CIS AWS Foundations Benchmark v1.5.0 に関連するマネージド検査
本ページでは、CIS AWS Foundations Benchmark v1.5.0 に関して Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。
検査を実施するには
以下で公開されているワークフローを Shisho Cloud 組織に登録することでマネージド検査項目を利用できます:
検査項目の一覧
info
各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすることで、組織のポリシーに合わせた緊急度の変更も可能です。
| 検査項目名 | 標準中の項目名 | デフォルトの緊急度 | Shisho Cloud 内の管理 ID |
|---|---|---|---|
| AWS アカウントにセキュリティ関連用の連絡先が登録されている | 1.2 | Info | decision.api.shisho.dev/v1beta:aws_iam_account_alternate_contact |
| AWS のルートユーザーのアクセスキーを発行しない | 1.4 | Critical | decision.api.shisho.dev/v1beta:aws_iam_root_user_key |
| AWS のルートユーザーの利用時に多要素認証(MFA)を要求する | 1.5 | Critical | decision.api.shisho.dev/v1beta:aws_iam_root_user_mfa |
| AWS のルートユーザーの利用時にハードウェアによる多要素認証(MFA)を要求する | 1.6 | High | decision.api.shisho.dev/v1beta:aws_iam_root_user_hardware_mfa |
| AWS ルートユーザーの使用を最小限に留め、日常的に利用しない | 1.7 | Critical | decision.api.shisho.dev/v1beta:aws_iam_root_user_usage |
| IAM パスワードポリシーでパスワードに十分な文字数を要求する | 1.8 | High | decision.api.shisho.dev/v1beta:aws_iam_password_length |
| IAM パスワードポリシーで過去に利用したパスワードの設定を禁止する | 1.9 | High | decision.api.shisho.dev/v1beta:aws_iam_password_reuse |
| コンソール用のパスワードを設定済みのAWS のユーザーに多要素認証(MFA)を要求する | 1.10 | High | decision.api.shisho.dev/v1beta:aws_iam_user_mfa |
| マネジメントコンソールのみを利用する IAM ユーザーには作成時にアクセスキーを払い出さない | 1.11 | Medium | decision.api.shisho.dev/v1beta:aws_iam_console_user_keys |
| 一定期間以上未使用の AWS 認証情報を無効化する | 1.12 | High | decision.api.shisho.dev/v1beta:aws_iam_credentials_inventory |
| IAM ユーザーのアクティブなアクセスキーを 1 つのみに保つ | 1.13 | Medium | decision.api.shisho.dev/v1beta:aws_iam_user_available_access_keys |
| AWS IAM のアクセスキーを所定の期間でローテーションする | 1.14 | Medium | decision.api.shisho.dev/v1beta:aws_iam_key_rotation |
| IAM ユーザーへの権限付与を IAM グループ経由で行う | 1.15 | Low | decision.api.shisho.dev/v1beta:aws_iam_user_group_permission_assignment |
| 任意リソース・任意アクションに対して権限を持つ IAM ポリシーを利用しない | 1.16 | Critical | decision.api.shisho.dev/v1beta:aws_iam_administrative_policy_limitation |
| AWS サポートセンターを利用できる IAM ロールを用意する | 1.17 | Low | decision.api.shisho.dev/v1beta:aws_iam_role_for_support |
| AWS IAM に保存されている SSL/TLS 証明書が期限切れになっていないことを確認する | 1.19 | Low | decision.api.shisho.dev/v1beta:aws_iam_server_certificates |
| すべてのリージョンで IAM Access Analyzer を有効にする | 1.20 | Info | decision.api.shisho.dev/v1beta:aws_iam_access_analyzers |
| S3 バケットの暗号化を有効にする | 2.1.1 | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_encryption |
| S3 バケットの利用時に HTTPS のみが利用されるよう強制する | 2.1.2 | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_transport |
| S3 バケットの MFA 削除を有効にする | 2.1.3 | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_mfa_delete |
| S3 バケットのパブリックアクセスブロック機能を有効にする | 2.1.5 | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_public_access_block |
| EBS ボリュームの暗号化がデフォルトで行われるように全リージョンを設定する | 2.2.1 | Medium | decision.api.shisho.dev/v1beta:aws_ebs_volume_encryption_baseline |
| RDS インスタンスのデータを暗号化する | 2.3.1 | Medium | decision.api.shisho.dev/v1beta:aws_rds_instance_encryption |
| RDS インスタンスのマイナーバージョンの自動更新を有効にする | 2.3.2 | Low | decision.api.shisho.dev/v1beta:aws_rds_instance_auto_upgrade |
| RDS インスタンスに接続できる通信元を限定する | 2.3.3 | High | decision.api.shisho.dev/v1beta:aws_rds_instance_accessibility |
| EFS ボリュームを暗号化する | 2.4.1 | Medium | decision.api.shisho.dev/v1beta:aws_efs_volume_encryption |
| 全てのリージョンで CloudTrail を有効にする | 3.1 | High | decision.api.shisho.dev/v1beta:aws_cloudtrail_usage |
| CloudTrail ログファイルのバリデーションを有効にする | 3.2 | Medium | decision.api.shisho.dev/v1beta:aws_cloudtrail_log_file_validation |
| CloudTrail ログを保存する S3 バケットを一般公開しない | 3.3 | Low | decision.api.shisho.dev/v1beta:aws_cloudtrail_log_bucket_accessibility |
| CloudTrail 証跡と CloudWatch Logs を連携する | 3.4 | Info | decision.api.shisho.dev/v1beta:aws_cloudtrail_cloudwatch_logs_integration |
| 全リージョンで AWS Config を有効にする | 3.5 | Info | decision.api.shisho.dev/v1beta:aws_config_recorder_status |
| 重要な S3 バケットに対してアクセスログを記録する | 3.6 | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_access_logging |
| CloudTrail 証跡の暗号化に KMS CMK を利用する | 3.7 | Low | decision.api.shisho.dev/v1beta:aws_cloudtrail_cmk_encryption |
| カスタマー作成の対称 CMK のローテーションを有効にする | 3.8 | Low | decision.api.shisho.dev/v1beta:aws_kms_symmetric_cmk_rotation |
| AWS VPC でフローログを有効にする | 3.9 | Medium | decision.api.shisho.dev/v1beta:aws_networking_vpc_flow_logging |
| S3 バケットのオブジェクト書き込みイベントの発生証跡を記録する | 3.10 | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_write_trail |
| S3 バケットのオブジェクト読み取りイベントの発生証跡を記録する | 3.11 | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_read_trail |
| 未承認の API 呼び出しに対するログメトリックフィルタとアラームを設定する | 4.1 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_unauthorized_api_calls |
| MFAなしでの管理コンソールサインインに対するログメトリックフィルタとアラームを設定する | 4.2 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_console_signin_mfa |
| ルートユーザーの利用に対するログメトリックフィルタとアラームを設定する | 4.3 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_console_root_user_usage |
| IAMポリシーの変更に対するログメトリックフィルターとアラームを設定する | 4.4 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_iam_policy_changes |
| CloudTrail の設定変更に対するログメトリックフィルターとアラームを設定する | 4.5 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_cloudtrail_changes |
| AWS Management Consoleの認証失敗のログメトリックフィルタとアラームを設定する | 4.6 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_console_auth_failure |
| カスタマー管理のCMKの無効化またはスケジュールされた削除のログメトリックフィルタとアラームを設定する | 4.7 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_cmk_changes |
| S3バケットポリシー変更のログメトリックフィルタとアラームを設定する | 4.8 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_bucket_policy_changes |
| AWS Config の設定変更に対するログメトリックフィルターとアラームを設定する | 4.9 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_config_changes |
| セキュリティグループの変更に対するログメトリックフィルターとアラームを設定する | 4.10 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_security_group_changes |
| ネットワークアクセスコントロールリスト(NACL)の変更に対するログメトリックフィルターとアラームを設定する | 4.11 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_nacl_changes |
| ネットワークゲートウェイの変更に対するログメトリックフィルターとアラームを設定する | 4.12 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_network_gateway_changes |
| ルートテーブル変更のログメトリックフィルタとアラームを設定する | 4.13 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_route_table_changes |
| VPC 変更のログメトリックフィルタとアラームを設定する | 4.14 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_vpc_changes |
| AWS Organizations 変更のログメトリックフィルタとアラームを設定する | 4.15 | Info | decision.api.shisho.dev/v1beta:aws_logmetric_organizations_changes |
| AWS Security Hub を利用する | 4.16 | Info | decision.api.shisho.dev/v1beta:aws_securityhub_usage |
| AWS ネットワーク ACL で 0.0.0.0/0 からの管理用ポートへの接続を許可しない | 5.1 | High | decision.api.shisho.dev/v1beta:aws_networking_acl_ingress |
| AWS VPC の Security Group で 0.0.0.0/0 からの管理用ポートへの接続を許可しない | 5.2 | High | decision.api.shisho.dev/v1beta:aws_networking_sg_ingress_v4 |
| AWS VPC の Security Group で ::/0 からの管理用ポートへの接続を許可しない | 5.3 | High | decision.api.shisho.dev/v1beta:aws_networking_sg_ingress_v6 |
| デフォルトの AWS セキュリティグループの利用を避けるために全ての通信をブロックする | 5.4 | Info | decision.api.shisho.dev/v1beta:aws_networking_sg_baseline |