CIS Benchmarkとは

システムを構築する上での指標となるベストプラクティス。

CIS(Center for Internet Seucirty)という団体が発表しているもの。

CIS Benchmarkにはセキュリティ対策の分類や具体的な設定方法などが記載されており、かなり役に立つ。

AWSを対象としたCIS Benchmarkもある。

CIS AWS Foundations Benchmark – AWS Security Hub (amazon.com)

CIS AWS Foundations Benchmark v3.0.0のコントロール一覧

  • Account.1:セキュリティ連絡先情報をAWSアカウントに提供する必要がある
  • CloudTrail1:CloudTrail読み取り、書き込み管理イベントを少なくとも1つのマルチリージョン証跡を有効にして設定する必要がある
  • CloudTrail2:CloudTrail保管時の暗号化を有効にする必要がある
  • CloudTrail4:CloudTrailログファイルの検証を有効にする必要がある
  • CloudTrail7:S3バケットのアクセスログ記録がCloudTrail S3バケットで有効になっていることを確認する必要がある
  • Config1:AWS Configを有効にする必要がある
  • EC2.2:VPCのデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しない
  • EC2.6:すべてのVPCでVPCフローログ記録を有効にする必要がある
  • EC2.7:EBSのデフォルト暗号化を有効にする必要がある
  • EC2.8:EC2インスタンスは、インスタンスメタデータサービスバージョン2(IMDSv2)を使用する必要がある
  • EC2.21:ネットワークACLは、0.0.0.0/0からのポート22、ポート3389へのインバウンドを許可しない
  • EC2.53:EC2セキュリティグループは、0.0.0.0/0からリモートサーバ管理ポートへの入力を許可しない
  • EC2.54:EC2セキュリティグループは、::/0からリモートサーバ管理ポートへの入力を許可しない
  • EFS.1:Elastic File Systemは、AWS KMSを使用して保管中のファイルデータを暗号化する必要がある
  • IAM.2:IAMユーザにはIAMポリシーをアタッチしない
  • IAM.3:IAMユーザのアクセスキーは90日以内にローテーションする必要がある
  • IAM.4:IAMルートユーザアクセスキーを有効にしない
  • IAM.5:コンソールパスワードを使用する全てのIAMユーザに対してMFAを有効にする必要がある
  • IAM.6:ルートユーザに対してハードウェアMFAを有効にする必要がある
  • IAM.9:ルートユーザに対してMFAを有効にする必要がある
  • IAM.15:IAMパスワードポリシーで14文字以上の長さが要求されていることを確認する
  • IAM.16:IAMパスワードポリシーはパスワードの再使用を禁止している
  • IAM.18:AWS Supportでインシデントを管理するためのサポートロールが作成されていることを確認する
  • IAM.22:45日間未使用のIAMユーザ認証情報は削除する必要がある
  • IAM.26:IAMで管理されている期限切れのSSL/TLS証明書は削除する必要がある
  • IAM.27:IAM IDにはAWS CloudShellFullAccessポリシーをアタッチしない
  • IAM.28:IAM Access Analyzerの外部アクセスアナライザーを有効にする必要がある
  • KMS.4:AWS KMSキーローテーションを有効にする
  • RDS.2:RDS DBインスタンスは、PubliclyAccessible AWS Config設定によって決定されるパブリックアクセスを禁止する必要がある
  • RDS.3:RDS DBインスタンスでは、保管時の暗号化が有効になっている必要がある
  • RDS.13:RDS自動マイナーバージョンアップグレードを有効にする必要がある
  • S3.1:S3汎用バケットでは、パブリックアクセスブロック設定を有効にする必要がある
  • S3.5:S3汎用バケットでは、SSLを使用するリクエストが必要です
  • S3.8:S3汎用バケットでは、パブリックアクセスをブロックする必要がある
  • S3.20:S3汎用バケットでは、MFA削除が有効になっている必要がある
  • S3.22:S3汎用バケットは、オブジェクトレベルの書き込みイベントをログに記録する必要がある
  • S3.23:S3汎用バケットは、オブジェクトレベルの読み取りイベントをログに記録する必要がある

AWS使っている人であれば当然だろというような内容が多いですが、日々バージョンアップされており、有効性も高いと言えます。

AWS環境ではAWS Security HubでCIS AWS Foundations Benchmarkを有効にすることができるようなので、使ってみるのもいいですね。