# CIS AWS Foundations Benchmark v3.0.0 に関連するマネージド検査 本ページでは、CIS AWS Foundations Benchmark v3.0.0 に関して Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。 ## 検査を実施するには 以下で公開されているワークフローを Shisho Cloud 組織に登録することでマネージド検査項目を利用できます: - [CIS AWS Foundations Benchmark v3.0.0 向けワークフロー](https://github.com/flatt-security/shisho-cloud-managed-workflows/tree/main/workflows/cis-benchmark/aws-v3.0.0) ## 検査項目の一覧 :::info 各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすることで、組織のポリシーに合わせた緊急度の変更も可能です。 ::: | 検査項目名 | 標準中の項目名 | デフォルトの緊急度 | Shisho Cloud 内の管理 ID | | -------------------------------------------------------------------------------------------------------- | -------------- | ------------------ | ------------------------------------------------------------------------- | | AWS アカウントにセキュリティ関連用の連絡先が登録されている | 1.2 | Info | `decision.api.shisho.dev/v1beta:aws_iam_account_alternate_contact` | | AWS のルートユーザーのアクセスキーを発行しない | 1.4 | Critical | `decision.api.shisho.dev/v1beta:aws_iam_root_user_key` | | AWS のルートユーザーの利用時に多要素認証(MFA)を要求する | 1.5 | Critical | `decision.api.shisho.dev/v1beta:aws_iam_root_user_mfa` | | AWS のルートユーザーの利用時にハードウェアによる多要素認証(MFA)を要求する | 1.6 | High | `decision.api.shisho.dev/v1beta:aws_iam_root_user_hardware_mfa` | | AWS ルートユーザーの使用を最小限に留め、日常的に利用しない | 1.7 | Critical | `decision.api.shisho.dev/v1beta:aws_iam_root_user_usage` | | IAM パスワードポリシーでパスワードに十分な文字数を要求する | 1.8 | High | `decision.api.shisho.dev/v1beta:aws_iam_password_length` | | IAM パスワードポリシーで過去に利用したパスワードの設定を禁止する | 1.9 | High | `decision.api.shisho.dev/v1beta:aws_iam_password_reuse` | | コンソール用のパスワードを設定済みの AWS のユーザーに多要素認証(MFA)を要求する | 1.10 | High | `decision.api.shisho.dev/v1beta:aws_iam_user_mfa` | | マネジメントコンソールのみを利用する IAM ユーザーには作成時にアクセスキーを払い出さない | 1.11 | Medium | `decision.api.shisho.dev/v1beta:aws_iam_console_user_keys` | | 一定期間以上未使用の AWS 認証情報を無効化する | 1.12 | High | `decision.api.shisho.dev/v1beta:aws_iam_credentials_inventory` | | IAM ユーザーのアクティブなアクセスキーを 1 つのみに保つ | 1.13 | Medium | `decision.api.shisho.dev/v1beta:aws_iam_user_available_access_keys` | | AWS IAM のアクセスキーを所定の期間でローテーションする | 1.14 | Medium | `decision.api.shisho.dev/v1beta:aws_iam_key_rotation` | | IAM ユーザーへの権限付与を IAM グループ経由で行う | 1.15 | Low | `decision.api.shisho.dev/v1beta:aws_iam_user_group_permission_assignment` | | 任意リソース・任意アクションに対して権限を持つ IAM ポリシーを利用しない | 1.16 | Critical | `decision.api.shisho.dev/v1beta:aws_iam_administrative_policy_limitation` | | AWS サポートセンターを利用できる IAM ロールを用意する | 1.17 | Low | `decision.api.shisho.dev/v1beta:aws_iam_role_for_support` | | AWS IAM に保存されている SSL/TLS 証明書が期限切れになっていないことを確認する | 1.19 | Low | `decision.api.shisho.dev/v1beta:aws_iam_server_certificates` | | すべてのリージョンで IAM Access Analyzer を有効にする | 1.20 | Info | `decision.api.shisho.dev/v1beta:aws_iam_access_analyzers` | | S3 バケットの利用時に HTTPS のみが利用されるよう強制する | 2.1.1 | Medium | `decision.api.shisho.dev/v1beta:aws_s3_bucket_transport` | | S3 バケットの MFA 削除を有効にする | 2.1.3 | Medium | `decision.api.shisho.dev/v1beta:aws_s3_bucket_mfa_delete` | | S3 バケットのパブリックアクセスブロック機能を有効にする | 2.1.4 | Medium | `decision.api.shisho.dev/v1beta:aws_s3_bucket_public_access_block` | | EBS ボリュームの暗号化がデフォルトで行われるように全リージョンを設定する | 2.2.1 | Low | `decision.api.shisho.dev/v1beta:aws_ebs_volume_encryption_baseline` | | RDS インスタンスのデータ暗号化を有効化する | 2.3.1 | Medium | `decision.api.shisho.dev/v1beta:aws_rds_instance_encryption` | | RDS インスタンスのマイナーバージョンの自動更新を有効にする | 2.3.2 | Low | `decision.api.shisho.dev/v1beta:aws_rds_instance_auto_upgrade` | | RDS インスタンスに接続できる通信元を限定する | 2.3.3 | High | `decision.api.shisho.dev/v1beta:aws_rds_instance_accessibility` | | EFS ボリュームを暗号化する | 2.4.1 | Medium | `decision.api.shisho.dev/v1beta:aws_efs_volume_encryption` | | 全てのリージョンで CloudTrail を有効にする | 3.1 | High | `decision.api.shisho.dev/v1beta:aws_cloudtrail_usage` | | CloudTrail ログファイルのバリデーションを有効にする | 3.2 | Medium | `decision.api.shisho.dev/v1beta:aws_cloudtrail_log_file_validation` | | 全リージョンで AWS Config を有効にする | 3.3 | Info | `decision.api.shisho.dev/v1beta:aws_config_recorder_status` | | 重要な S3 バケットに対してアクセスログを記録する | 3.4 | Low | `decision.api.shisho.dev/v1beta:aws_s3_bucket_access_logging` | | CloudTrail 証跡の暗号化に KMS CMK を利用する | 3.5 | Low | `decision.api.shisho.dev/v1beta:aws_cloudtrail_cmk_encryption` | | カスタマー作成の対称 CMK のローテーションを有効にする | 3.6 | Low | `decision.api.shisho.dev/v1beta:aws_kms_symmetric_cmk_rotation` | | AWS VPC でフローログを有効にする | 3.7 | Medium | `decision.api.shisho.dev/v1beta:aws_networking_vpc_flow_logging` | | S3 バケットのオブジェクト書き込みイベントの発生証跡を記録する | 3.8 | Low | `decision.api.shisho.dev/v1beta:aws_s3_bucket_write_trail` | | S3 バケットのオブジェクト読み取りイベントの発生証跡を記録する | 3.9 | Low | `decision.api.shisho.dev/v1beta:aws_s3_bucket_read_trail` | | 未承認の API 呼び出しに対するログメトリックフィルタとアラームを設定する | 4.1 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_unauthorized_api_calls` | | MFAなしでの管理コンソールサインインに対するログメトリックフィルタとアラームを設定する | 4.2 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_console_signin_mfa` | | ルートユーザーの利用に対するログメトリックフィルタとアラームを設定する | 4.3 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_console_root_user_usage` | | IAMポリシーの変更に対するログメトリックフィルターとアラームを設定する | 4.4 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_iam_policy_changes` | | CloudTrail の設定変更に対するログメトリックフィルターとアラームを設定する | 4.5 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_cloudtrail_changes` | | AWS Management Consoleの認証失敗のログメトリックフィルタとアラームを設定する | 4.6 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_console_auth_failure` | | カスタマー管理のCMKの無効化またはスケジュールされた削除のログメトリックフィルタとアラームを設定する | 4.7 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_cmk_changes` | | S3 バケットポリシー変更のログメトリックフィルタとアラームを設定する | 4.8 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_bucket_policy_changes` | | AWS Config の設定変更に対するログメトリックフィルターとアラームを設定する | 4.9 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_config_changes` | | セキュリティグループの変更に対するログメトリックフィルターとアラームを設定する | 4.10 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_security_group_changes` | | ネットワークアクセスコントロールリスト(NACL)の変更に対するログメトリックフィルターとアラームを設定する | 4.11 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_nacl_changes` | | ネットワークゲートウェイの変更に対するログメトリックフィルターとアラームを設定する | 4.12 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_network_gateway_changes` | | ルートテーブル変更のログメトリックフィルタとアラームを設定する | 4.13 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_route_table_changes` | | VPC 変更のログメトリックフィルタとアラームを設定する | 4.14 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_vpc_changes` | | AWS Organizations 変更のログメトリックフィルタとアラームを設定する | 4.15 | Info | `decision.api.shisho.dev/v1beta:aws_logmetric_organizations_changes` | | AWS Security Hub を利用する | 4.16 | Info | `decision.api.shisho.dev/v1beta:aws_securityhub_usage` | | AWS ネットワーク ACL で 0.0.0.0/0 からの管理用ポートへの接続を許可しない | 5.1 | High | `decision.api.shisho.dev/v1beta:aws_networking_acl_ingress` | | AWS VPC の Security Group で 0.0.0.0/0 からの管理用ポートへの接続を許可しない | 5.2 | High | `decision.api.shisho.dev/v1beta:aws_networking_sg_ingress_v4` | | AWS VPC の Security Group で ::/0 からの管理用ポートへの接続を許可しない | 5.3 | High | `decision.api.shisho.dev/v1beta:aws_networking_sg_ingress_v6` | | デフォルトの AWS セキュリティグループの利用を避けるために全ての通信をブロックする | 5.4 | Info | `decision.api.shisho.dev/v1beta:aws_networking_sg_baseline` | | EC2 インスタンスで Instance Metadata Service Version 2 (IMDSv2) を使用する | 5.6 | High | `decision.api.shisho.dev/v1beta:aws_ec2_instance_imdsv2` |