こんにちは、Orca Security 担当の尾谷です。
今日は、Orca Security で利用できるコンプライアンス・フレームワークをご紹介します。
クラウド環境におけるベストプラクティスは、さまざまな団体が検討した知見を公開しています。
有名なものですと、米国の CIS (Center for Internet Security) が策定した、CIS Controls があります。AWS では、この CIS Controls に準拠した CIS AWS Foundations Benchmark が公開されており、AWS Security Hub にてバージョン 1.2.0 と 1.4.0 がサポートされています。(2023 年 4 月現在。)
例えば、
- 45 日間以上使用されていない認証情報は無効にする
- どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可していないことを確認する
など AWS アカウントを守るためのセキュリティ設定や、
- CloudTrail がすべてのリージョンで有効であることを確認する
- すべての VPCs で VPC フローログ記録が有効になっていることを確認する
といった証跡に関する項目など多岐にわたります。
こうした項目は、AWS Security Hub を有効にすることで、適用できていないものを検知することができますが、Orca Security では以下*1のフレームワークをサポートしています。
CIS AWS Foundations Benchmark v.1.2.0 をチェック
それでは、例として CIS AWS Foundations Benchmark v.1.2.0 をチェックしてみたいと思います。詳細は以下に記載がされています。
CIS AWS Foundations Benchmark v.1.2.0
左側のメニューペインをクリックすると、Compliance という項目がありますのでクリックします。すると、さまざまなフレームワークの採点結果が表示されます。
ページ中断にスクロールしていくと、AWS CIS 1.2.0 がありますのでクリックします。
すると、ベンチマークされた各項目がリストアップされて列挙されます。
このデモ環境では、全 51 項目のうち適合している項目が 7 つ、失敗している項目が 39 あることがわかります。ボロボロですね。
なお、CIS AWS Foundations Benchmark v.1.2.0 では見つけきれませんでしたが、手動アクションが必要なコンプライアンス チェック、または Orca の範囲外のコンプライアンス チェックは Unscored の下に表示されます。
[ Failed (39)] のタブをクリックしてから、[ 1 Identity and Access Management ] をクリックしてドリルダウンすると、 「項番 1.1 - ルートユーザーの使用を避ける」から順番に不適合であった項目が列挙されていることがわかります。
更にクリックして開いていくと、
右側にペインが表示されまして、Remediation (修正方法) に対応方法が表示されます。
AWS ドキュメントに記載の修正方法と Orca Security が示唆する修正方法は必ずしも一致していない印象ですが、Orca Security の方が手順がシンプルな印象でした。(個人の感想です。)
なお、上図の [ GO TO ALERT ] リンクをクリックすると、本問題に関するアラートをまとめてチェックすることができます。
利用できるフレームワーク一覧
最後に利用できるフレームワーク一覧を掲載しておきます。
2023/04/28 現在、Orca のドキュメントに記載されている項目で、変わっていくと考えます。
ご利用になる際に、ドキュメントを確認いただくか、弊社までお問い合わせください。
| Framework - Cloud | Category | Supported Version |
|---|---|---|
| Australian Government Information Security Manual (ISM) | Cloud | 2022 |
| AWS Foundational Security Best Practices | Cloud | 2023 |
| CIS AZURE | Cloud | 1.2.0 |
| CIS AZURE | Cloud | 1.4.0 |
| CIS AZURE | Cloud | 1.5.0 |
| CIS AZURE | Cloud | 2.0.0 |
| CCPA (The California Consumer Privacy Act) | Cloud | 1.0.0 |
| CIS Alibaba Cloud Foundation | Cloud | 1.0.0 |
| CIS AWS | Cloud | 1.3.0 |
| CIS AWS | Cloud | 1.4.0 |
| CIS AWS | Cloud | 1.5.0 |
| CIS Azure AKS | Cloud | 1.0.0 |
| CIS EKS | Cloud | 1.0.1 |
| CIS GCP | Cloud | 1.1.0 |
| CIS GCP | Cloud | 1.2.0 |
| CIS GCP | Cloud | 1.3.0 |
| CIS GCP | Cloud | 2.0.0 |
| CIS General Controls | Cloud | v8 |
| CIS GKE | Cloud | 1.2.0 |
| CIS K8S | Cloud | 1.0.0 |
| CJIS (Criminal Justice Information Services) | Cloud | 5.8 |
| CSA CCM (cybersecurity control framework for cloud computing) | Cloud | v4 |
| Data Security Posture Management Best Practices (DSPM) | Cloud | 1 |
| FedRAMP (The Federal Risk and Authorization Management Program) | Cloud | Rev 4 |
| GDPR (General Data Protection Regulation) | Cloud | 1.0.0 |
| HIPAA (The Health Insurance Portability and Accountability Act) | Cloud | 1.0.0 |
| HITRUST | Cloud | 9.6 |
| ISO 27017 | Cloud | 2015 |
| ISO 27701 | Cloud | 2019 |
| ISO/IEC 27001 | Cloud | 2013 |
| ISO/IEC 27001 | Cloud | 2022 |
| K8s OWASP Top 10 | Cloud | 2022 |
| Brazilian General Data Protection Law (LGPD) | Cloud | 2020 |
| Microsoft Cloud Security Benchmark (MCSB) | Cloud | v1 |
| Mitre ATT&CK | Cloud | v12 |
| Monetary Authority of Singapore Technology Risk Management (MASTRM) | Cloud | 2021 |
| NIST 800-171 | Cloud | Rev 2 |
| NIST 800-190 | Cloud | 2017 |
| NIST 800-53 | Cloud | Rev 4 |
| NIST 800-53 | Cloud | Rev 5 |
| NIST-CSF (NIST Cyber Security Framework) | Cloud | 1.1 |
| NZISM (New Zealand Information Security Manual) | Cloud | 3.6 |
| CIS for Oracle (OCI) | Cloud | 1.2.0 |
| Orca best practices | Cloud | 2023 |
| Orca Cost Optimization | Cloud | 1.0.0 |
| PCI DSS (The Payment Card Industry Data Security Standard) | Cloud | 3.2.1 |
| Personal Data Protection Act (PDPA) | Cloud | 2023 |
| RDS PostgreSQL | Cloud | v14 |
| SOC2 | Cloud | 2020 |
| STIG K8S | Cloud | 1 |
| UK Cyber Essentials | Cloud | 3 |
| Framework - OS | Category | Supported Version |
|---|---|---|
| CIS Amazon linux | Linux | 2.1.0 |
| CIS Amazon linux 2 | Linux | 2.0.0 |
| CIS Amazon Linux 2022 | Linux | 1.0.0 |
| CIS Centos 7 | Linux | 3.1.2 |
| CIS Centos 8 | Linux | 1.0.0 |
| CIS Debian 8 | Linux | 2.0.1 |
| CIS Debian 9 | Linux | 1.0.1 |
| CIS Debian 10 | Linux | 1.0.0 |
| CIS Debian family | Linux | 1.0.0 |
| CIS Distribution Independent Linux | Linux | 2.0.0 |
| CIS Red Hat Enterprise Linux (RHEL) v7 | Linux | 3.1.1 |
| CIS Red Hat Enterprise Linux (RHEL) v8 | Linux | 2.0.0 |
| CIS Red Hat Enterprise Linux (RHEL) v9 | Linux | 1.0.0 |
| CIS Rocky v8 | Linux | 1.0.0 |
| CIS SUSE 12 | Linux | 1.0.0 |
| CIS SUSE 15 | Linux | 1.0.0 |
| CIS Ubuntu 14.04 | Linux | 2.1.0 |
| CIS Ubuntu 16.04 | Linux | 1.1.0 |
| CIS Ubuntu 18.04 | Linux | 2.1.0 |
| CIS Ubuntu 20.04 | Linux | 1.1.0 |
| CIS Ubuntu 22.04 | Linux | 1.0.0 |
| CIS Windows 10 | Windows | 1.12.0 |
| CIS Windows Server 2008 R2 | Windows | 3.2.0 |
| CIS Windows server 2012 R2 | Windows | 2.5.0 |
| CIS Windows Server 2016 | Windows | 1.4.0 |
| CIS Windows Server 2019 | Windows | 1.3.0 |
| CIS Windows Server 2022 | Windows | 1.0.0 |
| Framework - Software | Category | Supported Version |
|---|---|---|
| CIS Apache 2.2 | Software | 3.6.0 |
| CIS Apache 2.4 | Software | 1.5.0 |
| CIS Docker | Software | 1.3.1 |
| CIS PostgreSQL 14 | Software | 1.0.0 |
*1:利用できるフレームワーク一覧 ↑
