AWS 向けのマネージド検査
本ページでは、AWS 向けに Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。
検査を実施するには
以下で公開されているワークフローを Shisho Cloud 組織に登録することでマネージド検査項目を利用できます:
- CIS AWS Foundations Benchmark v1.5.0 向けワークフロー
- AWS Foundational Security Best Practices (FSBP) 向けワークフロー
- AWS 向け追加ワークフロー by Flatt Security
検査項目の一覧
info
各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすること�で、組織のポリシーに合わせた緊急度の変更も可能です。
| 検査項目名 | 関連する標準 | デフォルトの緊急度 | Shisho Cloud 内の管理 ID |
|---|---|---|---|
| ACM で発行された証明書の有効期限を十分に確保する | ACM.1 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_acm_certificate_expiry |
| ACM 管理の証明書の鍵アルゴリズムに自社基準以上を利用する | ACM.2 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_acm_certificate_key_algorithm |
| Application Load Balancer の削除保護を有効にする | ELB.6 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_alb_delete_protection |
| Application Load Balancer が HTTP Desync 攻撃を緩和するよう設定する | ELB.12 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_alb_desync_mitigation |
| Application Load Balancer への全ての HTTP リクエストを HTTPS にリダイレクトする | ELB.1 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_alb_https_redirection |
| Application Load Balancer が無効な HTTP ヘッダをドロップするように設定する | ELB.4 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_alb_invalid_header_handling |
| Application Load Balancer のログ記録を有効にする | ELB.5 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_alb_logging |
| AMI のパブリックな公開を避ける | Critical | decision.api.shisho.dev/v1beta:aws_ami_public_access | |
| API Gateway V2 ステージにロギングを設定する | APIGateway.9 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_apigateway_access_logging |
| API Gateway REST API キャッシュデータを暗号化する | APIGateway.5 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_apigateway_cache_encryption |
| API Gateway REST/WebSocket API のロギングを有効にする | APIGateway.1 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_apigateway_logging |
| API Gateway ルートかバックエンドの少なくとも一方で認証を実装する | APIGateway.8 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_apigateway_route_auth |
| API Gateway バックエンドへの通信にクライアント証明書を利用する | APIGateway.2 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_apigateway_ssl_certificates |
| API Gateway を WAF Web ACL と関連付ける | APIGateway.4 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_apigateway_waf_web_acl |
| API Gateway で AWS X-Ray トレースを利用する | APIGateway.3 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_apigateway_xray_tracing |
| Auto Scaling グループで複数のアベイラビリティゾーンをカバーする | AutoScaling.2 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_autoscaling_group_availability_zones |
| Auto Scaling グループで複数のインスタンスタイプを使用する | AutoScaling.6 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_autoscaling_group_instance_types |
| Auto Scaling グループで起動テンプレートを使用する | AutoScaling.9 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_autoscaling_group_launch_template |
| Auto Scaling ��に紐づく Classic Load Balancer でヘルスチェックを利用する | AutoScaling.1 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_autoscaling_group_lb_health_check |
| Auto Scaling グループで IMDSv2 を使用する | AutoScaling.3 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_autoscaling_launch_configuration_imdsv2 |
| Auto Scaling グループでパブリック IP アドレスを使用しない | AutoScaling.5 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_autoscaling_launch_configuration_public_ip |
| Auto Scaling グループのメタデータ応答ホップ制限を 1 以下にする | AutoScaling.4 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_autoscaling_launch_configuration_response_hop_limit |
| CloudFormation スタックのイベントを SNS トピックで通知する | CloudFormation.1 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_cloudformation_stack_sns |
| CloudFront ディストリビューションはカスタムSSL/TLS証明書を使用する | CloudFront.7 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_default_certificate |
| CloudFront ディストリビューションにデフォルトルートオブジェクトを設定する | CloudFront.1 (AWS FSBP) | Critical | decision.api.shisho.dev/v1beta:aws_cloudfront_default_root_object |
| CloudFront ディストリビューションへのアクセスログを記録する | CloudFront.5 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_logging |
| S3 バックエンドを持つ CloudFront ディストリビューションに Origin Access Control を設定する | CloudFront.13 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_origin_access_control |
| CloudFront ディストリビューションには、オリジンフェイルオーバーを構成する | CloudFront.4 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_cloudfront_origin_failover |
| CloudFront ディストリビューションで存在しない S3 オリジンを指定しない | CloudFront.12 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_cloudfront_origin_s3_bucket_existence |
| CloudFront ディストリビューションのオリジンに対する接続で HTTPS を利用する | CloudFront.9 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_origin_transport |
| CloudFront ディストリビューションのオリジンに対する HTTPS 接続でセキュアな SSL/TLS プロトコルを利用する | CloudFront.10 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_origin_transport_version |
| CloudFront ディストリビューションの HTTPS リクエストの処理に SNI を使用する | CloudFront.8 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_cloudfront_sni |
| CloudFront への接続時に TLS バージョンの利用を強制する | High | decision.api.shisho.dev/v1beta:aws_cloudfront_tls_version | |
| CloudFront ディストリビューションへの接続に HTTPS を強制する | CloudFront.3 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_transport |
| CloudFront ディストリビューションで WAF を利用する | CloudFront.6 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_cloudfront_waf |
| CloudTrail 証跡と CloudWatch Logs を連携する | CloudTrail.5 (AWS FSBP), 3.4 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_cloudtrail_cloudwatch_logs_integration |
| CloudTrail 証跡の暗号化に KMS CMK を利用する | CloudTrail.2 (AWS FSBP), 3.7 (CIS AWS v1.5.0), 3.5 (CIS AWS v3.0.0) | Low | decision.api.shisho.dev/v1beta:aws_cloudtrail_cmk_encryption |
| CloudTrail ログを保存する S3 バケットを一般公開しない | 3.3 (CIS AWS v1.5.0) | Low | decision.api.shisho.dev/v1beta:aws_cloudtrail_log_bucket_accessibility |
| CloudTrail ログファイルのバリデーションを有効にする | PCI.CloudTrail.4 (AWS FSBP), 3.2 (CIS AWS v1.5.0), 3.2 (CIS AWS v3.0.0) | Medium | decision.api.shisho.dev/v1beta:aws_cloudtrail_log_file_validation |
| 全てのリージョンで CloudTrail を有効にする | CloudTrail.1 (AWS FSBP), 3.1 (CIS AWS v1.5.0), 3.1 (CIS AWS v3.0.0) | High | decision.api.shisho.dev/v1beta:aws_cloudtrail_usage |
| CodeBuild プロジェクトでの特権モードの使用を最小化する | CodeBuild.5 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_codebuild_project_env_privileged_mode |
| CodeBuild プロジェクトの環境変数で平文の AWS 認証情報を使用しない | CodeBuild.2 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_codebuild_project_env_variables |
| CodeBuild プロジェクトでログを記録する | CodeBuild.4 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_codebuild_project_logging_status |
| CodeBuild プロジェクトが S3 に出力するログを暗号化する | CodeBuild.3 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_codebuild_project_s3_logs_encryption |
| CodeBuild Bitbucket ソースリポジトリ URL に認証情報を埋め込まない | CodeBuild.1 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_codebuild_project_source_repository_credential |
| Cognito Identity Pool の認証済ユーザへのロール付与を最小限にする | High | decision.api.shisho.dev/v1beta:aws_cognito_authenticated_role | |
| Cognito Identity Pool の未認証ユーザへのロール付与を避ける | Critical | decision.api.shisho.dev/v1beta:aws_cognito_unauthenticated_role | |
| 全リージョンで AWS Config を有効にする | Config.1 (AWS FSBP), 3.5 (CIS AWS v1.5.0), 3.3 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_config_recorder_status |
| DynamoDB Accelerator クラスタのデータ暗号化を有効化する | DynamoDB.3 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_dax_cluster_encryption |
| DynamoDB テーブルのポイントインタイムリカバリを有効化する | DynamoDB.2 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_dynamodb_table_point_in_time_recovery |
| DynamoDB テーブルのオートスケーリングを有効化する | DynamoDB.1 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_dynamodb_table_scale_capacity |
| Amazon EBS スナップショットの復元を任意のプリンシパルに対して許可しない | EC2.1 (AWS FSBP) | Critical | decision.api.shisho.dev/v1beta:aws_ebs_snapshot_publicly_restorable |
| 利用中の Amazon EBS ボリュームを暗号化する | EC2.3 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_ebs_volume_encryption |
| EBS ボリュー��ムの暗号化がデフォルトで行われるように全リージョンを設定する | EC2.7 (AWS FSBP), 2.2.1 (CIS AWS v1.5.0), 2.2.1 (CIS AWS v3.0.0) | Low | decision.api.shisho.dev/v1beta:aws_ebs_volume_encryption_baseline |
| EC2 インスタンスで Instance Metadata Service Version 2 (IMDSv2) を使用する | EC2.8 (AWS FSBP), 5.6 (CIS AWS v3.0.0) | High | decision.api.shisho.dev/v1beta:aws_ec2_instance_imdsv2 |
| EC2 インスタンスが利用する ENI を 1 つに限定する | EC2.17 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_ec2_instance_network_interface |
| EC2 インスタンスにパブリック IPv4 アドレスを割り当てない | EC2.9 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_ec2_instance_public_ip_address |
| 停止済みの EC2 インスタンスを削除する | EC2.4 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_ec2_instance_state |
| EC2 で準仮想化インスタンスタイプを使用しない | EC2.24 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_ec2_instance_virtualization |
| EC2 インスタンスの EC2 API 接続時に VPC エンドポイントを利用する | EC2.10 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_ec2_instance_vpc_endpoint |
| EC2 起動テンプレート中で ENI へのパブリック IP 割り当てを有効化しない | EC2.25 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_ec2_launch_template_public_ip_address |
| ECR プライベートリポジトリのイメージスキャニングを有効化する | ECR.1 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_ecr_repository_image_scan_config |
| ECR リポジトリのライフサイクルポリシーを設定する | ECR.3 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_ecr_repository_lifecycle_policy_config |
| ECR プライベートリポジトリのタグをイミュータブルにする | ECR.2 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_ecr_repository_tag_immutability |
| ECS クラスターで Container Insights を有効化する | ECS.12 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_ecs_cluster_container_insights |
| ECS コンテナの環境変数としてシークレットを渡さない | ECS.8 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_ecs_container_environment_variables |
| ECS コンテナによるルートファイルシステム操作を読み取りのみに制限する | ECS.5 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_ecs_container_fs_permission |
| ECS コンテナの privileged フラグを有効化しない | ECS.4 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_ecs_container_privilege |
| ECS サービスに対するパブリック IP のアサインを最小限に留める | ECS.2 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_ecs_service_public_ip |
| ECS Fargate サービスを適切なプラットフォームバージョンで実行する | ECS.10 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_ecs_task_fargate_version |
| ECS タスク定義で安全なネットワークモードを利用する | ECS.1 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_ecs_task_networking_mode |
| ECS タスクにホストのプロセス名前空間を共有しない | ECS.3 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_ecs_task_process_namespace |
| EFS アクセスポイントのルートディレクトリを / 以外で指定する | EFS.3 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_efs_access_point_root_directory |
| EFS アクセスポイントごとに POSIX ユーザーを指定する | EFS.4 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_efs_access_point_user_identity |
| Amazon EFS ボリュームを AWS Backup によりバックアップする | EFS.2 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_efs_volume_backup_plan |
| EFS ボリュームを暗号化する | EFS.1 (AWS FSBP), 2.4.1 (CIS AWS v1.5.0), 2.4.1 (CIS AWS v3.0.0) | Medium | decision.api.shisho.dev/v1beta:aws_efs_volume_encryption |
| EKS クラスターの監査ログ記録を有効にする | EKS.8 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_eks_audit_logging |
| EKS クラスターのパブリックエンドポイントへのアクセスを制限する | EKS.1 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_eks_public_access |
| AWS 上のロードバランサを複数のアベイラビリティゾーンを跨るように構成する | ELB.13 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_elb_availability_zones |
| ELB への接続時に安全な TLS バージョンの利用を強制する | High | decision.api.shisho.dev/v1beta:aws_elb_tls_version | |
| ELB への接続時に HTTPS の利用を強制する | High | decision.api.shisho.dev/v1beta:aws_elb_transport | |
| ALB とバックエンドの間の通信を Security Group のみで制御する | Medium | decision.api.shisho.dev/v1beta:aws_elb_transport_sg | |
| GuardDuty を有効化する | GuardDuty.1 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_guardduty_status |
| すべてのリージョンで IAM Access Analyzer を有効にする | 1.20 (CIS AWS v1.5.0), 1.20 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_iam_access_analyzers |
| AWS アカウントにセキュリティ関連用の連絡先が登録されている | Account.1 (AWS FSBP), 1.2 (CIS AWS v1.5.0), 1.2 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_iam_account_alternate_contact |
| 任意リソース・任意アクションに対して権限を持つ IAM ポリシーを利用しない | IAM.1 (AWS FSBP), 1.16 (CIS AWS v1.5.0), 1.16 (CIS AWS v3.0.0) | Critical | decision.api.shisho.dev/v1beta:aws_iam_administrative_policy_limitation |
| IAM ロールの信頼関係を最小化する | Low | decision.api.shisho.dev/v1beta:aws_iam_assumerole_policy | |
| マネジメントコンソールのみを利用する IAM ユーザーには作成時にアクセスキーを払い出さない | 1.11 (CIS AWS v1.5.0), 1.11 (CIS AWS v3.0.0) | Medium | decision.api.shisho.dev/v1beta:aws_iam_console_user_keys |
| 一定期間以上未使用の AWS 認証情報を無効化する | IAM.8 (AWS FSBP), 1.12 (CIS AWS v1.5.0), 1.12 (CIS AWS v3.0.0) | High | decision.api.shisho.dev/v1beta:aws_iam_credentials_inventory |
| AWS IAM のアクセスキーを所定の期間でローテーションする | IAM.3 (AWS FSBP), 1.14 (CIS AWS v1.5.0), 1.14 (CIS AWS v3.0.0) | Medium | decision.api.shisho.dev/v1beta:aws_iam_key_rotation |
| IAM パスワードポリシーでパスワードに十分な文字数を要求する | 1.8 (CIS AWS v1.5.0), 1.8 (CIS AWS v3.0.0) | High | decision.api.shisho.dev/v1beta:aws_iam_password_length |
| IAM パスワードポリシーで過去に利用したパスワードの設定を禁止する | 1.9 (CIS AWS v1.5.0), 1.9 (CIS AWS v3.0.0) | High | decision.api.shisho.dev/v1beta:aws_iam_password_reuse |
| アクションにワイルドカードを指定した IAM ポリシーを作成・利用しない | IAM.21 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_iam_policy_service_limitation |
| AWS サポートセンターを利用できる IAM ロールを用意する | 1.17 (CIS AWS v1.5.0), 1.17 (CIS AWS v3.0.0) | Low | decision.api.shisho.dev/v1beta:aws_iam_role_for_support |
| AWS のルートユーザーの利用時にハードウェアによる多要素認証(MFA)を要求する | IAM.6 (AWS FSBP), 1.6 (CIS AWS v1.5.0), 1.6 (CIS AWS v3.0.0) | High | decision.api.shisho.dev/v1beta:aws_iam_root_user_hardware_mfa |
| AWS のルートユーザーのアクセスキーを発行しない | IAM.4 (AWS FSBP), 1.4 (CIS AWS v1.5.0), 1.4 (CIS AWS v3.0.0) | Critical | decision.api.shisho.dev/v1beta:aws_iam_root_user_key |
| AWS のルートユーザーの利用時に多要素認証(MFA)を要求する | 1.5 (CIS AWS v1.5.0), 1.5 (CIS AWS v3.0.0) | Critical | decision.api.shisho.dev/v1beta:aws_iam_root_user_mfa |
| AWS ルートユーザーの使用を最小限に留め、日常的に利用しない | 1.7 (CIS AWS v1.5.0), 1.7 (CIS AWS v3.0.0) | Critical | decision.api.shisho.dev/v1beta:aws_iam_root_user_usage |
| AWS IAM に保存��されている SSL/TLS 証明書が期限切れになっていないことを確認する | 1.19 (CIS AWS v1.5.0), 1.19 (CIS AWS v3.0.0) | Low | decision.api.shisho.dev/v1beta:aws_iam_server_certificates |
| IAM ユーザーのアクティブなアクセスキーを 1 つのみに保つ | 1.13 (CIS AWS v1.5.0), 1.13 (CIS AWS v3.0.0) | Medium | decision.api.shisho.dev/v1beta:aws_iam_user_available_access_keys |
| IAM ユーザーへの権限付与を IAM グループ経由で行う | IAM.2 (AWS FSBP), 1.15 (CIS AWS v1.5.0), 1.15 (CIS AWS v3.0.0) | Low | decision.api.shisho.dev/v1beta:aws_iam_user_group_permission_assignment |
| コンソール用のパスワードを設定済みの AWS のユーザーに多要素認証(MFA)を要求する | IAM.5 (AWS FSBP), 1.10 (CIS AWS v1.5.0), 1.10 (CIS AWS v3.0.0) | High | decision.api.shisho.dev/v1beta:aws_iam_user_mfa |
| Kinesis ストリームを暗号化する | Kinesis.1 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_kinesis_stream_encryption |
| 削除予定の AWS KMS キーが意図したものであることを確認する | KMS.3 (AWS FSBP) | Critical | decision.api.shisho.dev/v1beta:aws_kms_key_deletion |
| 各 KMS キーによる複合権限を持つプリンシパル・各プリンシパルが利用できるキーの両方を最小にする | KMS.1 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_kms_key_iam_policies |
| カスタマー作成の対称 CMK のローテーションを有効にする | 3.8 (CIS AWS v1.5.0), 3.6 (CIS AWS v3.0.0) | Low | decision.api.shisho.dev/v1beta:aws_kms_symmetric_cmk_rotation |
| Lambda 関数が想定外にパブリックアクセス可能になっていない��かを確認する | Lambda.1 (AWS FSBP) | Critical | decision.api.shisho.dev/v1beta:aws_lambda_public_access |
| Lambda 関数で可能な限り新しいランタイムを使用する | Lambda.2 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_lambda_runtime |
| VPC Lambda 関数が複数のアベイラビリティゾーンで動作する | Lambda.5 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_lambda_vpc_availability_zone |
| S3 バケットポリシー変更のログメトリックフィルタとアラームを設定する | 4.8 (CIS AWS v1.5.0), 4.8 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_bucket_policy_changes |
| CloudTrail の設定変更に対するログメトリックフィルターとアラームを設定する | 4.5 (CIS AWS v1.5.0), 4.5 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_cloudtrail_changes |
| カスタマー管理のCMKの無効化またはスケジュールされた削除のログメトリックフィルタとアラームを設定する | 4.7 (CIS AWS v1.5.0), 4.7 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_cmk_changes |
| AWS Config の設定変更に対するログメトリックフィルターとアラームを設定する | 4.9 (CIS AWS v1.5.0), 4.9 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_config_changes |
| AWS Management Consoleの認証失敗のログメトリックフィルタとアラームを設定する | 4.6 (CIS AWS v1.5.0), 4.6 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_console_auth_failure |
| ルートユーザーの利用に対するログメトリックフィルタとア�ラームを設定する | 4.3 (CIS AWS v1.5.0), 4.3 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_console_root_user_usage |
| MFAなしでの管理コンソールサインインに対するログメトリックフィルタとアラームを設定する | 4.2 (CIS AWS v1.5.0), 4.2 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_console_signin_mfa |
| IAMポリシーの変更に対するログメトリックフィルターとアラームを設定する | 4.4 (CIS AWS v1.5.0), 4.4 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_iam_policy_changes |
| ネットワークアクセスコントロールリスト(NACL)の変更に対するログメトリックフィルターとアラームを設定する | 4.11 (CIS AWS v1.5.0), 4.11 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_nacl_changes |
| ネットワークゲートウェイの変更に対するログメトリックフィルターとアラームを設定する | 4.12 (CIS AWS v1.5.0), 4.12 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_network_gateway_changes |
| AWS Organizations 変更のログメトリックフィルタとアラームを設定する | 4.15 (CIS AWS v1.5.0), 4.15 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_organizations_changes |
| ルートテーブル変更のログメトリックフィルタとアラームを設定する | 4.13 (CIS AWS v1.5.0), 4.13 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_route_table_changes |
| セキュリティグループの変更に対するログメトリックフィルターとアラームを設定する | 4.10 (CIS AWS v1.5.0), 4.10 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_security_group_changes |
| 未承認の API 呼び出しに対するログメトリックフィルタとアラームを設定する | 4.1 (CIS AWS v1.5.0), 4.1 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_unauthorized_api_calls |
| VPC 変更のログメトリックフィルタとアラームを設定する | 4.14 (CIS AWS v1.5.0), 4.14 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_vpc_changes |
| 未使用のネットワーク ACL を削除する | EC2.16 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_networking_acl_assosiations |
| AWS ネットワーク ACL で 0.0.0.0/0 からの管理用ポートへの接続を許可しない | EC2.21 (AWS FSBP), 5.1 (CIS AWS v1.5.0), 5.1 (CIS AWS v3.0.0) | High | decision.api.shisho.dev/v1beta:aws_networking_acl_ingress |
| VPC のデフォルトセキュリティグループによる通信を許可しない | EC2.2 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_networking_default_sg_restriction |
| Network Firewall ポリシーのデフォルトの状態をドロップまたはフルパケットの転送にする | NetworkFirewall.4 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_networking_fp_stateless_action |
| Network Firewall ポリシーのデフォルトの状態をドロップまたはフォワードにする | NetworkFirewall.5 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_networking_fp_stateless_fragment_action |
| Stateless Network Firewall ルールグループが空ではない | NetworkFirewall.6 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_networking_frg_rules |
| デフォルトの AWS セキュリティグループの利用を避けるために全ての通信をブロックする | 5.4 (CIS AWS v1.5.0), 5.4 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_networking_sg_baseline |
| セキュリティグループで広範な接続元に対して許可する Ingress 通信のポートを限定する | EC2.18 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_networking_sg_ingress_rules |
| AWS VPC の Security Group で 0.0.0.0/0 からの管理用ポートへの接続を許可しない | 5.2 (CIS AWS v1.5.0), 5.2 (CIS AWS v3.0.0) | High | decision.api.shisho.dev/v1beta:aws_networking_sg_ingress_v4 |
| AWS VPC の Security Group で ::/0 からの管理用ポートへの接続を許可しない | 5.3 (CIS AWS v1.5.0), 5.3 (CIS AWS v3.0.0) | High | decision.api.shisho.dev/v1beta:aws_networking_sg_ingress_v6 |
| AWS VPC サブネットによる自動パブリック IP アドレスを割り当てを無効にする | EC2.15 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_networking_subnet_public_ip |
| Transit Gateway で VPC アタッチメントリクエストを自動的に受け入れない | EC2.23 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_networking_transit_gateway_auto_vpc_attachment |
| AWS VPC でフローログを有効にする | EC2.6 (AWS FSBP), 3.9 (CIS AWS v1.5.0), 3.7 (CIS AWS v3.0.0) | Medium | decision.api.shisho.dev/v1beta:aws_networking_vpc_flow_logging |
| AWS Site-to-Site VPN による VPN トンネルの両端の正常を状態を保つ | EC2.20 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_networking_vpn_tunnels_state |
| RDS クラスタのマスターユーザー名を非デフォルト値にする | RDS.24 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_rds_cluster_administrator_username |
| RDS クラスタが複数のアベイラビリティゾーンで構成されている | RDS.15 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_rds_cluster_availability_zone |
| Amazon Aurora クラスタのバックトラック機能を有効化する | RDS.14 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_rds_cluster_backtracking |
| RDS クラスタのスナップショットにタグがコピーされるよう設定する | RDS.16 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_rds_cluster_copy_tags_to_snapshots |
| RDS クラスタの削除保護を有効化する | RDS.7 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_rds_cluster_deletion_protection |
| RDS クラスタの IAM 認証を利用する | RDS.12 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_rds_cluster_iam_authentication |
| RDS インスタンスおよびクラスタで非デフォルトのポートを使用する | RDS.23 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_rds_default_port_usage |
| RDS インスタンスに接続できる通信元を限定する | RDS.2 (AWS FSBP), 2.3.3 (CIS AWS v1.5.0), 2.3.3 (CIS AWS v3.0.0) | High | decision.api.shisho.dev/v1beta:aws_rds_instance_accessibility |
| RDS インスタンスのマスターユーザ名に非デフォルト値を使用する | RDS.25 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_rds_instance_administrator_username |
| RDS インスタンスのマイナーバージョンの自動更新を有効にする | RDS.13 (AWS FSBP), 2.3.2 (CIS AWS v1.5.0), 2.3.2 (CIS AWS v3.0.0) | Low | decision.api.shisho.dev/v1beta:aws_rds_instance_auto_upgrade |
| RDS インスタンスの自動バックアップを有効化する | RDS.11 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_rds_instance_automatic_backup |
| RDS DB インスタンスが複数のアベイラビリティゾーンで構成されている | RDS.5 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_rds_instance_availability_zone |
| RDS インスタンスのスナップショットにタグがコピーされるよう設定する | RDS.17 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_rds_instance_copy_tags_to_snapshots |
| RDS インスタンスの削除保護を有効化する | RDS.8 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_rds_instance_deletion_protection |
| RDS インスタンスのデータ暗号化を有効化する | RDS.3 (AWS FSBP), 2.3.1 (CIS AWS v1.5.0), 2.3.1 (CIS AWS v3.0.0) | Medium | decision.api.shisho.dev/v1beta:aws_rds_instance_encryption |
| RDS インスタンスの拡張モニタリングを有効化する | RDS.6 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_rds_instance_enhanced_monitoring |
| RDS インスタンスの IAM 認証を利用する | RDS.10 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_rds_instance_iam_authentication |
| RDS インスタンスのログ記録を有効にする | RDS.9 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_rds_instance_logging |
| RDS インスタンスを VPC 内で運用する | RDS.18 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_rds_instance_vpc |
| RDS スナップショットをパブリックにしない | RDS.1 (AWS FSBP) | Critical | decision.api.shisho.dev/v1beta:aws_rds_snapshot_accessibility |
| RDS クラスタスナップショットとデータベーススナップショットが暗号化されている | RDS.4 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_rds_snapshot_encryption |
| クリティカルなデータベースパラメータグループイベントのために RDS イベント通知サブスクリプションが構成されている | RDS.21 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_rds_subscription_parameter_group_event |
| RDS イベント通知サブスクリプションが重要なデータベースセキュリティグループイベントに対して構成されている | RDS.22 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_rds_subscription_security_group_event |
| S3 バケットのブロックパブリックアクセスをアカウントレベルで有効にする | S3.1 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_s3_account_public_access_block |
| 重要な S3 バケットに対してアクセスログを記録する | S3.9 (AWS FSBP), 3.6 (CIS AWS v1.5.0), 3.4 (CIS AWS v3.0.0) | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_access_logging |
| S3 バケットポリシーにより許可される他の AWS アカウント内プリンシパルによる操作を最小化する | S3.6 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_account_permission |
| S3 バケットのアクセスコントロールリスト(ACL)を使用しない | S3.12 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_acl |
| S3 バケットのクロスリージョンレプリケーションを有効にする | S3.7 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_cross_region_replication |
| S3 バケットの暗号化を有効にする | S3.4 (AWS FSBP), 2.1.1 (CIS AWS v1.5.0) | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_encryption |
| S3 バケットのイベント通知を有効にする | S3.11 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_s3_bucket_event_notifications |
| S3 バケットを AWS KMS キーで暗号化する | S3.17 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_kms_encryption |
| S3 バケットのライフサイクルポリシーを設定する | S3.13 (AWS FSBP) | Info | decision.api.shisho.dev/v1beta:aws_s3_bucket_lifecycle_policy |
| S3 バケットの MFA 削除を有効にする | 2.1.3 (CIS AWS v1.5.0), 2.1.3 (CIS AWS v3.0.0) | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_mfa_delete |
| S3 バケットがオブジェクトロックを使用する | S3.15 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_object_lock |
| S3 バケットのパブリックアクセスブロック機能を有効にする | S3.8 (AWS FSBP), 2.1.5 (CIS AWS v1.5.0), 2.1.4 (CIS AWS v3.0.0) | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_public_access_block |
| S3 バケットへのパブリック読み込みアクセスを許可しない | S3.2 (AWS FSBP) | Critical | decision.api.shisho.dev/v1beta:aws_s3_bucket_public_read_access |
| S3 バケ��ットへのパブリック書き込みアクセスを許可しない | S3.3 (AWS FSBP) | Critical | decision.api.shisho.dev/v1beta:aws_s3_bucket_public_write_access |
| S3 バケットのオブジェクト読み取りイベントの発生証跡を記録する | 3.11 (CIS AWS v1.5.0), 3.9 (CIS AWS v3.0.0) | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_read_trail |
| S3 バケットの利用時に HTTPS のみが利用されるよう強制する | 2.1.2 (CIS AWS v1.5.0), 2.1.1 (CIS AWS v3.0.0) | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_transport |
| S3 バケットはバージョニングを有効にする | S3.14 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_versioning |
| バージョニングが有効な S3 バケットにライフサイクルポリシーを設定する | S3.10 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_versioning_lifecycle_policy |
| S3 バケットのオブジェクト書き込みイベントの発生証跡を記録する | 3.10 (CIS AWS v1.5.0), 3.8 (CIS AWS v3.0.0) | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_write_trail |
| Secrets Manager のシークレットの自動ローテーションを有効にする | SecretsManager.1 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_secretsmanager_auto_rotation |
| Secrets Manager で自動ローテーションが設定されたシークレットが正常にローテーションされていることを確認する | SecretsManager.2 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_secretsmanager_auto_rotation_state |
| Secrets Manager のシークレットが指定された日数以内にローテーションされてい�る | SecretsManager.4 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_secretsmanager_rotation_interval |
| 未使用の Secrets Manager のシークレットを削除する | SecretsManager.3 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_secretsmanager_secret_usage |
| AWS Security Hub を利用する | 4.16 (CIS AWS v1.5.0), 4.16 (CIS AWS v3.0.0) | Info | decision.api.shisho.dev/v1beta:aws_securityhub_usage |
| SNS トピック内のデータを暗号化する | SNS.1 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_sns_kms_encryption |
| Amazon SQS キュー内のデータを暗号化する | SQS.1 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_sqs_encryption |
| Systems Manager によって管理されている EC2 インスタンスの関連付けが COMPLIANT ステータスである | SSM.3 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_ssm_association_compliance |
| SSM ドキュメントを公開しない | SSM.4 (AWS FSBP) | Critical | decision.api.shisho.dev/v1beta:aws_ssm_document_accessibility |
| EC2 インスタンスが AWS Systems Manager によって管理されている | SSM.1 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_ssm_managed_instances |
| Systems Manager によって管理されている EC2 インスタンスがパッチのインストール後に COMPLIANT ステータスになっている | SSM.2 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_ssm_patch_compliance |
| WAF ルールに少なくとも 1 つの条件を設定する | WAF.2 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_waf_classic_rule_condition |
| WAF Classic ルールグループに少なくとも1つのルールを設定する | WAF.3 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_waf_classic_rule_group_attached_rules |
| AWS WAF Classic Global Web ACL のログ記録を有効にする | WAF.1 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_waf_classic_web_acl_logging |
| WAF Classic Web ACL には少なくとも 1 つのルールまたはルールグループを設定する | WAF.4 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_waf_classic_web_acl_rules |
| AWS WAFv2 Web ACL のログ記録を有効化にする | WAF.11 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_waf_web_acl_logging |
| WAFv2 web ACL には少なくとも 1 つのルールまたはルールグループを設定する | WAF.10 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_waf_web_acl_rules |