[アップデート] AWS Security Hub のセキュリティ標準に NIST SP 800-171 Rev.2 が追加されました

こんにちは、岩城です。

AWS Security Hub のセキュリティ標準で新しく NIST SP 800-171 Rev.2 のサポートが開始されました。

AWS Security Hub now supports NIST SP 800-171 Revision 2 - AWS

NIST SP 800-171 Rev.2 とは

米国立標準技術研究所 (NIST) が定めたセキュリティ基準を示すサイバーセキュリティとコンプライアンスのフレームワークです。

NIST 公式を確認すると、Abstract に以下のような説明がありました。

The protection of Controlled Unclassified Information (CUI) resident in nonfederal systems and organizations is of paramount importance to federal agencies and can directly impact the ability of the federal government to successfully conduct its essential missions and functions. This publication provides agencies with recommended security requirements for protecting the confidentiality of CUI when the information is resident in nonfederal systems and organizations; when the nonfederal organization is not collecting or maintaining information on behalf of a federal agency or using or operating a system on behalf of an agency; and where there are no specific safeguarding requirements for protecting the confidentiality of CUI prescribed by the authorizing law, regulation, or governmentwide policy for the CUI category listed in the CUI Registry. The requirements apply to all components of nonfederal systems and organizations that process, store, and/or transmit CUI, or that provide protection for such components. The security requirements are intended for use by federal agencies in contractual vehicles or other agreements established between those agencies and nonfederal organizations.

(機械翻訳の結果)

非連邦システムおよび組織に存在する管理非機密情報 (CUI) の保護は、連邦政府機関にとって極めて重要であり、連邦政府が重要な任務および機能を正常に遂行する能力に直接影響を及ぼす可能性があります。この出版物は、情報が非連邦システムおよび組織に存在する場合、非連邦組織が連邦機関に代わって情報を収集または保持していない場合、または機関に代わってシステムを使用または操作していない場合、および CUI レジストリにリストされている CUI カテゴリに対する認可法、規制、または政府全体のポリシーによって CUI の機密性を保護するための特定の保護要件が規定されていない場合に、CUI の機密性を保護するための推奨セキュリティ要件を機関に提供します。要件は、CUI を処理、保存、および/または送信する、またはそのようなコンポーネントを保護する、非連邦システムおよび組織のすべてのコンポーネントに適用されます。セキュリティ要件は、連邦政府機関が、それらの機関と非連邦組織の間で締結された契約手段またはその他の契約で使用することを目的としています。
SP 800-171 Rev. 2, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations | CSRC

自分なりに解釈した結果は以下のとおりです。

• 非連邦システムおよび組織に存在する管理された非機密情報 (CUI: Controlled Unclassified Information) に対するセキュリティ要件を示したもの
• CUI の保護は極めて重要であり、連邦政府が重要な任務および機能を正常に遂行する能力に直接影響を及ぼす可能性がある
• セキュリティ要件は CUI を処理、保存、送信する非連邦システムおよび組織のすべてのコンポーネントに適用される

また、NIST SP 800-171 Rev.2 は 2024 年 5 月 14 日に廃止され、NIST SP 800-171 Rev.3 に置き換えられていることも確認しました。

SP 800-171 Rev. 2, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations | CSRC

もし、NIST SP 800-171 Rev.2 と Rev.3 の違いについて気になる方がいれば、よくある質問 にまとめられていましたので詳細をご確認ください。

参考までに機械翻訳の結果を記載しておきます。

• 明確さと顧客の理解を向上させるために導入情報を合理化
• 基本的なセキュリティ要件と派生的なセキュリティ要件の区別を排除
• SP 800-53r5コントロールカタログ、SP 800-53B中程度のコントロールベースライン、および調整基準の変更を反映するためにセキュリティ要件とファミリーを更新
• セキュリティ要件の具体性を高め、曖昧さを排除し、実装の効果を向上させ、評価の範囲を明確化
• NFOコントロール調整カテゴリーを排除
• 他の関連コントロールによって対処されるコントロール（ORC）のための新しいコントロール調整カテゴリーを導入
• 柔軟性を高め、組織がリスクをより適切に管理できるよう、選択されたセキュリティ要件に組織定義パラメータ（ODP）を導入
• ODP値の割り当て責任を明確化
• 時代遅れで冗長なセキュリティ要件を削除
• 一貫性と使いやすさのために、セキュリティ要件（または要件の一部）を他の要件と組み合わせ
• コントロールの分類変更によりセキュリティ要件を追加
• 要件の個々の部分に合わせて、議論セクションの内容を順序付け
• 選択されたコントロールとコントロール項目（コントロールのサブパート）の調整カテゴリーを修正
• 調整とマッピングの表を更新し、リビジョン2とリビジョン3の間の変更を概説する移行マッピング表を作成
• 簡単に参照できるよう、ODPを1か所にまとめた付録を追加
• SP 800-171r3のNIST出版詳細ウェブサイトで別文書として利用可能なCUIオーバーレイを開発
• SP 800-171Ar3の番号付け形式とより一致させ、自動化ツールの使用をサポートするために、セキュリティ要件番号に先頭のゼロを追加

Security Hub でも近い将来 Rev.3 に対応する日が来るのでしょうか。

利用可能リージョン

現在 Security Hub を利用可能なすべてのリージョンで利用可能です。

コントロール一覧

2025 年 6 月 2 日時点でサポートされているコントロールは 63 ありました。

コントロール一覧

全文を出力します。文字数が多いため、分割して送信します。

1. [ACM.1] 輸入された証明書および ACM 発行の証明書は、指定された期間後に更新する必要があります
2. [APIGateway.2] API Gateway REST API ステージは、バックエンド認証に SSL 証明書を使用するように構成する必要があります
3. [CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります
4. [CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間で非推奨の SSL プロトコルを使用しないでください
5. [CloudTrail.2] CloudTrail では保存時の暗号化が有効になっている必要があります
6. [CloudTrail.3] 少なくとも 1 つの CloudTrail トレイルを有効にする必要があります
7. [CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要がある
8. [CloudWatch.1] 「root」ユーザーの使用状況に関するログメトリックフィルタとアラームが存在する必要がある
9. [CloudWatch.2] 不正な API 呼び出しに対するログメトリクスフィルタとアラームが存在することを確認する
10. [CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルタとアラームが存在することを確認する
11. [CloudWatch.5] CloudTrail の設定変更に対してログメトリクスフィルタとアラームが存在することを確認する
12. [CloudWatch.6] AWS マネジメントコンソールの認証失敗に対するログメトリクスフィルターとアラームが存在することを確認する
13. [CloudWatch.7] 顧客管理キーの無効化またはスケジュールされた削除のためのログメトリックフィルターとアラームが存在することを確認する
14. [CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルタとアラームが存在することを確認する
15. [CloudWatch.9] AWS Config の設定変更に対するログメトリクスフィルターとアラームが存在することを確認する
16. [CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認する
17. [CloudWatch.11] ネットワークアクセス制御リスト（NACL）の変更に対するログメトリックフィルタとアラームが存在することを確認する
18. [CloudWatch.12] ネットワークゲートウェイの変更に対するログメトリックフィルタとアラームが存在することを確認する
19. [CloudWatch.13] ルートテーブルの変更に対するログメトリックフィルタとアラームが存在することを確認する
20. [CloudWatch.14] VPC の変更に対するログメトリクスフィルターとアラームが存在することを確認する
21. [CloudWatch.15] CloudWatch アラームには特定のアクションを設定する必要があります
22. [EC2.6] VPC フローログはすべての VPC で有効にする必要がある
23. [EC2.10] Amazon EC2 は、Amazon EC2 サービス用に作成された VPC エンドポイントを使用するように設定する必要があります。
24. [EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しない必要があります。
25. [EC2.16] 使用されていないネットワークアクセス制御リストは削除する必要がある
26. [EC2.18] セキュリティグループは、許可されたポートに対してのみ無制限の着信トラフィックを許可する必要がある
27. [EC2.19] セキュリティグループは、高リスクのポートへの無制限のアクセスを許可すべきではない
28. [EC2.20] AWS サイト間 VPN 接続の両方の VPN トンネルが稼働している必要があります
29. [EC2.21] ネットワーク ACL は 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しない
30. [EC2.51] EC2 クライアント VPN エンドポイントではクライアント接続ログが有効になっている必要があります
31. [ELB.2] SSL/HTTPS リスナーを備えた Classic Load Balancer は AWS Certificate Manager が提供する証明書を使用する必要があります
32. [ELB.3] Classic Load Balancer リスナーは HTTPS または TLS 終端で設定する必要があります
33. [ELB.8] SSL リスナーを備えたクラシックロードバランサーは、強力な AWS 設定を持つ定義済みのセキュリティポリシーを使用する必要があります。
34. [GuardDuty.1] GuardDuty を有効にする必要があります
35. [IAM.1] IAM ポリシーでは完全な「*」管理者権限を許可すべきではない
36. [IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください
37. [IAM.7] IAM ユーザーのパスワードポリシーは強力な設定にする必要がある
38. [IAM.8] 使用されていない IAM ユーザー認証情報は削除する必要がある
39. [IAM.10] IAM ユーザーのパスワードポリシーは強力な設定にする必要がある
40. [IAM.11] IAM パスワードポリシーで少なくとも 1 つの大文字が必要であることを確認する
41. [IAM.12] IAM パスワードポリシーで少なくとも 1 つの小文字が必要であることを確認する
42. [IAM.13] IAM パスワードポリシーに少なくとも 1 つの記号が必要であることを確認する
43. [IAM.14] IAM パスワードポリシーで少なくとも 1 つの数字が必要であることを確認する
44. [IAM.15] IAM パスワードポリシーでパスワードの最小文字数が 14 文字以上であることを確認する
45. [IAM.16] IAM パスワードポリシーでパスワードの再利用を防止する
46. [IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に期限切れになるようにする
47. [IAM.18] AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認する
48. [IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります
49. [IAM.21] 作成する IAM カスタマー管理ポリシーでは、サービスに対するワイルドカードアクションを許可しないでください
50. [IAM.22] 45 日間使用されていない IAM ユーザー認証情報は削除する必要がある
51. [NetworkFirewall.2] ネットワークファイアウォールのログ記録を有効にする必要がある
52. [NetworkFirewall.3] ネットワークファイアウォールポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります。
53. [NetworkFirewall.5] ネットワークファイアウォールポリシーのデフォルトのステートレスアクションは、断片化されたパケットをドロップまたは転送するべきである
54. [NetworkFirewall.6] ステートレスネットワークファイアウォールルールグループは空にできません
55. [S3.5] S3 汎用バケットは SSL を使用したリクエストを要求する必要がある
56. [S3.6] S3 汎用バケットポリシーは他の AWS アカウントへのアクセスを制限する必要がある
57. [S3.9] S3 汎用バケットではサーバーアクセスログを有効にする必要がある
58. [S3.11] S3 汎用バケットではイベント通知が有効になっている必要がある
59. [S3.14] S3 汎用バケットではバージョン管理を有効にする必要がある
60. [S3.17] S3 汎用バケットは AWS KMS キーで暗号化する必要がある
61. [SNS.1] SNS トピックは AWS KMS を使用して保存時に暗号化する必要がある
62. [SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後にパッチコンプライアンスステータスが COMPLIANT になる必要があります
63. [WAF.12] AWS WAF ルールでは CloudWatch メトリクスが有効になっている必要があります

なお、既存のコントロールで構成されており、NIST SP 800-171 Rev.2 向けに新しく追加されたコントロールはありませんでした。

NIST SP 800-171 Rev.2 を有効化する

NIST SP 800-171 Rev.2 は、デフォルトでは無効化されているため、利用時に有効化する必要があります。

有効化されるまでに2分くらい掛かるので待ちます。

有効化直後ではスコアは表示されませんので有効化してから翌日に確認するくらいが良いと思います。

私の環境では 379 分後に表示されるというメッセージが出力されました。

スコア結果や各コントロールの確認結果は、他のセキュリティ標準と変わらない内容だと思ったので、本エントリでの確認はここまでとします。

おわりに

以上 AWS Security Hub のセキュリティ標準で新しくサポートされた NIST SP 800-171 Rev.2 の紹介でした。

日本向けのワークロードで NIST SP 800-171 Rev.2 を使ってセキュリティ要件の準拠を求めるケースは少ない印象です。

ワークロードに求めるセキュリティ要件に照らし合わせて、利用するセキュリティ標準を選択しましょう。

本エントリがどなたかのお役に立てれば幸いです。