「AWS CIS」とは?導入方法やメリットについて紹介します

CISとは

Center for Internet Security（CIS）は、アメリカの同名非営利団体が提供しているセキュリティツール群です。

このセキュリティ群には、CIS Benchmarks、CIS Controlsの2種類があります。

前者はシステム構成に関するベストプラクティスを定義したセットで、後者はサイバー攻撃対策における一連のアクションを定義および優先付けしたリストです。

これらにより、最適なセキュリティ対策を素早く実行できます。

AWSにおけるCIS（CIS AWS Foundations Benchmark）

Amazon Web Services（AWS）では、Security Hubを介してCIS Benchmarksを使用できます。このシステムは、「CIS AWS Foundations Benchmark」と呼ばれます。

1.2.0版のレベル1およびレベル2のAWS専用Benchmarksは、CIS Security Software Certificationの規格を満たしています。

Security Hubとは

AWS Security Hubは、アカウントやリソース全体のセキュリティを一元管理するサービスです。

各アカウントやリソースのセキュリティに関する情報を収集し、まとめて表示できます。また、CIS BenchmarksやPayment CardIndustry DataSecurity Standard（PCI DSS）などの規格に基づいたセキュリティチェックを自動で実施します。

AWSで使用できるCIS Benchmarksコントロール

この項目では、AWSで使用できるCIS Benchmarksコントロールについて紹介します。

ほとんどのコントロールはAWSでも使用可能ですが、一部未対応のものもあります。また、特定のリージョンでは使用できないコントロールも存在します。

公式ドキュメントに一覧があるので、合わせてご覧ください。

多要素認証（MFA）の有効化

多要素認証（Multi-Factor Authentication：MFA）を有効化します。

サインインする際、従来のユーザー名とパスワードに加えてMFAデバイスからの認証コードを要求します。キーに時間制限をつけたり、特定のデバイスからのみアクセス可能にしたりすることで、セキュリティ強化につながります。

ルートアカウントの制限

AWSの全リソースにアクセス可能なルートアカウントを制限します。

ルートアカウントキーを削除したり、MFAおよびハードウェアMFAを有効化したりして、権限の強いアカウントの使用を抑えます。

認証情報のような機密データを簡単に取り扱えないようにし、それらを誤って変更してしまったり、開示状態になったりするリスクを防ぎます。

90日以上未使用の認証情報を無効化

90日以上使われていない認証情報を無効化します。

不要となっている情報やアカウントを無効化および削除することで、漏洩による不正なアクセスやアカウントの乗っ取りを防ぎます。また、90日ごとにアクセスキーを更新するように設定することもできます。

パスワードの複雑化

パスワードを複雑化させるためのルールを設定します。

例えば、「パスワードに大文字、小文字、数字、記号といったワードを必ず含めるようにする」「14文字以上の長さにする」「再使用を禁止する」「有効期限を指定する」といった制限を設けられます。

また、ブルートフォースアタック（パスワードの総当たり攻撃）による不正ログインを防ぎます。

IAMポリシーの変更

Identity and Access Management（IAM）ポリシーを変更します。

初期段階で大きなアクセス権限を与えず、必要な範囲のみアクセス可能にします。「最初は権限を最小限にとどめておき、その後徐々に範囲を広げていく」という形を取ることで、不要なアクションを起こしてしまう可能性を低減し、システムやセキュリティが崩れることを防ぎます。

また、IAMポリシーをユーザーごとではなくグループまたはロール単位で適用するようにすることで、アクセス管理の手間を省略できます。

CloudTrailの確認

AWS CloudTrailが有効になっているかどうかを確認します。

CloudTrailは、API呼び出しに関するデータ（呼び出し元のIDやIPアドレス、呼び出された時間など）を記録するサービスです。これを有効化してAPIのログを残すことで、セキュリティの分析や変更履歴の追跡などに役立てられます。

この他、ログが保存されているSimple Storage Service（S3）バケットへのパブリックアクセスの可否、CloudTrailとCloudWatch Logsが統合されているかの確認なども行えます。

カスタマーキーのローテーション確認

Key Management Service（KMS）で作成および保管したカスタマーマスターキー（CMK）のローテーションが有効になっているかを確認します。

ローテーションによってキーを定期的に入れ替え、古いキーではアクセスできないようにすることで、キーが漏洩した時の不正アクセスの対策になります。

メトリクスフィルターの確認

メトリクスフィルターによるモニタリングが行われているかを確認します。

メトリクスフィルターは、API呼び出し、MFAを経由しないコンソールへのサインインやIAMポリシーの変更、ルートアカウントへのサインイン試行などをモニタリングします。

フィルターにかかったアクションがあった場合、Simple Notification Service（SNS）を介して通知を発信できます。

システムやセキュリティを脅かす可能性のあるアクションを検知し、素早く対策に乗り出せます。

VPCのフローログやセキュリティグループの確認

Virtual Private Cloud（VPC）のフローログやセキュリティグループを確認します。

フローログはVPC間のIPトラフィックをキャプチャしてCloudWatch Logsに記録するシステムで、セキュリティグループはトラフィックのフィルタリングを提供するセットです。これらにより、正しくないトラフィックを検出およびブロックできます。

CISおよびSecurity Hubでは、ポート22および3389への入力を制限する、インバウンドトラフィックをブロックするといった設定が行えます。

未対応のCIS Benchmarksコントロール

一部のCIS Benchmarksコントロールは自動処理が困難であるため、Security Hubでは使用できなくなっています。

具体的には、秘密の質問、連絡先情報の登録、IAMインスタンスロール、VPCピアリング接続のルーティングテーブルなどの情報の確認、連絡先情報の維持、ユーザーの初期設定中のアクセスキーセットアップの停止、といったルールが適用できません。

AWSでCIS Benchmarksを使用する時の料金

AWSでCIS Benchmarksを使用する時は、Security Hubのセキュリティチェックの料金が発生します。

例えば東京リージョンで実行した場合、チェック1回につき0.001USDが課金されます。チェック回数が月10万回を超えると0.0008USD、 50万回を超えると0.0005USDと、1回ごとの料金は徐々に値下がりします。

基本的には、チェックの検出結果を取り込む際の料金はかかりません。ただし、取り込み回数が月1万回を超えると、以降は1回ごとに0.00003USDが課金されます。

出典：AWS Security Hub の料金｜AWS
参照：https://aws.amazon.com/jp/security-hub/pricing/

AWSにCIS Benchmarksを導入してみよう

この記事では、AWSにおけるCIS（CIS AWS Foundations Benchmark）および使用可能なBenchmarksコントロールについてご紹介しました。

Security HubによってCISに基づいたセキュリティのチェックができ、サイバー攻撃や脆弱性への対策の強化に役立ちます。

AWSでCISを利用したい方、またはセキュリティ基準が欲しい方は、Security Hubを使って導入してみましょう。