こんにちは、Orca Security 担当の尾谷です。
2023/07/21 に Orca Security のアップデート情報にて AWS CIS Benchmarks のバージョン 2.0.0 に Orca Security が対応した旨のアナウンスがありました。
CIS Benchmarks とは?
CIS Benchmarks という非営利企業が提供するコンプライアンスフレームワークで、セキュリティ担当者がサイバーセキュリティ攻撃に対して、実装すべき予防措置、防御措置を管理するのに役立つ、世界的に認められたセキュリティベストプラクティスです。
AWS Security Hub では、CIS AWS Foundations Benchmark という項目で、バージョン 1.4.0 とバージョン 1.2.0 がチェックできますが、Orca Security は、AWS CIS Benchmarks のバージョン 2.0.0 にいち早く対応しました。
Orca Security は、バージョン 1.3.0、1.4.0、1.5.0、2.0.0 に対応しています。
コンプライアンスフレームワークを有効化すると、接続しているアカウントがどれだけフレームワークに適用できているか、一目で確認ができます。
1.4.0 と 2.0.0 を比較してみた
AWS CIS Benchmarks の 1.4.0 と、2.0.0 を有効にして比較してみたところ、以下のような変更が見られました。
※ 確認したのは一部です。変更点は他にもございます。
※ Orca Security は、AWS Foundational Security Best Practices にも対応しました!
- 1.11 これまでは、IAM ユーザーを作成した際に、アクセスキーをデフォルトでセットアップしないが手動だったが、自動になった
- 1.22 CloudShellFullAccess が制限されていることを確認する が追加された
- 2.4 Elastic File System (EFS) が追加された
- 2.1.1 Amazon S3 の保存時のデフォルト暗号化が有効になっているか?は暗号化が強制されたので削除された
- 2.3.2 マイナーバージョンアップが有効化されているか?が追加された
- 2.3.3 RDS のパブリックアクセスを無効にしているか?が追加された
- 4.16 AWS Security Hub が有効化されているか?が追加された
- 5.6 IMDSv2 のみになっているか?v1 が無効化されているか?が追加された
Security Hub では、上記 2.3.2 や 2.3.3 などがチェックされるため、項目は一致しませんが、Amazon S3 バケットがデフォルトで暗号化されているか?などは既にチェック対象外となっているため、最新版でチェックすべきであることはいうまでもありません。
コンプライアンスフレームワークの適用方法に関しては、以下のブログ記事にて詳しくご紹介していますので、併せてご確認ください。
