benchmark

Center for Internet Security (CIS) AWS Foundations Benchmark は、 のセキュリティ設定のベストプラクティスのセットとして機能します AWS。これらの業界で認められているベストプラクティスは、明確で step-by-step 実装、評価の手順を提供します。オペレーティングシステムからクラウドサービスやネットワークデバイスに至るまで、このベンチマークのコントロールは、組織が使用する特定のシステムの保護に役立ちます。

AWS Security Hub は、CIS AWS Foundations Benchmark v3.0.0、1.4.0、および v1.2.0 をサポートしています。

このページには、各バージョンがサポートするセキュリティコントロールが一覧表示され、バージョンの比較が表示されます。

CIS AWS Foundations Benchmark v3.0.0

Security Hub は、CIS AWS Foundations Benchmark のバージョン 3.0.0 をサポートしています。

Security Hub は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています:

  • CIS Benchmark for CIS AWS Foundations Benchmark、v3.0.0、レベル 1

  • CIS Benchmark for CIS AWS Foundations Benchmark、v3.0.0、レベル 2

CIS AWS Foundations Benchmark v3.0.0 に適用されるコントロール

[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント

〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります

〔CloudTrail.2] CloudTrail 保管時の暗号化を有効にする必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.7] S3 バケットのアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

[Config.1] AWS Config を有効にする必要があります

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

[EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください

[EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください

[EFS .1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します

[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています

[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認する AWS Support

[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります

[IAM.27] IAM ID には AWSCloudShellFullAccess ポリシーをアタッチしないでください

[IAM.28] IAM Access Analyzer の外部アクセスアナライザーを有効にする必要があります

[KMS.4] AWS KMS キーローテーションを有効にする必要があります

[RDS.2] RDS DB インスタンスは、 PubliclyAccessible AWS Config設定によって決定されるパブリックアクセスを禁止する必要があります

[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[S3.1] S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります

[S3.5] S3 汎用バケットでは、SSL を使用するリクエストが必要です

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

[S3.22] S3 汎用バケットは、オブジェクトレベルの書き込みイベントをログに記録する必要があります

[S3.23] S3 汎用バケットは、オブジェクトレベルの読み取りイベントをログに記録する必要があります

CIS AWS Foundations Benchmark v1.4.0

Security Hub は CIS AWS Foundations Benchmark の v1.4.0 をサポートしています。

CIS AWS Foundations Benchmark v1.4.0 に適用されるコントロール

〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります

〔CloudTrail.2] CloudTrail 保管時の暗号化を有効にする必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

〔CloudTrail.7] S3 バケットのアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります

〔CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.5] CloudTrail AWS Config設定の変更に対するログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.6] AWS Management Console 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除のためのログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.8] S3 バケットポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.10] セキュリティグループの変更に対してログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) の変更に対するログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.12] ネットワークゲートウェイの変更に対するログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認する

[Config.1] AWS Config を有効にする必要があります

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します

[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています

[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認する AWS Support

[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります

[KMS.4] AWS KMS キーローテーションを有効にする必要があります

[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

[S3.1] S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります

[S3.5] S3 汎用バケットでは、SSL を使用するリクエストが必要です

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

Security Hub は、CIS AWS Foundations Benchmark のバージョン 1.2.0 をサポートしています。

Security Hub は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています:

  • CIS Benchmark for CIS AWS Foundations Benchmark、v1.2.0、レベル 1

  • CIS Benchmark for CIS AWS Foundations Benchmark、v1.2.0、レベル 2

CIS AWS Foundations Benchmark v1.2.0 に適用されるコントロール

〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります

〔CloudTrail.2] CloudTrail 保管時の暗号化を有効にする必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

〔CloudTrail.7] S3 バケットのアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります

〔CloudWatch.2] 不正な API コールに対してログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.3] MFA を使用しない マネジメントコンソールサインインのログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.5] CloudTrail AWS Config設定の変更に対するログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.6] AWS Management Console 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除のためのログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.8] S3 バケットポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.10] セキュリティグループの変更に対してログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) の変更に対するログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.12] ネットワークゲートウェイの変更に対するログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認する

〔CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認する

[Config.1] AWS Config を有効にする必要があります

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します

[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します

[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します

[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します

[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します

[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています

[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します

[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認する AWS Support

[KMS.4] AWS KMS キーローテーションを有効にする必要があります

CIS AWS Foundations Benchmark のバージョン比較

このセクションでは、Center for Internet Security (CIS) AWS Foundations Benchmark v3.0.0、v1.4.0、および v1.2.0 の違いを要約します。

Security Hub は CIS AWS Foundations Benchmark の各バージョンをサポートしていますが、セキュリティのベストプラクティスを最新の状態に保つために v3.0.0 を使用することをお勧めします。複数のバージョンの標準を同時に有効にすることができます。詳細については、「セキュリティ標準の有効化および無効化」を参照してください。v3.0.0 にアップグレードする場合は、古いバージョンを無効にする前に最初に有効にすることをお勧めします。Security Hub と の統合を使用して複数の AWS Organizations を一元管理 AWS アカウント し、すべてのアカウントで v3.0.0 をバッチで有効にする場合は、中央設定 を使用できます。

各バージョンの CIS 要件へのコントロールのマッピング

CIS AWS Foundations Benchmark がサポートする各バージョンのコントロールを理解します。

コントロール ID とタイトル CIS v3.0.0 の要件 CIS v1.4.0 の要件 CIS v1.2.0 の要件

[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント

1.2

1.2

1.18

〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります

3.1

3.1

2.1

〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります

3.1

3.1

2.1

〔CloudTrail.2] CloudTrail 保管時の暗号化を有効にする必要があります

3.5

37

2.7

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

3.2

3.2

2.2

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

サポート対象外 — CIS はこの要件を削除しました

3.4

2.4

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

サポート対象外 — CIS はこの要件を削除しました

3.3

2.3

〔CloudTrail.7] S3 バケットのアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

3.4

3.6

2.6

〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります

サポートされていない – 手動チェック

4.3

3.3

〔CloudWatch.2] 不正な API コールに対してログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

サポートされていない – 手動チェック

3.1

〔CloudWatch.3] MFA を使用しない マネジメントコンソールサインインのログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

サポートされていない – 手動チェック

3.2

〔CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

4.4

3.4

〔CloudWatch.5] CloudTrail AWS Config設定の変更に対するログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

4.5

3.5

〔CloudWatch.6] AWS Management Console 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

4.6

3.6

〔CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除のためのログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

4.7

37

〔CloudWatch.8] S3 バケットポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

4.8

3.8

〔CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

4.9

3.9

〔CloudWatch.10] セキュリティグループの変更に対してログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

4.10

3.10

〔CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) の変更に対するログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

4.11

3.11

〔CloudWatch.12] ネットワークゲートウェイの変更に対するログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

4.12

3.12

〔CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

4.13

3.13

〔CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認する

サポートされていない – 手動チェック

4.14

3.14

[Config.1] AWS Config を有効にする必要があります

3.3

3.5

2.5

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

5.4

5.3

4.3

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

37

3.9

2.9

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

2.2.1

2.2.1

サポートされていません

[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

5.6

サポートされません

サポートされません

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

サポート対象外 — 要件 5.2 および 5.3 に置き換えられました

サポート対象外 — 要件 5.2 および 5.3 に置き換えられました

4.1

[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります

サポート対象外 — 要件 5.2 および 5.3 に置き換えられました

サポート対象外 — 要件 5.2 および 5.3 に置き換えられました

4.2

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

5.1

5.1

サポートされていません

[EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください

5.2

サポートされません

サポートされません

[EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください

5.3

サポートされません

サポートされません

[EFS .1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

2.4.1

サポートされません

サポートされません

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

サポートされません

1.16

1.22

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

1.15

サポートされていません

1.16

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

1.14

1.14

1.4

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

1.4

1.4

1.12

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

1.10

1.10

1.2

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

1.6

1.6

1.14

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

サポート対象外 – [IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります代わりに「」を参照してください。

サポート対象外 – [IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります代わりに「」を参照してください。

1.3

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

1.5

1.5

1.13

[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します

サポート対象外 — CIS はこの要件を削除しました

サポート対象外 — CIS はこの要件を削除しました

1.5

[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します

サポート対象外 — CIS はこの要件を削除しました

サポート対象外 — CIS はこの要件を削除しました

1.6

[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します

サポート対象外 — CIS はこの要件を削除しました

サポート対象外 — CIS はこの要件を削除しました

1.7

[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します

サポート対象外 — CIS はこの要件を削除しました

サポート対象外 — CIS はこの要件を削除しました

1.8

[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します

1.8

1.8

1.9

[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています

1.9

1.9

1.10

[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します

サポート対象外 — CIS はこの要件を削除しました

サポート対象外 — CIS はこの要件を削除しました

1.11

[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認する AWS Support

1.17

1.17

1.2

[IAM.20] ルートユーザーの使用を避けます

サポート対象外 — CIS はこの要件を削除しました

サポート対象外 — CIS はこの要件を削除しました

1.1

[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります

1.12

1.12

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります

1.19

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

[IAM.27] IAM ID には AWSCloudShellFullAccess ポリシーをアタッチしないでください

1.22

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

[IAM.28] IAM Access Analyzer の外部アクセスアナライザーを有効にする必要があります

1.20

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

[KMS.4] AWS KMS キーローテーションを有効にする必要があります

3.6

3.8

2.8

[Macie.1] Amazon Macie を有効にする必要があります

サポートされていない – 手動チェック

サポートされていない – 手動チェック

サポートされていない – 手動チェック

[RDS.2] RDS DB インスタンスは、 PubliclyAccessible AWS Config設定によって決定されるパブリックアクセスを禁止する必要があります

2.3.3

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

2.3.1

2.3.1

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

2.3.2

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

[S3.1] S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります

2.1.4

2.1.5

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

[S3.5] S3 汎用バケットでは、SSL を使用するリクエストが必要です

2.1.1

2.1.2

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

2.1.4

2.1.5

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

2.1.2

2.1.3

サポート対象外 — CIS が新しいバージョンでこの要件を追加しました

CIS AWS ARNs

CIS AWS Foundations Benchmark の 1 つ以上のバージョンを有効にすると、 AWS Security Finding 形式 (ASFF) で結果の受信が開始されます。ASFF では、各バージョンは次の Amazon リソースネーム (ARN) を使用します。

CIS AWS Foundations Benchmark v3.0.0

arn:aws::securityhub:::standards/cis-aws-foundations-benchmark/v/3.0.0

CIS AWS Foundations Benchmark v1.4.0

arn:aws::securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0

CIS AWS Foundations Benchmark v1.2.0

arn:aws::securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0

Security Hub API の GetEnabledStandardsオペレーションを使用して、有効な標準の ARN を確認できます。

注記

CIS AWS Foundations Benchmark のバージョンを有効にすると、Security Hub は、他の有効な標準で有効になっているコントロールと同じ AWS Config サービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに最大 18 時間かかる場合があります。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

統合統制結果を有効にすると、検出結果フィールドは異なります。違いについての詳細は ASFF フィールドと値への統合の影響 を参照してください。サンプルコントロールの検出結果については、「」を参照してくださいコントロールの検出結果のサンプル

Security Hub でサポートされていない CIS 要件

前の表で説明したように、Security Hub は CIS AWS Foundations Benchmark のすべてのバージョンですべての CIS 要件をサポートしているわけではありません。サポートされていない要件の多くは、 AWS リソースの状態を確認することで手動でのみ評価できます。