こんにちは、CSC の平木です!
本日、Security Hub CSPM にて CIS AWS Foundations Benchmark v5.0 のセキュリティ基準をサポートしたアナウンスがありました。
現在、Security Hub CSPM のセキュリティ基準の CIS AWS Foundations Benchmark では、v1.2.0とv1.4.0、v3.0.0、v5.0.0(最新)を選択できます。
今回は、それぞれ対応するコントロールを整理したいと思います。
CIS AWS Foundations Benchmark とは
CIS AWS Foundations Benchmark は、AWS 環境のセキュリティベストプラクティスをまとめたガイドラインです。CIS(Center for Internet Security)が提供しており、AWS 環境のセキュリティを強化するための具体的な推奨事項が含まれています。
各バージョンでのコントロール対応状況
| コントロール ID | Severity | v5.0.0 | v3.0.0 | v1.4.0 | v1.2.0 | 主な変更点 |
|---|---|---|---|---|---|---|
| Account.1 | Medium | ✅ | ✅ | ❌ | ❌ | v3.0.0 で追加 |
| CloudTrail.1 | High | ✅ | ✅ | ✅ | ✅ | - |
| CloudTrail.2 | Medium | ✅ | ✅ | ✅ | ✅ | - |
| CloudTrail.4 | Low | ✅ | ✅ | ✅ | ✅ | - |
| CloudTrail.5 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudTrail.6 | Critical | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudTrail.7 | Low | ✅ | ✅ | ✅ | ✅ | - |
| CloudWatch.1 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudWatch.2 | Low | ❌ | ❌ | ❌ | ✅ | v1.4.0 で削除 |
| CloudWatch.3 | Low | ❌ | ❌ | ❌ | ✅ | v1.4.0 で削除 |
| CloudWatch.4 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudWatch.5 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudWatch.6 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudWatch.7 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudWatch.8 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudWatch.9 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudWatch.10 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudWatch.11 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudWatch.12 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudWatch.13 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| CloudWatch.14 | Low | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| Config.1 | Critical | ✅ | ✅ | ✅ | ✅ | - |
| EC2.2 | High | ✅ | ✅ | ✅ | ✅ | - |
| EC2.6 | Medium | ✅ | ✅ | ✅ | ✅ | - |
| EC2.7 | Medium | ✅ | ✅ | ✅ | ❌ | v1.4.0 で追加 |
| EC2.8 | High | ✅ | ✅ | ❌ | ❌ | v3.0.0 で追加 |
| EC2.13 | High | ❌ | ❌ | ❌ | ✅ | v1.4.0 で削除 |
| EC2.14 | High | ❌ | ❌ | ❌ | ✅ | v1.4.0 で削除 |
| EC2.21 | Medium | ✅ | ✅ | ✅ | ❌ | v1.4.0 で追加 |
| EC2.53 | High | ✅ | ✅ | ❌ | ❌ | v3.0.0 で追加 |
| EC2.54 | High | ✅ | ✅ | ❌ | ❌ | v3.0.0 で追加 |
| EFS.1 | Medium | ✅ | ✅ | ❌ | ❌ | v3.0.0 で追加 |
| EFS.8 | Medium | ✅ | ❌ | ❌ | ❌ | v5.0.0 で追加 |
| IAM.1 | High | ❌ | ❌ | ✅ | ✅ | v3.0.0 で削除 |
| IAM.2 | Low | ✅ | ✅ | ❌ | ✅ | v1.4.0 で一時削除、v3.0.0 で復活 |
| IAM.3 | Medium | ✅ | ✅ | ✅ | ✅ | - |
| IAM.4 | Critical | ✅ | ✅ | ✅ | ✅ | - |
| IAM.5 | Medium | ✅ | ✅ | ✅ | ✅ | - |
| IAM.6 | Critical | ✅ | ✅ | ✅ | ✅ | - |
| IAM.8 | Medium | ❌ | ❌ | ❌ | ✅ | v1.4.0 で削除 |
| IAM.9 | Critical | ✅ | ✅ | ✅ | ✅ | - |
| IAM.11 | Medium | ❌ | ❌ | ❌ | ✅ | v1.4.0 で削除 |
| IAM.12 | Medium | ❌ | ❌ | ❌ | ✅ | v1.4.0 で削除 |
| IAM.13 | Medium | ❌ | ❌ | ❌ | ✅ | v1.4.0 で削除 |
| IAM.14 | Medium | ❌ | ❌ | ❌ | ✅ | v1.4.0 で削除 |
| IAM.15 | Medium | ✅ | ✅ | ✅ | ✅ | - |
| IAM.16 | Low | ✅ | ✅ | ✅ | ✅ | - |
| IAM.17 | Low | ❌ | ❌ | ❌ | ✅ | v1.4.0 で削除 |
| IAM.18 | Low | ✅ | ✅ | ✅ | ✅ | - |
| IAM.22 | Medium | ✅ | ✅ | ✅ | ❌ | v1.4.0 で追加 |
| IAM.26 | Medium | ✅ | ✅ | ❌ | ❌ | v3.0.0 で追加 |
| IAM.27 | Medium | ✅ | ✅ | ❌ | ❌ | v3.0.0 で追加 |
| IAM.28 | High | ✅ | ✅ | ❌ | ❌ | v3.0.0 で追加 |
| KMS.4 | Medium | ✅ | ✅ | ✅ | ✅ | - |
| RDS.2 | Critical | ✅ | ✅ | ❌ | ❌ | v3.0.0 で追加 |
| RDS.3 | Medium | ✅ | ✅ | ✅ | ❌ | v1.4.0 で追加 |
| RDS.5 | Medium | ✅ | ❌ | ❌ | ❌ | v5.0.0 で追加 |
| RDS.13 | High | ✅ | ✅ | ❌ | ❌ | v3.0.0 で追加 |
| RDS.15 | Medium | ✅ | ❌ | ❌ | ❌ | v5.0.0 で追加 |
| S3.1 | Medium | ✅ | ✅ | ✅ | ❌ | v1.4.0 で追加 |
| S3.5 | Medium | ✅ | ✅ | ✅ | ❌ | v1.4.0 で追加 |
| S3.8 | High | ✅ | ✅ | ✅ | ❌ | v1.4.0 で追加 |
| S3.20 | Low | ✅ | ✅ | ✅ | ❌ | v1.4.0 で追加 |
| S3.22 | Medium | ✅ | ✅ | ❌ | ❌ | v3.0.0 で追加 |
| S3.23 | Medium | ✅ | ✅ | ❌ | ❌ | v3.0.0 で追加 |
CSV 版も記載しておきます。
コントロール ID,Severity,v5.0.0,v3.0.0,v1.4.0,v1.2.0,主な変更点
Account.1,Medium,TRUE,TRUE,FALSE,FALSE,"v3.0.0 で追加"
CloudTrail.1,High,TRUE,TRUE,TRUE,TRUE,"-"
CloudTrail.2,Medium,TRUE,TRUE,TRUE,TRUE,"-"
CloudTrail.4,Low,TRUE,TRUE,TRUE,TRUE,"-"
CloudTrail.5,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudTrail.6,Critical,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudTrail.7,Low,TRUE,TRUE,TRUE,TRUE,"-"
CloudWatch.1,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudWatch.2,Low,FALSE,FALSE,FALSE,TRUE,"v1.4.0 で削除"
CloudWatch.3,Low,FALSE,FALSE,FALSE,TRUE,"v1.4.0 で削除"
CloudWatch.4,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudWatch.5,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudWatch.6,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudWatch.7,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudWatch.8,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudWatch.9,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudWatch.10,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudWatch.11,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudWatch.12,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudWatch.13,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
CloudWatch.14,Low,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
Config.1,Critical,TRUE,TRUE,TRUE,TRUE,"-"
EC2.2,High,TRUE,TRUE,TRUE,TRUE,"-"
EC2.6,Medium,TRUE,TRUE,TRUE,TRUE,"-"
EC2.7,Medium,TRUE,TRUE,TRUE,FALSE,"v1.4.0 で追加"
EC2.8,High,TRUE,TRUE,FALSE,FALSE,"v3.0.0 で追加"
EC2.13,High,FALSE,FALSE,FALSE,TRUE,"v1.4.0 で削除"
EC2.14,High,FALSE,FALSE,FALSE,TRUE,"v1.4.0 で削除"
EC2.21,Medium,TRUE,TRUE,TRUE,FALSE,"v1.4.0 で追加"
EC2.53,High,TRUE,TRUE,FALSE,FALSE,"v3.0.0 で追加"
EC2.54,High,TRUE,TRUE,FALSE,FALSE,"v3.0.0 で追加"
EFS.1,Medium,TRUE,TRUE,FALSE,FALSE,"v3.0.0 で追加"
EFS.8,Medium,TRUE,FALSE,FALSE,FALSE,"v5.0.0 で追加"
IAM.1,High,FALSE,FALSE,TRUE,TRUE,"v3.0.0 で削除"
IAM.2,Low,TRUE,TRUE,FALSE,TRUE,"v1.4.0 で一時削除、v3.0.0 で復活"
IAM.3,Medium,TRUE,TRUE,TRUE,TRUE,"-"
IAM.4,Critical,TRUE,TRUE,TRUE,TRUE,"-"
IAM.5,Medium,TRUE,TRUE,TRUE,TRUE,"-"
IAM.6,Critical,TRUE,TRUE,TRUE,TRUE,"-"
IAM.8,Medium,FALSE,FALSE,FALSE,TRUE,"v1.4.0 で削除"
IAM.9,Critical,TRUE,TRUE,TRUE,TRUE,"-"
IAM.11,Medium,FALSE,FALSE,FALSE,TRUE,"v1.4.0 で削除"
IAM.12,Medium,FALSE,FALSE,FALSE,TRUE,"v1.4.0 で削除"
IAM.13,Medium,FALSE,FALSE,FALSE,TRUE,"v1.4.0 で削除"
IAM.14,Medium,FALSE,FALSE,FALSE,TRUE,"v1.4.0 で削除"
IAM.15,Medium,TRUE,TRUE,TRUE,TRUE,"-"
IAM.16,Low,TRUE,TRUE,TRUE,TRUE,"-"
IAM.17,Low,FALSE,FALSE,FALSE,TRUE,"v1.4.0 で削除"
IAM.18,Low,TRUE,TRUE,TRUE,TRUE,"-"
IAM.22,Medium,TRUE,TRUE,TRUE,FALSE,"v1.4.0 で追加"
IAM.26,Medium,TRUE,TRUE,FALSE,FALSE,"v3.0.0 で追加"
IAM.27,Medium,TRUE,TRUE,FALSE,FALSE,"v3.0.0 で追加"
IAM.28,High,TRUE,TRUE,FALSE,FALSE,"v3.0.0 で追加"
KMS.4,Medium,TRUE,TRUE,TRUE,TRUE,"-"
RDS.2,Critical,TRUE,TRUE,FALSE,FALSE,"v3.0.0 で追加"
RDS.3,Medium,TRUE,TRUE,TRUE,FALSE,"v1.4.0 で追加"
RDS.5,Medium,TRUE,FALSE,FALSE,FALSE,"v5.0.0 で追加"
RDS.13,High,TRUE,TRUE,FALSE,FALSE,"v3.0.0 で追加"
RDS.15,Medium,TRUE,FALSE,FALSE,FALSE,"v5.0.0 で追加"
S3.1,Medium,TRUE,TRUE,TRUE,FALSE,"v1.4.0 で追加"
S3.5,Medium,TRUE,TRUE,TRUE,FALSE,"v1.4.0 で追加"
S3.8,High,TRUE,TRUE,TRUE,FALSE,"v1.4.0 で追加"
S3.20,Low,TRUE,TRUE,TRUE,FALSE,"v1.4.0 で追加"
S3.22,Medium,TRUE,TRUE,FALSE,FALSE,"v3.0.0 で追加"
S3.23,Medium,TRUE,TRUE,FALSE,FALSE,"v3.0.0 で追加"
CIS AWS Foundations Benchmark v5.0.0 の主な変更点と特徴
CIS AWS Foundations Benchmark v5.0.0 は、最新の AWS 環境のセキュリティリスクに対応するため、いくつかの重要な変更が加えられています。v3.0.0 や v1.4.0 と比較して、v5.0.0 はよりモダンな AWS サービスに焦点を当て、一部の古いコントロールを非推奨にしています。
v5.0.0 で新たに追加された主なコントロール
v5.0.0 では、特にデータ保護と高可用性に関する新しいコントロールが追加されました。
| コントロール ID | Severity | 内容 |
|---|---|---|
| EFS.8 | Medium | EFS ファイルシステムを保存時に暗号化する必要があります |
| RDS.5 | Medium | RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります |
| RDS.15 | Medium | RDS DB クラスターは、複数のアベイラビリティーゾーンで設定する必要があります |
おわりに
今回は、Security Hub CSPM で追加されたセキュリティ基準、CIS AWS Foundations Benchmark v5.0.0 の過去バージョンとの差異を見ていきました。
この記事がどなたかの役に立つと嬉しいです。
Discussion