Techfirm Cloud Architect Blog

テックファーム株式会社クラウドインフラグループのブログ

AWS環境構築に役立ちそうなCISベンチマーク

どのようなシステムでもセキュリティへの考慮は必要です。
インターネットに接続する以上は「公開情報しかないから」「開発環境だから」ですむ話ではありません。
不正にアクセスされたら踏み台に使われて信用を失うかもしれません。高額請求やアカウント停止の可能性もあるでしょう。

一方で、適切なセキュリティ設定を行うにはセキュリティに関する専門知識が必要です。
そのため、世の中にはセキュリティに関するガイドラインが各所から出ています。
その1つとしてCISベンチマークが存在します。

CISベンチマークについては、以前にIAMパスワードポリシーについて記事にしています。

今回は、AWS構築ためにどのようなCISベンチマークがあるのか紹介します。

CISベンチマークとは

CIS(Center for Internet Security)は、サイバーセキュリティに関するベストプラクティスの開発、検証、推進等を行う非営利団体です。
CISベンチマークは、このCISが作成したセキュリティガイドラインです。
AWSのページで日本語による紹介がされていますので、こちらが分かりやすいかと思います。

これらはセキュリティ診断の基準に利用されたり、一部はAWS Security Hub等にも取り込まれています。
世界的にも認められたセキュリティガイドラインと言えるかと思います。

CISベンチマークは製品やサービスごとに作成され、セキュリティ設定の推奨事項が具体的に記載されていることが特徴です。
たとえば、AWSサービス向けのベンチマークの中には、AWS CLIのコマンドやCloudWatch Logsで監視するためのフィルター文字列が含まれています。
他にもNginx等のミドルウェアや各OS向けのベンチマークも存在し、実際の設定方法や設定確認のためのコマンドが記載されています。

AWSに関するCISベンチマーク

AWSを利用するにあたって、以下のようなCISベンチマークが存在します(2023年9月確認時)。

CISベンチマーク 概要
Amazon Web Services Foundations Benchmark AWSの基本的なセキュリティ基準で、他のベンチマークもこれに従うことが前提となっています。
AWSアカウント全体のセキュリティについて記載されていますので、最初に目を通すことをオススメします。
AWS Compute Services Benchmark AWSのサービスの中でもコンピューティングのサービスに関するセキュリティ基準です。
EC2やLambda等のサービスが対象です。最新の対象サービスは実際にドキュメントを確認してください。
AWS End User Compute Services Benchmark AWSのサービスの中でもエンドユーザコンピューティングのサービスに関するセキュリティ基準です。
WorkSpacesやAppStream等のサービスが対象です。最新の対象サービスは実際にドキュメントを確認してください。
Amazon Web Services Three-tier Web Architecture Benchmark 3層Webアーキテクチャ(Web-App-DBの3層構造)を安全に運用するための基準です。
Amazon Elastic Kubernetes Service (EKS) Benchmark Kubenetesを実行するサービスであるEKSを利用する上でのセキュリティ基準です。
CISのベンチマークダウンロードサイトではCloud ProvidesのAWSの下ではなくKubernetesの下にダウンロードリンクがあります。

※ 最新のCISベンチマークは以下からご確認ください。

CIS Amazon Web Services Foundations Benchmark

もっとも基本的なベンチマークで、AWSを利用する際は最初に目を通すことをオススメします。
AWS Security HubやAWS Audit Managerに取り込まれているのもこちらのベンチマークです。

項目数 概要
Identity and Access Management 22 AWS IAMだけでなくrootユーザ等も含めたアクセス管理の推奨事項です
Storage 9 S3、EBS、RDS、EFSの推奨事項です
Logging 11 CloudTrailやVPCフローログといったログの記録に関する推奨事項です
Monitoring 16 セキュリティ監視に関する推奨事項です
Networking 8 NACLやセキュリティグループ等のネットワークの推奨事項です

CIS AWS Compute Services Benchmark

AWSのサービスの中でもコンピューティングのサービスに関するセキュリティ基準です。
章の構成はサービスごとになっています。

項目数 備考
EC2 21 ここにはAMIやEBSの推奨事項も含みます。OSやミドルウェア等は対象外になるので、それぞれのベンチマークを参照してください
Lightsail 12
Lambda 12
Batch 2
Elastic Beanstalk 4
Serverless Application Repository 0 Lambdaや各サービスの推奨事項が該当するとされています
AWS Outposts 0 AWS Foundations Benchmarkや他のサービス固有の推奨事項が該当するとされています
EC2 Image Builder 0 EC2 Image Builder自体に関する推奨事項はないですが、責任が軽減されるわけではないとされています
AWS App Runner 1 推奨事項の考慮は、App Runner自体だけでなく開発やコンテナイメージで必要とされています
AWS SimSpace Weaver 1 SimSpace Weaver自体に関する推奨事項はないですが、責任が軽減されるわけではないとされています

CIS AWS End User Compute Services Benchmark

AWSのサービスの中でもエンドユーザコンピューティングのサービスに関するセキュリティ基準です。 章の構成はサービスごとになっています。

項目数 備考
WorkSpaces 18
WorkDocs 8
AppStream 2.0 7
WorkLink 2

CIS Amazon Web Services Three-tier Web Architecture Benchmark

3層Webアーキテクチャ(Web-App-DBの3層構造)での推奨事項です。
サービスごとの章立てではないので、すべてに目を通す必要があるかと思います。
3層構造でない場合も参考になる項目はあるかと思います。

項目数 備考
Data Protection 17 EBSやRDSのストレージだけでなく、ELBのTLS設定も含むデータ保護に関する推奨事項です
Identity and Access Management 10 IAMユーザ等ではなく、IAMロールやSNSトピックのポリシーに関する推奨事項です
Business Continutity 15 冗長化やバックアップを始め、事業継続性に関する推奨事項です
Event Monitoring and Response 8 監視に関する推奨事項です
Audit and Logging 12 監査やログの保管に関する推奨事項です
Networking 34 DNS、VPN、セキュリティグループ等に関する推奨事項です

CIS Amazon Elastic Kubernetes Service (EKS) Benchmark

EKSを利用する際の推奨事項です。
サービスごとの章立てではないので、すべてに目を通す必要があるかと思います。

項目数 備考
Control Plane Components 0 責任分界点等についての説明になっています
Control Plane Configuration 1 EKSのログ出力設定に関する推奨事項のみになっています
Worker Nodes 15 ワーカーノードに関する推奨事項です
Policies 23 Kubernetesのポリシーに関するもので、Service Account、CNIプラグイン、Pod Security Standards等に関する推奨事項です
Managed services 13 EKSや周辺サービスに関する推奨事項です。ECRに関するものも含まれます

その他のベンチマーク

CISベンチマークは、Nginx等のミドルウェア、OS、さらにブラウザやモバイルデバイスまでさまざまな製品に対するものが存在します。
以下はその一例です。

  • CIS GitHub Benchmark
  • CIS NGINX Benchmark
  • CIS Apache Tomcat 10 Benchmark
  • CIS Distribution Independent Linux
  • CIS Amazon Linux 2023 Benchmark
  • CIS Red Hat Enterprise Linux 9 Benchmark
  • CIS Google Chrome Benchmark
  • CIS Google Android Benchmark
  • CIS Apple iOS 16 and iPadOS 16 Benchmark

AWSを使うからAWSのものだけ読めばいいというわけではなく、利用するOSやミドルウェア等にもベンチマークが存在します。
どのようなベンチマークがあるか確認し、利用する製品に関するものに目を通しておくとより安全なシステムを構築できるかと思います。

最後に

CISベンチマークは具体的な設定方法や確認方法まで書かれています。
すべてのサービスを網羅できているわけではありませんが、セキュリティ対策を行うための強力なツールです。
まずはAmazon Web Services Foundations Benchmarkから確認してみてください。