AWS 向けのマネージド検査
本ページでは、AWS 向けに Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。
検査を実施するには
以下で公開されているワークフローを Shisho Cloud 組織に登録することでマネージド検査項目を利用できます:
- CIS AWS Foundations Benchmark v1.5.0 向けワークフロー
- AWS Foundational Security Best Practices (FSBP) 向けワークフロー
検査項目の一覧
info
各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすることで、組織のポリシーに合わせた緊急度の変更も可能です。
検査項目名 | 関連する標準 | デフォルトの緊急度 | Shisho Cloud 内の管理 ID |
---|---|---|---|
Application Load Balancer の削除保護を有効にする | ELB.6 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_alb_delete_protection |
Application Load Balancer が HTTP Desync 攻撃を緩和するよう設定する | ELB.12 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_alb_desync_mitigation |
Application Load Balancer が無効な HTTP ヘッダをドロップするように設定する | ELB.4 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_alb_invalid_header_handling |
Application Load Balancer のログ記録を有効にする | ELB.5 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_alb_logging |
CloudFront ディストリビューションにデフォルトルートオブジェクトを設定する | CloudFront.1 (AWS FSBP) | Critical | decision.api.shisho.dev/v1beta:aws_cloudfront_default_root_object |
CloudFront ディストリビューションへのアクセスログを記録する | CloudFront.5 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_logging |
S3 バックエンドを持つ CloudFront ディストリビューションに Origin Access Control を設定する | CloudFront.13 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_origin_access_control |
CloudFront ディストリビューションのオリジンに対する接続で HTTPS を利用する | CloudFront.9 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_origin_transport |
CloudFront ディストリビューションのオリジンに対する HTTPS 接続でセキュアな SSL/TLS プロトコルを利用する | CloudFront.10 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_origin_transport_version |
CloudFront ディストリビューションへの接続に HTTPS を強制する | CloudFront.3 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_transport |
CloudTrail 証跡と CloudWatch Logs を連携する | 3.4 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_cloudtrail_cloudwatch_logs_integration |
CloudTrail 証跡の暗号化に KMS CMK を利用する | 3.7 (CIS AWS v1.5.0) | Low | decision.api.shisho.dev/v1beta:aws_cloudtrail_cmk_encryption |
CloudTrail ログを保存する S3 バケットを一般公開しない | 3.3 (CIS AWS v1.5.0) | Low | decision.api.shisho.dev/v1beta:aws_cloudtrail_log_bucket_accessibility |
CloudTrail ログファイルのバリデーションを有効にする | 3.2 (CIS AWS v1.5.0) | Medium | decision.api.shisho.dev/v1beta:aws_cloudtrail_log_file_validation |
全てのリージョンで CloudTrail を有効にする | 3.1 (CIS AWS v1.5.0) | High | decision.api.shisho.dev/v1beta:aws_cloudtrail_usage |
全リージョンで AWS Config を有効にする | 3.5 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_config_recorder_status |
EBS ボリュームの暗号化がデフォルトで行われるように全リージョンを設定する | 2.2.1 (CIS AWS v1.5.0), EC2.7 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_ebs_volume_encryption_baseline |
ECS コンテナによるルートファイルシステム操作を読み取りのみに制限する | ECS.5 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_ecs_container_fs_permission |
ECS コンテナの privileged フラグを有効化しない | ECS.4 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_ecs_container_privilege |
ECS サービスに対するパブリック IP のアサインを最小限に留める | ECS.2 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_ecs_service_public_ip |
EFS ボリュームを暗号化する | 2.4.1 (CIS AWS v1.5.0) | Medium | decision.api.shisho.dev/v1beta:aws_efs_volume_encryption |
すべてのリージョンで IAM Access Analyzer を有効にする | 1.20 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_iam_access_analyzers |
AWS アカウントにセキュリティ関連用の連絡先が登録されている | 1.2 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_iam_account_alternate_contact |
任意リソース・任意アクションに対して権限を持つ IAM ポリシーを利用しない | 1.16 (CIS AWS v1.5.0), IAM.1 (AWS FSBP) | Critical | decision.api.shisho.dev/v1beta:aws_iam_administrative_policy_limitation |
マネジメントコンソールのみを利用する IAM ユーザーには作成時にアクセスキーを払い出さない | 1.11 (CIS AWS v1.5.0) | Medium | decision.api.shisho.dev/v1beta:aws_iam_console_user_keys |
一定期間以上未使用の AWS 認証情報を無効化する | 1.12 (CIS AWS v1.5.0), IAM.22 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_iam_credentials_inventory |
AWS IAM のアクセスキーを所定の期間でローテーションする | IAM.3 (AWS FSBP), 1.14 (CIS AWS v1.5.0) | Medium | decision.api.shisho.dev/v1beta:aws_iam_key_rotation |
IAM パスワードポリシーでパスワードに十分な文字数を要求する | 1.8 (CIS AWS v1.5.0), IAM.15 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_iam_password_length |
IAM パスワードポリシーで過去に利用したパスワードの設定を禁止する | 1.9 (CIS AWS v1.5.0), IAM.16 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_iam_password_reuse |
AWS サポートセンターを利用できる IAM ロールを用意する | 1.17 (CIS AWS v1.5.0), IAM.18 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_iam_role_for_support |
AWS のルートユーザーの利用時にハードウェアによる多要素認証(MFA)を要求する | 1.6 (CIS AWS v1.5.0), IAM.6 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_iam_root_user_hardware_mfa |
AWS のルートユーザーのアクセスキーを発行しない | 1.4 (CIS AWS v1.5.0), IAM.4 (AWS FSBP) | Critical | decision.api.shisho.dev/v1beta:aws_iam_root_user_key |
AWS のルートユーザーの利用時に多要素認証(MFA)を要求する | 1.5 (CIS AWS v1.5.0), IAM.9 (AWS FSBP) | Critical | decision.api.shisho.dev/v1beta:aws_iam_root_user_mfa |
AWS ルートユーザーの使用を最小限に留め、日常的に利用しない | 1.7 (CIS AWS v1.5.0) | Critical | decision.api.shisho.dev/v1beta:aws_iam_root_user_usage |
AWS IAM に保存されている SSL/TLS 証明書が期限切れになっていないことを確認する | 1.19 (CIS AWS v1.5.0) | Low | decision.api.shisho.dev/v1beta:aws_iam_server_certificates |
IAM ユーザーのアクティブなアクセスキーを 1 つのみに保つ | 1.13 (CIS AWS v1.5.0) | Medium | decision.api.shisho.dev/v1beta:aws_iam_user_available_access_keys |
IAM ユーザーへの権限付与を IAM グループ経由で行う | 1.15 (CIS AWS v1.5.0), IAM.2 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_iam_user_group_permission_assignment |
コンソール用のパスワードを設定済みのAWS のユーザーに多要素認証(MFA)を要求する | 1.10 (CIS AWS v1.5.0), IAM.5 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_iam_user_mfa |
カスタマー作成の対称 CMK のローテーションを有効にする | 3.8 (CIS AWS v1.5.0) | Low | decision.api.shisho.dev/v1beta:aws_kms_symmetric_cmk_rotation |
S3バケットポリシー変更のログメトリックフィルタとアラームを設定する | 4.8 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_bucket_policy_changes |
CloudTrail の設定変更に対するログメトリックフィルターとアラームを設定する | 4.5 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_cloudtrail_changes |
カスタマー管理のCMKの無効化またはスケジュールされた削除のログメトリックフィルタとアラームを設定する | 4.7 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_cmk_changes |
AWS Config の設定変更に対するログメトリックフィルターとアラームを設定する | 4.9 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_config_changes |
AWS Management Consoleの認証失敗のログメトリックフィルタとアラームを設定する | 4.6 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_console_auth_failure |
ルートユーザーの利用に対するログメトリックフィルタとアラームを設定する | 4.3 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_console_root_user_usage |
MFAなしでの管理コンソールサインインに対するログメトリックフィルタとアラームを設定する | 4.2 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_console_signin_mfa |
IAMポリシーの変更に対するログメトリックフィルターとアラームを設定する | 4.4 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_iam_policy_changes |
ネットワークアクセスコントロールリスト(NACL)の変更に対するログメトリックフィルターとアラームを設定する | 4.11 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_nacl_changes |
ネットワークゲートウェイの変更に対するログメトリックフィルターとアラームを設定する | 4.12 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_network_gateway_changes |
AWS Organizations 変更のログメトリックフィルタとアラームを設定する | 4.15 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_organizations_changes |
ルートテーブル変更のログメトリックフィルタとアラームを設定する | 4.13 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_route_table_changes |
セキュリティグループの変更に対するログメトリックフィルターとアラームを設定する | 4.10 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_security_group_changes |
未承認の API 呼び出しに対するログメトリックフィルタとアラームを設定する | 4.1 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_unauthorized_api_calls |
VPC 変更のログメトリックフィルタとアラームを設定する | 4.14 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_logmetric_vpc_changes |
AWS ネットワーク ACL で 0.0.0.0/0 からの管理用ポートへの接続を許可しない | 5.1 (CIS AWS v1.5.0), EC2.21 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_networking_acl_ingress |
デフォルトの AWS セキュリティグループの利用を避けるために全ての通信をブロックする | 5.4 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_networking_sg_baseline |
AWS VPC の Security Group で 0.0.0.0/0 からの管理用ポートへの接続を許可しない | 5.2 (CIS AWS v1.5.0), EC2.14 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_networking_sg_ingress_v4 |
AWS VPC の Security Group で ::/0 からの管理用ポートへの接続を許可しない | 5.3 (CIS AWS v1.5.0) | High | decision.api.shisho.dev/v1beta:aws_networking_sg_ingress_v6 |
AWS VPC でフローログを有効にする | 3.9 (CIS AWS v1.5.0), EC2.6 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_networking_vpc_flow_logging |
RDS インスタンスに接続できる通信元を限定する | 2.3.3 (CIS AWS v1.5.0), RDS.2 (AWS FSBP) | High | decision.api.shisho.dev/v1beta:aws_rds_instance_accessibility |
RDS インスタンスのマイナーバージョンの自動更新を有効にする | RDS.13 (AWS FSBP), 2.3.2 (CIS AWS v1.5.0) | Low | decision.api.shisho.dev/v1beta:aws_rds_instance_auto_upgrade |
RDS インスタンスのデータを暗号化する | 2.3.1 (CIS AWS v1.5.0), RDS.3 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_rds_instance_encryption |
重要な S3 バケットに対してアクセスログを記録する | 3.6 (CIS AWS v1.5.0), S3.9 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_access_logging |
S3 バケットの暗号化を有効にする | 2.1.1 (CIS AWS v1.5.0), S3.4 (AWS FSBP) | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_encryption |
S3 バケットの MFA 削除を有効にする | 2.1.3 (CIS AWS v1.5.0) | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_mfa_delete |
S3 バケットのパブリックアクセスブロック機能を有効にする | 2.1.5 (CIS AWS v1.5.0), S3.8 (AWS FSBP) | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_public_access_block |
S3 バケットのオブジェクト読み取りイベントの発生証跡を記録する | 3.11 (CIS AWS v1.5.0) | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_read_trail |
S3 バケットの利用時に HTTPS のみが利用されるよう強制する | 2.1.2 (CIS AWS v1.5.0) | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_transport |
S3 バケットのオブジェクト書き込みイベントの発生証跡を記録する | 3.10 (CIS AWS v1.5.0) | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_write_trail |
AWS Security Hub を利用する | 4.16 (CIS AWS v1.5.0) | Info | decision.api.shisho.dev/v1beta:aws_securityhub_usage |