目次
Contents
近年ではパブリッククラウドを利用する機会が多いかと思いますが、非常に便利な反面、そのセキュリティ対策について不安に感じることもあるのではないでしょうか。
サービス数や設定項目も多く、簡単に設定変更が出来てしまうため、想定外の脆弱な設定になってしまう場合もあるかと思います。
そこで、今回は弊社がサービス提供を行っているAWSに関連したセキュリティ対策の指標の1つとしてCISベンチマークについてご紹介いたします。
CISベンチマークとは
CIS(Center for Internet Security)は、セキュリティの標準化に取り組む目的で2000年に設立された団体です。CISベンチマークはCISが策定したセキュリティに関するベストプラクティス集となります。
ベンチマークの対象としてWindowsやLinuxなどのOS、データベース等のミドルウエア製品、VMwareなどの仮想化製品、ネットワーク機器、クラウドサービスなどのITに関連するプロダクトが含まれています。
ベンチマークの内容はCISの公式ホームページからPDF形式で無償配布されており、所属する組織や氏名、Eメールを入力すればダウンロードすることが可能です。
https://www.cisecurity.org/cis-benchmarks/
今回はAWSの基本的なベンチマークである『CIS Amazon Web Services Foundation Benchmark v1.4.0』について紹介いたします。
『CIS Amazon Web Services Foundation Benchmark v1.4.0』について
・主な対応項目
以下に主な内容を記載します。v1.4.0での項目数は58となっています。
各項目はレベルが定義されています。
レベル1:設定が推奨される基本的な設定項目
レベル2:レベル1を拡張する内容であり機能を制限する場合があるため検討が必要
v1.4.0での58項目は5つのカテゴリに分類されており、内容をまとめたものを以下に記載します。
1.Identity and Access Management
・rootユーザの取り扱い
・パスワードポリシー
・ポリシーやロールの取り扱い
2.Storage
・S3(暗号化やパブリックアクセスなど)
・EC2(EBSボリュームの暗号化)
・RDS(ストレージの暗号化)
3.Logging
・CloudTrail
・AWS Config
・VPCフローログ
4.Monitoring
・IAM関連のアラーム通知
・セキュリティ関連設定変更時のアラーム通知
・ネットワーク関連設定変更時のアラーム通知
5.Networking
・ルーティング
・通信許可
実際の内容の詳細についてはCISの公式ホームページから取得した原文のご確認をお願いいたします。
ダウンロードサイト(https://www.cisecurity.org/benchmark/amazon_web_services)
AWSのサービスを利用した設定チェック
CISベンチマークに準拠するためには数多くの項目を設定して維持する必要があります。
特にAWSの場合は設定追加や変更等が頻繁に発生することが想定されるため、設定を維持することが難しくなります。
AWSの以下等のサービスを利用して設定内容をチェックすることが可能です。
・AWS Audit Manager
・AWS Security Hub
・AWS Config
CISベンチマークの対応項目数は58となっており、準拠するための設定を実施するには多くの時間と労力が必要となります。すべての項目に対応する必要は必ずしもなく、各項目の重要度や使用するシステムの用途や規模により、レベルを参考に対応の有無を検討する必要があるかと思います。
また、CloudTrailやConfig、ログ保管用のS3などを利用する項目については追加で費用が発生するためその点も考慮する必要があります。
まとめ
今回はCISベンチマークのAWSに関連する内容を紹介いたしましたが、数多くの製品に関するベストプラクティスが公開されていますので、セキュリティ対策の参考にされてみてはいかがでしょうか。
当社ではCISベンチマークに準拠したセキュリティ診断サービスおよびAWS環境の構築サービスを提供しております。お気軽にご相談いただけましたら幸いです。
■参考リンク
公式:https://www.cisecurity.org/cis-benchmarks/
AWS公式:https://aws.amazon.com/jp/what-is/cis-benchmarks/
記事 : S.H