メインコンテンツへスキップ

チェック項目一覧(CIS v1.2.0)

芳賀 健
  • 更新

CIS Amazon Web Service Foundations Benchmark

CIS Amazon Web Service Foundations Benchmarkは、Amazon Web Servicesのセキュリティに関するベストプラクティスのガイダンスを提供します。

チェック対象のサービスは以下になります。

  • AWS Identity and Access Management (IAM)
  • AWS Config
  • AWS CloudTrail
  • AWS CloudWatch
  • AWS Simple Notification Service (SNS)
  • AWS Simple Storage Service (S3)
  • AWS VPC (Default)

CIS Amazon Web Service Foundations Benchmarkバージョン:v1.2.0 - 05-23-2018
ガイドはこちらからダウンロードできます。

CIS(Center for Internet Security)に関する情報はこちら

チェック内容は以下となります。

CIS 1 Identity and Access Management

CIS 1.1 rootアカウントが利用されていないこと

  • アラート基準:過去2週間以内にrootアカウントが利用された場合
  • rootアカウントは強力な権限を持つため、rootアカウントを利用せずIAMユーザーを利用してください
  • 通常運用でrootアカウントが利用されていないか確認し、利用している場合はIAMユーザーを利用するように変更してください
  • ただし、rootアカウントでしかできない作業があります
  • クラスメソッドメンバーズをご利用中の場合、お客様の依頼に基づきクラスメソッドにてrootアカウント作業を代行する場合があります

CIS 1.2 コンソールログイン用のパスワードが設定されたIAMユーザにMFAが有効化されていること

  • アラート基準:IAMユーザーにMFAが設定されていない場合
  • IAMユーザーのMulti-Factor Authentication (MFA)を有効化し、ログイン時のセキュリティを強化します
  • MFAを有効化してください
  • 対応手順はこちら

CIS 1.3 90日以上利用されていない認証情報は無効化されていること

  • アラート基準:90日以上利用していない認証情報(IAMユーザー、アクセスキー)が存在する場合
  • 利用していない認証情報(IAMユーザー、アクセスキー)を定期的に棚卸し、セキュリティを向上させます
  • 認証情報の無効化、または削除を行なってください
  • 対応手順

CIS 1.4 アクセスキーが90日以内にローテーションされていること

  • アラート基準
    • 90日以上ローテーションされていないアクセスキーが存在する場合
    • ローテーションされてから利用されていないアクセスキーが存在する場合
  • アクセスキーは、ツール(AWS CLIやPowerShell、AWS SDKなど)からAWSを利用するための認証情報です
  • 定期的にローテーションすることで、アクセスキーの盗難や漏洩に対するリスクを軽減します
  • アクセスキーのローテーションを行なってください
  • 対応手順はこちら

CIS 1.5 IAMのパスワードポリシーにて「1文字以上の大文字」を有効にすること

  • アラート基準:IAMのパスワードポリシーにて「1文字以上の大文字」が無効になっている場合
  • IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
  • 「1文字以上の大文字」を有効にしてください
  • 対応手順はこちら

CIS 1.6 IAMのパスワードポリシーにて「1文字以上の小文字」を有効にすること

  • アラート基準:IAMのパスワードポリシーにて「1文字以上の小文字」が無効になっている場合
  • IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
  • 「1文字以上の小文字」を有効にしてください
  • 対応手順はこちら

CIS 1.7 IAMのパスワードポリシーにて「1文字以上の記号」を有効にすること

  • アラート基準:IAMのパスワードポリシーにて「1文字以上の記号」が無効になっている場合
  • IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
  • 「1文字以上の記号」を有効にしてください
  • 対応手順はこちら

CIS 1.8 IAMのパスワードポリシーにて「1文字以上の数字」を有効にすること

  • アラート基準:IAMのパスワードポリシーにて「1文字以上の数字」が無効になっている場合
  • IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
  • 「1文字以上の数字」を有効にしてください
  • 対応手順はこちら

CIS 1.9 IAMのパスワードポリシーにて「パスワードを14文字以上」を有効にすること

  • アラート基準:IAMのパスワードポリシーにて「パスワードを14文字以上」が無効になっている場合
  • IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
  • 「パスワードを14文字以上」を有効にしてください
  • 対応手順はこちら

CIS 1.10 IAMのパスワードポリシーにて「パスワードの再利用禁止」を有効にすること

  • アラート基準
    • IAMのパスワードポリシーにて「パスワードの再利用禁止」が無効になっている
    • 記憶するパスワードの数が「24」になっていない
  • IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
  • 「パスワードの再利用禁止」を有効にしてください
    • 記憶するパスワードの数は「24」を指定してください。24以外を指定した場合はチェックNGになります。
  • 対応手順はこちら

CIS 1.11 IAMのパスワードポリシーにて「90日以内のパスワード有効期限」を有効にすること

  • アラート基準:IAMのパスワードポリシーにて「90日以内のパスワード有効期限」が無効になっている場合
  • IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
  • 「90日以内のパスワード有効期限」を有効にしてください
  • 対応手順はこちら

CIS 1.12 rootアカウントのアクセスキーが設定されていないこと

  • アラート基準:rootアカウントにアクセスキーが設定されている場合
  • rootアカウントは強力な権限を持ちます。rootアカウントは利用せずIAMユーザーを利用します
  • rootアカウントのアクセスキーを削除し、IAMユーザーを利用してください
  • 対応手順はこちら

CIS 1.13 rootアカウントがMFAにより保護されていること

  • アラート基準:rootアカウントにMFAが設定されていない場合
  • AWSへのログインは多要素認証(MFA)を有効化しセキュリティを強化します
  • rootアカウントのMFAを有効化してください
  • 対応手順はこちら

CIS 1.14 rootアカウントがハードウェアMFAにより保護されていること

  • アラート基準:rootアカウントでハードウェアMFAを利用していない場合
  • ハードウェアMFAは仮想MFAに比べ攻撃されるリスクが低く、最も強い権限を持つrootアカウントに適用することが推奨されています
  • rootアカウントに対しハードウェアMFAを導入してください
  • ただし、複数AWSアカウントを利用している場合はハードウェアMFAデバイスの管理が問題になる可能性がります。この場合は、高セキュリティが必要なアカウントに対しハードウェアMFAを導入し、残りのアカウントは仮想MFAを導入することを検討してください
  • 対応手順はこちら
  • クラスメソッドメンバーズご利用のお客様は、クラスメソッドで管理している項目となり「マネージド」と表示されます

CIS 1.15 秘密の質問が設定されていること

  • アラート基準:ユーザーによる評価が実施されていないか、前回の評価から180日経過している場合
  • ユーザー自身での確認が必要な マニュアル評価項目です
  • 秘密の質問はAWSカスタマーサービスでの本人認証で利用されます。確認できないとAWSサポートへ問い合わせができなくなる可能性があります
  • 例えば、MFAデバイス障害などでAWSコンソールへのログインが不能となった際の問い合わせ時に必要です
  • 秘密の質問が最新になっているか確認してください
  • 対応手順はこちら
  • クラスメソッドメンバーズご利用のお客様は、クラスメソッドで管理している項目となり「マネージド」と表示されます

CIS 1.16 IAMポリシーがグループまたはロールにのみ適用されていること

  • アラート基準:IAMユーザーにIAMポリシーがアタッチされている場合
  • グループレベルで権限を割り当てることで、ユーザーが増えた場合の複雑さを軽減し、誤った権限を付与するリスクを低下させます
  • IAMユーザーをグループに所属させ、グループにポリシーをアタッチ、IAMユーザーからポリシーを削除してください
  • 対応手順はこちら

CIS 1.17 連絡先の情報更新

  • アラート基準:ユーザーによる評価が実施されていないか、前回の評価から180日経過している場合
  • ユーザー自身での確認が必要な マニュアル評価項目です
  • 連絡先は、セキュリティ上の問題やAWSポリシー違反などの通知に利用されます
  • 連絡先の情報(メールアドレス、電話番号、住所など)が最新になっているか確認してください
  • 対応手順はこちら
  • クラスメソッドメンバーズご利用のお客様は、クラスメソッドで管理している項目となり「マネージド」と表示されます

CIS 1.18 セキュリティに関する連絡先の登録

  • アラート基準:ユーザーによる評価が実施されていないか、前回の評価から180日経過している場合
  • ユーザー自身での確認が必要な マニュアル評価項目です
  • 連絡先は、AWSからの連絡の中でもセキュリティに関する連絡先になります
  • セキュリティに関する連絡先を指定することで、組織内のセキュリティチームへ連絡できます
  • セキュリティに関する連絡先の情報が最新になっているか確認してください
  • 対応手順はこちら
  • クラスメソッドメンバーズご利用のお客様は、クラスメソッドで管理している項目となり「マネージド」と表示されます

CIS 1.19 EC2でのAWSリソースへのAPIアクセスはIAMインスタンスロールを利用していること

  • アラート基準:EC2にIAMロールがアタッチされていない場合
  • IAMロールでは期限付きの一時的なキーを利用します
  • EC2からAWSリソースへのアクセスは、アクセスキーではなくIAMロールを利用することでキー漏洩時のリスクを低減できます
  • 適切な権限を付与したIAMロールを作成し、EC2にアタッチしてください
  • 対応手順はこちら

CIS 1.20 特定のユーザーにAWSサポートへの問い合わせ権限が付与されていること

  • アラート基準:IAMポリシー「AWSSupportAccess」がアタッチされたグループ、ユーザーまたはロールが存在しない場合
  • 特定の許可されたユーザーのみがAWSサポートへ問い合わせできるようにします
  • グループ、またはロールにIAMポリシー「AWSSupportAccess」をアタッチしてください
  • 対応手順はこちら
  • クラスメソッドメンバーズご利用のお客様は、クラスメソッドで管理している項目となり「マネージド」と表示されます

CIS 1.21 不要なアクセスキーの発行を避ける

  • アラート基準:一度も利用していないアクセスキーが存在する場合
  • 利用していない認証情報は削除してください
  • 対応手順はこちら

CIS 1.22 制限なしのアクセス許可を指定したIAMポリシーを利用しない

CIS 2 Logging

CIS 2.1 全リージョンでCloudTrailが有効であること

  • アラート基準:CloudTrailが有効になっていないリージョンが存在する場合
  • CloudTrailはAWSのAPI呼び出しを記録します(IP、時刻、パラメータ)
  • セキュリティ分析、リソース変更追跡、コンプライアンス監査に必要です
  • CloudTrailを有効化してください
  • 対応手順はこちら
  • 参考:AWS CloudTrailに関する料金

CIS 2.2 CloudTrailログファイルの検証が有効化されていること

  • アラート基準:CloudTrailログファイルの検証が有効になっていない場合
  • ログファイルの検証を有効化することで、デジタル署名が作成されます
  • ログファイルに改ざんが無かったかを確認することができます
  • ログファイルの検証を有効化してください
  • 対応手順はこちら

CIS 2.3 CloudTrailログのS3バケットが公開設定となっていないこと

  • アラート基準:CloudTrailログを保管しているS3バケットがパブリック公開されている場合
  • 不特定多数が読み取れる状態になっている為、今すぐパブリック公開設定を削除してください
  • 対応手順はこちら

CIS 2.4 CloudTrailログがCloudWatch Logsに配信設定されていること

  • アラート基準:CloudTrailログが、CloudWatch Logsへ配信設定されていない場合
  • CloudWatch LogsへCloudTrailログを配信することでリアルタイム分析、フィルタ、アラームが利用できます
  • CloudWatch Logsへの配信は、適切な監視、アラートを目的とします
  • CloudWatch Logsへの配信設定をしてください
  • 対応手順はこちら
  • 補足
    • ロググループに適切な保管期間を設定してください
  • 参考:Amazon CloudWatch Logsに関する料金

CIS 2.5 全リージョンでAWS Configが有効であること

  • アラート基準:AWS Configが有効になっていないリージョンが存在する場合
  • AWS Configを有効にすることでサポートされているリソースの構成管理ができ、セキュリティ分析、リソース変更の追跡、コンプライアンス監査が可能になります
  • AWS Configの設定を有効化してください
    • すべてのリソース配下の「このリージョンではサポートされているすべてのリソースを記録します」のチェックボックスが有効になっていること
    • すべてのリソース配下の「グローバルリソース (AWS IAM リソースなど) を含める」は少なくとも1つのリージョンでチェックボックスが有効になっていること
    • S3バケットが設定されていること
    • SNSトピックが設定されていること
  • 対応手順はこちら
  • 参考:AWS Configに関する料金

CIS 2.6 CloudTrailログが格納されているS3バケットでログ記録が有効になっていること

  • アラート基準:CloudTrailを格納しているS3バケットのアクセスログ記録が有効化されていない場合
  • S3バケットのアクセスログには、アクセス時間、操作対象のリソース、操作内容が記録され監査ログとして有効です
  • S3バケットのアクセスログを有効化してください
  • 対応手順はこちら
  • 参考:Amazon S3に関する料金

CIS 2.7 CloudTrailログがSSE-KMSで暗号化設定されていること

  • アラート基準:CloudTrailログが暗号化されていない場合
  • 暗号化することで、機密性コントロールが追加できます
  • ログを参照するユーザーはS3バケットへの読み込み権限に加え、復号化権限(KMSの権限)が必要となります
  • AWS Key Management Service(KMS)を利用することで、S3上のCloudTrailログを暗号化(サーバーサイド暗号化)します
  • CloudTrailログを暗号化してください
  • 対応手順はこちら
  • 参考:AWS KMSに関する料金

CIS 2.8 KMSマスターキーがローテーション設定されていること

  • アラート基準:KMSキーのローテーション設定がされていない場合
  • 暗号化キーをローテーションすることで漏洩時の影響を限定できます
  • キーのローテーションを有効化しても、過去のキーは保存されている為複合化は透過的に行われます。そのためユーザーで運用作業は必要ありません
  • KMSマスターキーのローテーションを設定してください
  • 対応手順はこちら

CIS 2.9 利用可能な全てのリージョンにおいて、VPC Flow Logsが有効化されていること

  • アラート基準:VPC Flow Logsが有効化されていない場合
  • VPC Flow Logsは、VPC内のネットワーク通信のログを保存します
  • セキュリティ分析や異常な通信を調査するのに役立ちます
  • VPC Flow Logを有効化してください
  • 対応手順はこちら
  • CloudWatch Logsは保持期間を設定しない限り、ログが無期限に保存されるため、こちらを参照し、ログの保持期間を最短365日に設定します
  • VPC Flow Logs(Amazon CloudWatch 供給ログ)に関する料金

CIS 3 Monitoring

CIS 3.1 許可されていないAPIコールに対して、アラーム通知設定されていること

  • アラート基準:許可されていないAPIコールに対するアラームが設定されていない場合
  • 許可されていないAPIコールを監視することで、アプリケーションエラー、悪意のあるアクティビティ検出を早めます
  • CIS Amazon Web Services Foundationsの3.1を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.2 MFAなしでのAWSマネージメントコンソールログインに対して、アラーム通知設定されていること

  • アラート基準:MFAなしログインに対するアラームが設定されていない場合
  • MFAなしログインを監視することで、MFAなしログインの検出を早めます
  • CIS Amazon Web Services Foundationsの3.2を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.3 rootアカウントの利用に対して、アラーム通知設定されていること

  • アラート基準:rootアカウントの利用に対するアラームが設定されていない場合
  • rootアカウントのアクティビティを監視することで、強力な権限を持つユーザーを利用しないよう維持します
  • CIS Amazon Web Services Foundationsの3.3を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.4 IAMポリシーの変更に対して、アラーム通知設定されていること

  • アラート基準:IAMポリシーの変更に対してアラームが設定されていない場合
  • IAMポリシーの変更を監視することで、認証と承認の制御を確実に維持します
  • CIS Amazon Web Services Foundationsの3.4を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.5 CloudTrail設定の変更に対して、アラーム通知設定されていること

  • アラート基準:CloudTrail設定変更に対してアラームが設定されていない場合
  • CloudTrail設定の変更を監視することで、AWSアカウントで実行されるアクティビティの持続的な可視性を維持します
  • CIS Amazon Web Services Foundationsの3.5を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.6 AWSマネージメントコンソールのログイン失敗に対して、アラーム通知設定されていること

  • アラート基準:AWSマネージメントコンソールへのログイン失敗アラームが設定されていない場合
  • ログイン失敗を監視することで、早期に不正なアタックを検知します
  • CIS Amazon Web Services Foundationsの3.6を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.7 KMSマスターキーの無効化またはスケジュール削除に対して、アラーム通知設定されていること

  • アラート基準:KMSマスターキーの無効化またはスケジュール削除に対してアラームが設定されていない場合
  • キーの無効化や削除に関して監視することで、誤ったキー削除を防ぎます
  • キーを誤って削除した場合データにアクセスアクセスできなくなります
  • CIS Amazon Web Services Foundationsの3.7を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.8 S3バケットポリシー変更に対して、アラーム通知設定されていること

  • アラート基準:S3バケットポリシー変更に対するアラームが設定されていない場合
  • S3バケットポリシーはデータへのアクセス権限を設定する重要な項目です
  • 変更を監視することで機密性の高い情報の保護を維持します
  • CIS Amazon Web Services Foundationsの3.8を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.9 AWS Config変更に対して、アラーム通知設定されていること

  • アラート基準:AWS Configの設定変更に対してアラームが設定されていない場合
  • AWS ConfigではAWSリソースの変更を記録し追跡できます
  • AWS Configへの意図しない設定変更がないか監視し、AWS Configでの変更管理が継続的行えるように維持します
  • CIS Amazon Web Services Foundationsの3.9を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.10 セキュリティグループ変更に対して、アラーム通知設定されていること

  • アラート基準:セキュリティグループの設定変更に対してアラームが設定されていない場合
  • セキュリティグループの変更を監視することで、リソースやサービスが誤って公開されないように維持します
  • CIS Amazon Web Services Foundationsの3.10を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.11 ネットワークACL変更に対して、アラーム通知設定されていること

  • アラート基準:ネットワークACLの設定変更に対してアラームが設定されていない場合
  • ネットワークACLの変更を監視することで、サービスが誤って公開されないように維持します
  • CIS Amazon Web Services Foundationsの3.11を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.12 インターネットゲートウェイ変更に対して、アラーム通知設定されていること

  • アラート基準:インターネットゲートウェイの設定変更に対してアラームが設定されていない場合
  • インターネットゲートウェイはインターネットアクセスへの経路です
  • インターネットゲートウェイの変更を監視することで、サービスが誤って公開されないよう維持します
  • CIS Amazon Web Services Foundationsの3.12を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.13 ルートテーブル変更に対して、アラーム通知設定されていること

  • アラート基準:ルートテーブルの設定変更に対してアラームが設定されていない場合
  • ルートテーブルではインターネットや専用線などへの経路情報を定義します
  • ルートテーブルの変更を監視し、誤った経路情報が登録されないよう維持します
  • CIS Amazon Web Services Foundationsの3.13を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 3.14 VPC変更に対して、アラーム通知設定されていること

  • アラート基準:VPCの設定変更に対してアラームが設定されていない場合
  • VPCでは1カウントに複数作成でき、VPCピアリングにてVPC間をルーティングできます
  • VPCの変更を監視し、意図した通信が発生しないか維持します
  • CIS Amazon Web Services Foundationsの3.14を参照し設定してください
  • クラスメソッドメンバーズご利用のお客様は、CloudFormationテンプレートをご用意しているため簡単にセットアップできます。クラスメソッドメンバーズのご利用をご検討ください。詳細はこちら
  • 参考:Amazon SNSAmazon CloudWatch(カスタムメトリクス、アラーム)に関する料金

CIS 4 Networking

CIS 4.1 Security Groupにて、0.0.0.0/0からポート22番(SSH)への接続が許可されていないこと

  • アラート基準:セキュリティグループで22番ポートが0.0.0.0/0で許可されている場合
  • SSHへのアクセスが無制限となっているセキュリティグループがあります
  • アクセス元を絞ることで、不特定多数からのアクセスを防ぎます
  • セキュリティグループの設定を変更し、アクセス元を絞るか、不要な場合は削除してください
  • 対応手順はこちら

CIS 4.2 Security Groupにて、0.0.0.0/0からポート3389番(RDP)への接続が許可されていないこと

  • アラート基準:セキュリティグループで3389番ポートが0.0.0.0/0で許可されている場合
  • RDPへのアクセスが無制限となっているセキュリティグループがあります
  • アクセス元を絞ることで、不特定多数からのアクセスを防ぎます
  • セキュリティグループの設定を変更し、アクセス元を絞るか、不要な場合は削除してください
  • 対応手順はこちら

CIS 4.3 defaultセキュリティグループが全ての通信を許可していないこと

  • アラート基準
    • defaultセキュリティグループにルールが設定されている場合
    • defaultセキュリティグループを利用しているEC2インスタンスがある場合
  • defaultセキュリティグループは、VPC作成時に自動で作成され、インスタンスを起動するときにセキュリティグループを指定しないと、そのインスタンスはデフォルトのセキュリティグループに自動的に関連付けられます
  • 意図した設定を行うためdefaultセキュリティグループの利用を避けます
  • defaultセキュリティグループ以外のセキュリティグループを用意し、EC2へアタッチしてください
  • defaultセキュリティグループからアウトバウンド・インバウンドルールを削除し、インスタンスにアタッチしている場合はデタッチしてください
  • 対応手順はこちら

CIS 4.4 必要最低限のVPCピアリング用のルーティングを追加すること

  • アラート基準:ユーザーによる評価が実施されていないか、前回の評価から180日経過している場合
  • ユーザー自身での確認が必要な マニュアル評価項目です
  • VPCピアリングを利用することで、VPC間で通信することができます
  • 必要最低限のVPCピアリング用のルーティングが登録されているか確認してください
  • 対応手順はこちら
この記事は役に立ちましたか?
1人中1人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

コメント

0件のコメント

記事コメントは受け付けていません。

Powered by Zendesk