ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security で利用できるコンプライアンス・フレームワークをご紹介します

フォージビジョン Orca Security のサービスサイト がオープンしました。

コーポレートサイトで活用事例を公開中!

こんにちは、Orca Security 担当の尾谷です。

今日は、Orca Security で利用できるコンプライアンス・フレームワークをご紹介します。

クラウド環境におけるベストプラクティスは、さまざまな団体が検討した知見を公開しています。

有名なものですと、米国の CIS (Center for Internet Security) が策定した、CIS Controls があります。AWS では、この CIS Controls に準拠した CIS AWS Foundations Benchmark が公開されており、AWS Security Hub にてバージョン 1.2.0 と 1.4.0 がサポートされています。(2023 年 4 月現在。)

CIS AWS Foundations Benchmark

例えば、

  • 45 日間以上使用されていない認証情報は無効にする
  • どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可していないことを確認する

など AWS アカウントを守るためのセキュリティ設定や、

  • CloudTrail がすべてのリージョンで有効であることを確認する
  • すべての VPCs で VPC フローログ記録が有効になっていることを確認する

といった証跡に関する項目など多岐にわたります。

こうした項目は、AWS Security Hub を有効にすることで、適用できていないものを検知することができますが、Orca Security では以下*1のフレームワークをサポートしています。

CIS AWS Foundations Benchmark v.1.2.0 をチェック

それでは、例として CIS AWS Foundations Benchmark v.1.2.0 をチェックしてみたいと思います。詳細は以下に記載がされています。

CIS AWS Foundations Benchmark v.1.2.0

左側のメニューペインをクリックすると、Compliance という項目がありますのでクリックします。すると、さまざまなフレームワークの採点結果が表示されます。

デモ環境です。実際に運用している環境ではありません。

ページ中断にスクロールしていくと、AWS CIS 1.2.0 がありますのでクリックします。

すると、ベンチマークされた各項目がリストアップされて列挙されます。
このデモ環境では、全 51 項目のうち適合している項目が 7 つ、失敗している項目が 39 あることがわかります。ボロボロですね。

なお、CIS AWS Foundations Benchmark v.1.2.0 では見つけきれませんでしたが、手動アクションが必要なコンプライアンス チェック、または Orca の範囲外のコンプライアンス チェックは Unscored の下に表示されます。

[ Failed (39)] のタブをクリックしてから、[ 1 Identity and Access Management ] をクリックしてドリルダウンすると、 「項番 1.1 - ルートユーザーの使用を避ける」から順番に不適合であった項目が列挙されていることがわかります。

更にクリックして開いていくと、

右側にペインが表示されまして、Remediation (修正方法) に対応方法が表示されます。
AWS ドキュメントに記載の修正方法と Orca Security が示唆する修正方法は必ずしも一致していない印象ですが、Orca Security の方が手順がシンプルな印象でした。(個人の感想です。)

なお、上図の [ GO TO ALERT ] リンクをクリックすると、本問題に関するアラートをまとめてチェックすることができます。

利用できるフレームワーク一覧

最後に利用できるフレームワーク一覧を掲載しておきます。
2023/04/28 現在、Orca のドキュメントに記載されている項目で、変わっていくと考えます。
ご利用になる際に、ドキュメントを確認いただくか、弊社までお問い合わせください。

Framework - Cloud Category Supported Version
Australian Government Information Security Manual (ISM) Cloud 2022
AWS Foundational Security Best Practices Cloud 2023
CIS AZURE Cloud 1.2.0
CIS AZURE Cloud 1.4.0
CIS AZURE Cloud 1.5.0
CIS AZURE Cloud 2.0.0
CCPA (The California Consumer Privacy Act) Cloud 1.0.0
CIS Alibaba Cloud Foundation Cloud 1.0.0
CIS AWS Cloud 1.3.0
CIS AWS Cloud 1.4.0
CIS AWS Cloud 1.5.0
CIS Azure AKS Cloud 1.0.0
CIS EKS Cloud 1.0.1
CIS GCP Cloud 1.1.0
CIS GCP Cloud 1.2.0
CIS GCP Cloud 1.3.0
CIS GCP Cloud 2.0.0
CIS General Controls Cloud v8
CIS GKE Cloud 1.2.0
CIS K8S Cloud 1.0.0
CJIS (Criminal Justice Information Services) Cloud 5.8
CSA CCM (cybersecurity control framework for cloud computing) Cloud v4
Data Security Posture Management Best Practices (DSPM) Cloud 1
FedRAMP (The Federal Risk and Authorization Management Program) Cloud Rev 4
GDPR (General Data Protection Regulation) Cloud 1.0.0
HIPAA (The Health Insurance Portability and Accountability Act) Cloud 1.0.0
HITRUST Cloud 9.6
ISO 27017 Cloud 2015
ISO 27701 Cloud 2019
ISO/IEC 27001 Cloud 2013
ISO/IEC 27001 Cloud 2022
K8s OWASP Top 10 Cloud 2022
Brazilian General Data Protection Law (LGPD) Cloud 2020
Microsoft Cloud Security Benchmark (MCSB) Cloud v1
Mitre ATT&CK Cloud v12
Monetary Authority of Singapore Technology Risk Management (MASTRM) Cloud 2021
NIST 800-171 Cloud Rev 2
NIST 800-190 Cloud 2017
NIST 800-53 Cloud Rev 4
NIST 800-53 Cloud Rev 5
NIST-CSF (NIST Cyber Security Framework) Cloud 1.1
NZISM (New Zealand Information Security Manual) Cloud 3.6
CIS for Oracle (OCI) Cloud 1.2.0
Orca best practices Cloud 2023
Orca Cost Optimization Cloud 1.0.0
PCI DSS (The Payment Card Industry Data Security Standard) Cloud 3.2.1
Personal Data Protection Act (PDPA) Cloud 2023
RDS PostgreSQL Cloud v14
SOC2 Cloud 2020
STIG K8S Cloud 1
UK Cyber Essentials Cloud 3
Framework - OS Category Supported Version
CIS Amazon linux Linux 2.1.0
CIS Amazon linux 2 Linux 2.0.0
CIS Amazon Linux 2022 Linux 1.0.0
CIS Centos 7 Linux 3.1.2
CIS Centos 8 Linux 1.0.0
CIS Debian 8 Linux 2.0.1
CIS Debian 9 Linux 1.0.1
CIS Debian 10 Linux 1.0.0
CIS Debian family Linux 1.0.0
CIS Distribution Independent Linux Linux 2.0.0
CIS Red Hat Enterprise Linux (RHEL) v7 Linux 3.1.1
CIS Red Hat Enterprise Linux (RHEL) v8 Linux 2.0.0
CIS Red Hat Enterprise Linux (RHEL) v9 Linux 1.0.0
CIS Rocky v8 Linux 1.0.0
CIS SUSE 12 Linux 1.0.0
CIS SUSE 15 Linux 1.0.0
CIS Ubuntu 14.04 Linux 2.1.0
CIS Ubuntu 16.04 Linux 1.1.0
CIS Ubuntu 18.04 Linux 2.1.0
CIS Ubuntu 20.04 Linux 1.1.0
CIS Ubuntu 22.04 Linux 1.0.0
CIS Windows 10 Windows 1.12.0
CIS Windows Server 2008 R2 Windows 3.2.0
CIS Windows server 2012 R2 Windows 2.5.0
CIS Windows Server 2016 Windows 1.4.0
CIS Windows Server 2019 Windows 1.3.0
CIS Windows Server 2022 Windows 1.0.0
Framework - Software Category Supported Version
CIS Apache 2.2 Software 3.6.0
CIS Apache 2.4 Software 1.5.0
CIS Docker Software 1.3.1
CIS PostgreSQL 14 Software 1.0.0

*1:利用できるフレームワーク一覧 ↑