CIS AWS ベンチマーク のバージョン1.1と1.2の違いを調べてみた

insightwatch

insightwatch開発チームの芳賀です。
CIS AWS ベンチマーク のバージョンアップで変わった点を調べてみました。

CIS AWS ベンチマークとは

CISとはアメリカの非営利団体で、セキュリティのベストプラクティスを提供する等の活動でサイバーセキュリティの標準化に取り組む団体です。CISが提供するAWSのセキュリティに関するベストプラクティスのガイダンスがCIS AWS ベンチマークです。

CIS Amazon Web Services Foundations Benchmark

CIS AWS ベンチマークは、2016/2/1にInitial Releaseされ、2016/11/9にバージョン1.1が、2018/5/23にバージョン1.2がリリースされました。

バージョンを比較して気づいたこと

CIS AWS ベンチマークのドキュメントではチェックの条件や方法が記載されているのですが、その幾つかでAWSの環境変更に追随した内容へ変更されていました。また、削除されたチェック項目もありました。

大きな変更では、いままで各リージョンでAWS CloudTrailが設定されている必要がありましたが、AWS CloudTrailがマルチリージョンに対応したため、CISのチェック条件も追随した変更がありました。CIS 3 Monitoring ではAWS CloudTrailに関するチェックとなっており、この全てのチェック項目で影響がありました。

変更されたチェック項目は

1.4 Ensure access keys are rotated every 90 days or less(アクセスキーを90日以内にローテーションさせる)

アクセスキーが変更された後にキーが利用されている事がチェック条件でしたが、アクセスキーが変更された事のみに条件が変更されました。

1.14 Ensure hardware MFA is enabled for the "root" account(rootアカウントをハードウェアMFAで保護する)

以前は仮想MFAが設定されていた時にNGという条件でしたが、MFA自体が設定されていない場合もNGにするという条件に変更されました。

2.1 Ensure CloudTrail is enabled in all regions(全リージョンでCloudTrailが有効であること)

各リージョンでAWS CloudTrailが設定されている必要がありましたが、AWS CloudTrailがマルチリージョンに対応したため、1つ以上のTrailでマルチリージョンが有効になっていることという条件に変更になりました。

2.3 Ensure the S3 bucket CloudTrail logs to is not publicly accessible(CloudTrailログのS3バケットが公開設定となっていないこと)

以前はパブリック公開設定のチェック条件としてPrincipal*でしたが、これに加えてPrincipalAWS:*となっていない事が追加されました。(Amazon S3 ポリシーでのプリンシパルの指定

2.5 Ensure AWS Config is enabled in all regions(全リージョンでAWS Configが有効であること)

AWS Configが有効になっている事がチェック条件でしたが、これに加えてレコーダーの最新状態が正常であることが追加されました。

CIS 3 Monitoring

CIS 3 モニタリングの全てのチェック項目でマルチリージョンになっていることが前提に変わりました。

削除されたチェック項目は

以下の2つがバージョン1.2で削除されました。

1.17 Enable detailed billing(AWS のコストと使用状況レポートの有効化)

請求レポートを有効化する必要がありましたが、このチェック項目が削除されました。

1.18 Ensure IAM Master and IAM Manager roles are active(IAMマスターロールとIAMマネージャーロールを作成し運用していること)

IAMに関する操作権限を一般的なユーザーから分離する必要がありましたが、このチェック項目が削除されました。

3.15 Ensure appropriate subscribers to each SNS topic(SNS TopicのSubscriberに適切な連絡先が設定されていること)

SNSトピックに適切なサブスクライブが設定されている必要がありましたが、このチェック項目が削除されました。

まとめ

AWSのサービスは日々変更されており、CIS AWS ベンチマークの情報も追随してされていくことを確認できました。ただ、CIS AWS ベンチマークではチェック条件や方法が記載されていますが、この内容の更新が日々のサービスの更新へ追随していない事もありますので、チェック項目の目的やセキュリティの問題の本質を確認し、なぜ対応する必要があるのかを理解しておくことが重要だと思いました。 CIS AWS ベンチマークのガイダンスには意図や目的も記載されていますので、一読してみる事をおすすめいたします。

インサイトウォッチが CIS AWS ベンチマーク バージョン1.2に対応します

最後にみなさん、インサイトウォッチをご利用でしょうか?

insightwatchを使ってみる

インサイトウォッチではCIS AWS ベンチマーク バージョン1.1に対応していましたが、現在、バージョン1.2への対応へ向けた開発を進めています。近日中にリリースできるよう準備中しています。