AWS Foundational Security Best Practices (FSBP) に関連するマネージド検査
本ページでは、AWS Foundational Security Best Practices (FSBP) に関して Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。
info
本ページには、現状 CIS AWS Foundations Benchmark v1.5.0 向けポリシーと重複している部分が表示されていません。 3
検査を実施するには
以下で公開されているワークフローを Shisho Cloud 組織に登録することでマネージド検査項目を利用できます:
検査項目の一覧
info
各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすることで、組織のポリシーに合わせた緊急度の変更も可能です。
| 検査項目名 | 標準中の項目名 | デフォルトの緊急度 | Shisho Cloud 内の管理 ID |
|---|---|---|---|
| CloudFront ディストリビューションにデフォルトルートオブジェクトを設定する | CloudFront.1 | Critical | decision.api.shisho.dev/v1beta:aws_cloudfront_default_root_object |
| CloudFront ディストリビューションへの接続に HTTPS を強制する | CloudFront.3 | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_transport |
| CloudFront ディストリビューションへのアクセスログを記録する | CloudFront.5 | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_logging |
| CloudFront ディストリビューションのオリジンに対する接続で HTTPS を利用する | CloudFront.9 | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_origin_transport |
| CloudFront ディストリビューションのオリジンに対する HTTPS 接続でセキュアな SSL/TLS プロトコルを利用する | CloudFront.10 | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_origin_transport_version |
| S3 バックエンドを持つ CloudFront ディストリビューションに Origin Access Control を設定する | CloudFront.13 | Medium | decision.api.shisho.dev/v1beta:aws_cloudfront_origin_access_control |
| AWS VPC でフローログを有効にする | EC2.6 | Medium | decision.api.shisho.dev/v1beta:aws_networking_vpc_flow_logging |
| EBS ボリュームの暗号化がデフォルトで行われるように全リージョンを設定する | EC2.7 | Medium | decision.api.shisho.dev/v1beta:aws_ebs_volume_encryption_baseline |
| AWS VPC の Security Group で 0.0.0.0/0 からの管理用ポートへの接続を許可しない | EC2.14 | High | decision.api.shisho.dev/v1beta:aws_networking_sg_ingress_v4 |
| AWS ネットワーク ACL で 0.0.0.0/0 からの管理用ポートへの接続を許可しない | EC2.21 | High | decision.api.shisho.dev/v1beta:aws_networking_acl_ingress |
| ECS サービスに対するパブリック IP のアサインを最小限に留める | ECS.2 | High | decision.api.shisho.dev/v1beta:aws_ecs_service_public_ip |
| ECS コンテナの privileged フラグを有効化しない | ECS.4 | High | decision.api.shisho.dev/v1beta:aws_ecs_container_privilege |
| ECS コンテナによるルートファイルシステム操作を読み取りのみに制限する | ECS.5 | Low | decision.api.shisho.dev/v1beta:aws_ecs_container_fs_permission |
| Application Load Balancer が無効な HTTP ヘッダをドロップするように設定する | ELB.4 | Low | decision.api.shisho.dev/v1beta:aws_alb_invalid_header_handling |
| Application Load Balancer のログ記録を有効にする | ELB.5 | Medium | decision.api.shisho.dev/v1beta:aws_alb_logging |
| Application Load Balancer の削除保護を有効にする | ELB.6 | Low | decision.api.shisho.dev/v1beta:aws_alb_delete_protection |
| Application Load Balancer が HTTP Desync 攻撃を緩和するよう設定する | ELB.12 | Medium | decision.api.shisho.dev/v1beta:aws_alb_desync_mitigation |
| 任意リソース・任意アクションに対して権限を持つ IAM ポリシーを利用しない | IAM.1 | Critical | decision.api.shisho.dev/v1beta:aws_iam_administrative_policy_limitation |
| IAM ユーザーへの権限付与を IAM グループ経由で行う | IAM.2 | Low | decision.api.shisho.dev/v1beta:aws_iam_user_group_permission_assignment |
| AWS IAM のアクセスキーを所定の期間でローテーションする | IAM.3 | Medium | decision.api.shisho.dev/v1beta:aws_iam_key_rotation |
| AWS のルートユーザーのアクセスキーを発行しない | IAM.4 | Critical | decision.api.shisho.dev/v1beta:aws_iam_root_user_key |
| コンソール用のパスワードを設定済みのAWS のユーザーに多要素認証(MFA)を要求する | IAM.5 | High | decision.api.shisho.dev/v1beta:aws_iam_user_mfa |
| AWS のルートユーザーの利用時にハードウェアによる多要素認証(MFA)を要求する | IAM.6 | High | decision.api.shisho.dev/v1beta:aws_iam_root_user_hardware_mfa |
| AWS のルートユーザーの利用時に多要素認証(MFA)を要求する | IAM.9 | Critical | decision.api.shisho.dev/v1beta:aws_iam_root_user_mfa |
| IAM パスワードポリシーでパスワードに十分な文字数を要求する | IAM.15 | High | decision.api.shisho.dev/v1beta:aws_iam_password_length |
| IAM パスワードポリシーで過去に利用したパスワードの設定を禁止する | IAM.16 | High | decision.api.shisho.dev/v1beta:aws_iam_password_reuse |
| AWS サポートセンターを利用できる IAM ロールを用意する | IAM.18 | Low | decision.api.shisho.dev/v1beta:aws_iam_role_for_support |
| 一定期間以上未使用の AWS 認証情報を無効化する | IAM.22 | High | decision.api.shisho.dev/v1beta:aws_iam_credentials_inventory |
| RDS インスタンスに接続できる通信元を限定する | RDS.2 | High | decision.api.shisho.dev/v1beta:aws_rds_instance_accessibility |
| RDS インスタンスのデータを暗号化する | RDS.3 | Medium | decision.api.shisho.dev/v1beta:aws_rds_instance_encryption |
| RDS インスタンスのマイナーバージョンの自動更新を有効にする | RDS.13 | Low | decision.api.shisho.dev/v1beta:aws_rds_instance_auto_upgrade |
| S3 バケットの暗号化を有効にする | S3.4 | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_encryption |
| S3 バケットのパブリックアクセスブロック機能を有効にする | S3.8 | Medium | decision.api.shisho.dev/v1beta:aws_s3_bucket_public_access_block |
| 重要な S3 バケットに対してアクセスログを記録する | S3.9 | Low | decision.api.shisho.dev/v1beta:aws_s3_bucket_access_logging |