IT人材をお探しの方は、まずはお電話ください。担当営業がすぐにご要望にマッチした人材をご提案いたします。
tel:03-6409-6766 お急ぎの方はお電話ください

ブログTOP > IT・技術関連 > 「AWS CIS」とは?導入方法やメリットについて紹介します

「AWS CIS」とは?導入方法やメリットについて紹介します

IT・技術関連 更新日:2024.09.05
エンジニア採用
「AWS CIS」とは?導入方法やメリットについて紹介します

CISとは


Center for Internet Security(CIS)は、アメリカの同名非営利団体が提供しているセキュリティツール群です。

このセキュリティ群には、CIS Benchmarks、CIS Controlsの2種類があります。

前者はシステム構成に関するベストプラクティスを定義したセットで、後者はサイバー攻撃対策における一連のアクションを定義および優先付けしたリストです。

これらにより、最適なセキュリティ対策を素早く実行できます。

AWSにおけるCIS(CIS AWS Foundations Benchmark)


Amazon Web Services(AWS)では、Security Hubを介してCIS Benchmarksを使用できます。このシステムは、「CIS AWS Foundations Benchmark」と呼ばれます。

1.2.0版のレベル1およびレベル2のAWS専用Benchmarksは、CIS Security Software Certificationの規格を満たしています。

Security Hubとは

AWS Security Hubは、アカウントやリソース全体のセキュリティを一元管理するサービスです。

各アカウントやリソースのセキュリティに関する情報を収集し、まとめて表示できます。また、CIS BenchmarksやPayment CardIndustry DataSecurity Standard(PCI DSS)などの規格に基づいたセキュリティチェックを自動で実施します。

AWSで使用できるCIS Benchmarksコントロール


この項目では、AWSで使用できるCIS Benchmarksコントロールについて紹介します。

ほとんどのコントロールはAWSでも使用可能ですが、一部未対応のものもあります。また、特定のリージョンでは使用できないコントロールも存在します。

公式ドキュメントに一覧があるので、合わせてご覧ください。

多要素認証(MFA)の有効化

多要素認証(Multi-Factor Authentication:MFA)を有効化します。

サインインする際、従来のユーザー名とパスワードに加えてMFAデバイスからの認証コードを要求します。キーに時間制限をつけたり、特定のデバイスからのみアクセス可能にしたりすることで、セキュリティ強化につながります。

ルートアカウントの制限

AWSの全リソースにアクセス可能なルートアカウントを制限します。

ルートアカウントキーを削除したり、MFAおよびハードウェアMFAを有効化したりして、権限の強いアカウントの使用を抑えます。

認証情報のような機密データを簡単に取り扱えないようにし、それらを誤って変更してしまったり、開示状態になったりするリスクを防ぎます。

90日以上未使用の認証情報を無効化

90日以上使われていない認証情報を無効化します。

不要となっている情報やアカウントを無効化および削除することで、漏洩による不正なアクセスやアカウントの乗っ取りを防ぎます。また、90日ごとにアクセスキーを更新するように設定することもできます。

パスワードの複雑化

パスワードを複雑化させるためのルールを設定します。

例えば、「パスワードに大文字、小文字、数字、記号といったワードを必ず含めるようにする」「14文字以上の長さにする」「再使用を禁止する」「有効期限を指定する」といった制限を設けられます。

また、ブルートフォースアタック(パスワードの総当たり攻撃)による不正ログインを防ぎます。

IAMポリシーの変更

Identity and Access Management(IAM)ポリシーを変更します。

初期段階で大きなアクセス権限を与えず、必要な範囲のみアクセス可能にします。「最初は権限を最小限にとどめておき、その後徐々に範囲を広げていく」という形を取ることで、不要なアクションを起こしてしまう可能性を低減し、システムやセキュリティが崩れることを防ぎます。

また、IAMポリシーをユーザーごとではなくグループまたはロール単位で適用するようにすることで、アクセス管理の手間を省略できます。

CloudTrailの確認

AWS CloudTrailが有効になっているかどうかを確認します。

CloudTrailは、API呼び出しに関するデータ(呼び出し元のIDやIPアドレス、呼び出された時間など)を記録するサービスです。これを有効化してAPIのログを残すことで、セキュリティの分析や変更履歴の追跡などに役立てられます。

この他、ログが保存されているSimple Storage Service(S3)バケットへのパブリックアクセスの可否、CloudTrailとCloudWatch Logsが統合されているかの確認なども行えます。

カスタマーキーのローテーション確認

Key Management Service(KMS)で作成および保管したカスタマーマスターキー(CMK)のローテーションが有効になっているかを確認します。

ローテーションによってキーを定期的に入れ替え、古いキーではアクセスできないようにすることで、キーが漏洩した時の不正アクセスの対策になります。

メトリクスフィルターの確認

メトリクスフィルターによるモニタリングが行われているかを確認します。

メトリクスフィルターは、API呼び出し、MFAを経由しないコンソールへのサインインやIAMポリシーの変更、ルートアカウントへのサインイン試行などをモニタリングします。

フィルターにかかったアクションがあった場合、Simple Notification Service(SNS)を介して通知を発信できます。

システムやセキュリティを脅かす可能性のあるアクションを検知し、素早く対策に乗り出せます。

VPCのフローログやセキュリティグループの確認

Virtual Private Cloud(VPC)のフローログやセキュリティグループを確認します。

フローログはVPC間のIPトラフィックをキャプチャしてCloudWatch Logsに記録するシステムで、セキュリティグループはトラフィックのフィルタリングを提供するセットです。これらにより、正しくないトラフィックを検出およびブロックできます。

CISおよびSecurity Hubでは、ポート22および3389への入力を制限する、インバウンドトラフィックをブロックするといった設定が行えます。

未対応のCIS Benchmarksコントロール

一部のCIS Benchmarksコントロールは自動処理が困難であるため、Security Hubでは使用できなくなっています。

具体的には、秘密の質問、連絡先情報の登録、IAMインスタンスロール、VPCピアリング接続のルーティングテーブルなどの情報の確認、連絡先情報の維持、ユーザーの初期設定中のアクセスキーセットアップの停止、といったルールが適用できません。

AWSでCIS Benchmarksを使用する時の料金


AWSでCIS Benchmarksを使用する時は、Security Hubのセキュリティチェックの料金が発生します。

例えば東京リージョンで実行した場合、チェック1回につき0.001USDが課金されます。チェック回数が月10万回を超えると0.0008USD、 50万回を超えると0.0005USDと、1回ごとの料金は徐々に値下がりします。

基本的には、チェックの検出結果を取り込む際の料金はかかりません。ただし、取り込み回数が月1万回を超えると、以降は1回ごとに0.00003USDが課金されます。

出典:AWS Security Hub の料金|AWS
参照:https://aws.amazon.com/jp/security-hub/pricing/

AWSにCIS Benchmarksを導入してみよう


この記事では、AWSにおけるCIS(CIS AWS Foundations Benchmark)および使用可能なBenchmarksコントロールについてご紹介しました。

Security HubによってCISに基づいたセキュリティのチェックができ、サイバー攻撃や脆弱性への対策の強化に役立ちます。

AWSでCISを利用したい方、またはセキュリティ基準が欲しい方は、Security Hubを使って導入してみましょう。

この記事の監修者・著者

株式会社オープンアップITエンジニア
株式会社オープンアップITエンジニアAWSパートナー/Salesforce認定コンサルティングパートナー 認定企業
ITエンジニア派遣サービス事業を行っています。AWSやSalesforceなど専門領域に特化したITエンジニアが4,715名在籍し、常時100名以上のITエンジニアの即日派遣が可能です。

・2021年:AWS Japan Certification Award 2020 ライジングスター of the Year 受賞
・2022年3月:人材サービス型 AWSパートナー認定
・AWS認定資格保有者数1,154名(2024年6月現在)
・Salesforce認定コンサルティングパートナー
・Salesforce認定資格者276名在籍(2024年5月現在)
・LPIC+CCNA 認定資格者:472 名(2024年6月時点)
ITエンジニアの派遣を利用したい企業様へ
ITエンジニアを派遣で採用したい企業様へ
  • 求人・転職サイトや自社採用サイトを使っているが、自社に合ったITエンジニアが応募してこない…
  • すぐに採用したいが、応募がぜんぜん集まらない
こんな悩みをお持ちの採用・人事担当者の方は、
オープンアップITエンジニアをご検討ください!

当社のITエンジニア派遣サービスは

  • 派遣スピードが速い!(最短即日)
  • 4,500名のエンジニアから貴社にマッチした人材を派遣
  • 正社員雇用も可能

こんな特長があり、貴社の事業やプロジェクトに合った最適なITエンジニアを派遣可能です。
まずは下記ボタンから無料でご相談ください。

無料相談のお申し込みはこちら
IT・技術関連の記事一覧へ

カテゴリから記事を探す

すべての記事一覧へ