どのようなシステムでもセキュリティへの考慮は必要です。
インターネットに接続する以上は「公開情報しかないから」「開発環境だから」ですむ話ではありません。
不正にアクセスされたら踏み台に使われて信用を失うかもしれません。高額請求やアカウント停止の可能性もあるでしょう。
一方で、適切なセキュリティ設定を行うにはセキュリティに関する専門知識が必要です。
そのため、世の中にはセキュリティに関するガイドラインが各所から出ています。
その1つとしてCISベンチマークが存在します。
CISベンチマークについては、以前にIAMパスワードポリシーについて記事にしています。
今回は、AWS構築ためにどのようなCISベンチマークがあるのか紹介します。
CISベンチマークとは
CIS(Center for Internet Security)は、サイバーセキュリティに関するベストプラクティスの開発、検証、推進等を行う非営利団体です。
CISベンチマークは、このCISが作成したセキュリティガイドラインです。
AWSのページで日本語による紹介がされていますので、こちらが分かりやすいかと思います。
これらはセキュリティ診断の基準に利用されたり、一部はAWS Security Hub等にも取り込まれています。
世界的にも認められたセキュリティガイドラインと言えるかと思います。
CISベンチマークは製品やサービスごとに作成され、セキュリティ設定の推奨事項が具体的に記載されていることが特徴です。
たとえば、AWSサービス向けのベンチマークの中には、AWS CLIのコマンドやCloudWatch Logsで監視するためのフィルター文字列が含まれています。
他にもNginx等のミドルウェアや各OS向けのベンチマークも存在し、実際の設定方法や設定確認のためのコマンドが記載されています。
AWSに関するCISベンチマーク
AWSを利用するにあたって、以下のようなCISベンチマークが存在します(2023年9月確認時)。
| CISベンチマーク | 概要 |
|---|---|
| Amazon Web Services Foundations Benchmark | AWSの基本的なセキュリティ基準で、他のベンチマークもこれに従うことが前提となっています。 AWSアカウント全体のセキュリティについて記載されていますので、最初に目を通すことをオススメします。 |
| AWS Compute Services Benchmark | AWSのサービスの中でもコンピューティングのサービスに関するセキュリティ基準です。 EC2やLambda等のサービスが対象です。最新の対象サービスは実際にドキュメントを確認してください。 |
| AWS End User Compute Services Benchmark | AWSのサービスの中でもエンドユーザコンピューティングのサービスに関するセキュリティ基準です。 WorkSpacesやAppStream等のサービスが対象です。最新の対象サービスは実際にドキュメントを確認してください。 |
| Amazon Web Services Three-tier Web Architecture Benchmark | 3層Webアーキテクチャ(Web-App-DBの3層構造)を安全に運用するための基準です。 |
| Amazon Elastic Kubernetes Service (EKS) Benchmark | Kubenetesを実行するサービスであるEKSを利用する上でのセキュリティ基準です。 CISのベンチマークダウンロードサイトではCloud ProvidesのAWSの下ではなくKubernetesの下にダウンロードリンクがあります。 |
※ 最新のCISベンチマークは以下からご確認ください。
CIS Amazon Web Services Foundations Benchmark
もっとも基本的なベンチマークで、AWSを利用する際は最初に目を通すことをオススメします。
AWS Security HubやAWS Audit Managerに取り込まれているのもこちらのベンチマークです。
| 章 | 項目数 | 概要 |
|---|---|---|
| Identity and Access Management | 22 | AWS IAMだけでなくrootユーザ等も含めたアクセス管理の推奨事項です |
| Storage | 9 | S3、EBS、RDS、EFSの推奨事項です |
| Logging | 11 | CloudTrailやVPCフローログといったログの記録に関する推奨事項です |
| Monitoring | 16 | セキュリティ監視に関する推奨事項です |
| Networking | 8 | NACLやセキュリティグループ等のネットワークの推奨事項です |
CIS AWS Compute Services Benchmark
AWSのサービスの中でもコンピューティングのサービスに関するセキュリティ基準です。
章の構成はサービスごとになっています。
| 章 | 項目数 | 備考 |
|---|---|---|
| EC2 | 21 | ここにはAMIやEBSの推奨事項も含みます。OSやミドルウェア等は対象外になるので、それぞれのベンチマークを参照してください |
| Lightsail | 12 | |
| Lambda | 12 | |
| Batch | 2 | |
| Elastic Beanstalk | 4 | |
| Serverless Application Repository | 0 | Lambdaや各サービスの推奨事項が該当するとされています |
| AWS Outposts | 0 | AWS Foundations Benchmarkや他のサービス固有の推奨事項が該当するとされています |
| EC2 Image Builder | 0 | EC2 Image Builder自体に関する推奨事項はないですが、責任が軽減されるわけではないとされています |
| AWS App Runner | 1 | 推奨事項の考慮は、App Runner自体だけでなく開発やコンテナイメージで必要とされています |
| AWS SimSpace Weaver | 1 | SimSpace Weaver自体に関する推奨事項はないですが、責任が軽減されるわけではないとされています |
CIS AWS End User Compute Services Benchmark
AWSのサービスの中でもエンドユーザコンピューティングのサービスに関するセキュリティ基準です。 章の構成はサービスごとになっています。
| 章 | 項目数 | 備考 |
|---|---|---|
| WorkSpaces | 18 | |
| WorkDocs | 8 | |
| AppStream 2.0 | 7 | |
| WorkLink | 2 |
CIS Amazon Web Services Three-tier Web Architecture Benchmark
3層Webアーキテクチャ(Web-App-DBの3層構造)での推奨事項です。
サービスごとの章立てではないので、すべてに目を通す必要があるかと思います。
3層構造でない場合も参考になる項目はあるかと思います。
| 章 | 項目数 | 備考 |
|---|---|---|
| Data Protection | 17 | EBSやRDSのストレージだけでなく、ELBのTLS設定も含むデータ保護に関する推奨事項です |
| Identity and Access Management | 10 | IAMユーザ等ではなく、IAMロールやSNSトピックのポリシーに関する推奨事項です |
| Business Continutity | 15 | 冗長化やバックアップを始め、事業継続性に関する推奨事項です |
| Event Monitoring and Response | 8 | 監視に関する推奨事項です |
| Audit and Logging | 12 | 監査やログの保管に関する推奨事項です |
| Networking | 34 | DNS、VPN、セキュリティグループ等に関する推奨事項です |
CIS Amazon Elastic Kubernetes Service (EKS) Benchmark
EKSを利用する際の推奨事項です。
サービスごとの章立てではないので、すべてに目を通す必要があるかと思います。
| 章 | 項目数 | 備考 |
|---|---|---|
| Control Plane Components | 0 | 責任分界点等についての説明になっています |
| Control Plane Configuration | 1 | EKSのログ出力設定に関する推奨事項のみになっています |
| Worker Nodes | 15 | ワーカーノードに関する推奨事項です |
| Policies | 23 | Kubernetesのポリシーに関するもので、Service Account、CNIプラグイン、Pod Security Standards等に関する推奨事項です |
| Managed services | 13 | EKSや周辺サービスに関する推奨事項です。ECRに関するものも含まれます |
その他のベンチマーク
CISベンチマークは、Nginx等のミドルウェア、OS、さらにブラウザやモバイルデバイスまでさまざまな製品に対するものが存在します。
以下はその一例です。
- CIS GitHub Benchmark
- CIS NGINX Benchmark
- CIS Apache Tomcat 10 Benchmark
- CIS Distribution Independent Linux
- CIS Amazon Linux 2023 Benchmark
- CIS Red Hat Enterprise Linux 9 Benchmark
- CIS Google Chrome Benchmark
- CIS Google Android Benchmark
- CIS Apple iOS 16 and iPadOS 16 Benchmark
AWSを使うからAWSのものだけ読めばいいというわけではなく、利用するOSやミドルウェア等にもベンチマークが存在します。
どのようなベンチマークがあるか確認し、利用する製品に関するものに目を通しておくとより安全なシステムを構築できるかと思います。
最後に
CISベンチマークは具体的な設定方法や確認方法まで書かれています。
すべてのサービスを網羅できているわけではありませんが、セキュリティ対策を行うための強力なツールです。
まずはAmazon Web Services Foundations Benchmarkから確認してみてください。
