01.SecurityHub設定および準拠方針
SecurityHub設定および準拠方針を記載する。
準拠方針
①SecurityHubを全リージョンで有効化し、以下の項目を有効化する。
AWS 基礎セキュリティのベストプラクティス v1.0.0 を有効化
②全リージョンのConfigルールにConfigルール設定方針に従いルール追加を行う。
③EventBridgeルール設定項目について、以下の方針に従い全リージョンでEventBridgeルールを設定する。
・メインリージョンのみSNS連携する。
・その他リージョンはメインリージョンのイベントバスへ、該当イベントを転送する設定とする。
Configルール設定方針
①[AWS の基本的なセキュリティのベストプラクティス標準]を有効化して、個別に以下のルールを追加する。
| 種別 | タイトル | 緊急度 | AWS Config ルール | 備考 |
|---|---|---|---|---|
| CIS | [CIS 1.13] —「ルート」アカウントで MFA を有効にします。 | 最高 | root-account-mfa-enabled | PCIDSSと重複 |
| CIS | [CIS 1.20] - AWS でインシデントを管理するためのサポートロールが作成されていることを確認します。 | 低 | iam-policy-in-use | |
| CIS | [CIS 2.8] — カスタマー作成の KMS キーのローテーションが有効になっていることを確認します | 中 | cmk-backing-key-rotation-enabled | PCIDSSと重複 |
| CIS | [CIS 4.1] — どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないようにします | 高 | restricted-ssh | PCIDSSと重複 |
| CIS | [CIS 4.2] — どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないようにします。 | 高 | restricted-common-ports | |
| PCI DSS | [PCI.CloudTrail.2] CloudTrail を有効にする必要があります | 高 | cloudtrail-enabled | |
| PCI DSS | [PCI.EC2.3] 未使用の EC2 セキュリティグループを削除する必要があります (リタイア) | 低 | eip-attached | |
| PCI DSS | [PCI.EC2.4] 未使用の EC2 EIP を削除する必要があります | 低 | eip-attached | |
| PCI DSS | [PCI.IAM.6] すべての IAM ユーザーに対して MFA を有効にする必要があります | 中 | iam-user-mfa-enabled | |
| PCI DSS | [PCI.Lambda.2] ラムダ関数は VPC にある必要があります | 低 | lambda-inside-vpc |
②以下項目は必須項目としない為、個別要件がある場合のみルールを有効とする。
| 種別 | タイトル | 緊急度 | AWS Config ルール | 根拠 |
|---|---|---|---|---|
| PCI DSS | [PCI.S3.3] S3 バケットでクロスリージョンレプリケーションを有効にする必要があります | 低 | s3-bucket-replication-enabled | 遠隔地保管は、業務要件によるため |
| AWS | [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります | 最高 | root-account-hardware-mfa-enabled | 仮想MFAを利用することとするため |
| AWS | [CloudTrail.5] CloudTrail トレイルが Amazon CloudWatch Logs と統合されていることを確認します。 | 低 | cloud-trail-cloud-watch-logs-enabled | EventBridgeルールで検知する対応とするため |
EventBridgeルール設定項目
[CIS 3.1] — 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.2] — に対してログメトリクスフィルターとアラームが存在することを確認しますAWS Management ConsoleMFA なしでサインイン
[CIS 3.3] —「ルート」アカウントに対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.4] — IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.5] — CloudTrail の設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.6] — に対してログメトリクスフィルターとアラームが存在することを確認しますAWS Management Console認証エラー
[CIS 3.7] — カスタマー管理キーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.8] — S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.9] — に対してログメトリクスフィルターとアラームが存在することを確認しますAWS Config設定変更
[CIS 3.10] — セキュリティグループの変更に対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.11] — ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します
[CIS 3.12] — ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.13] — ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.14] — VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します
コメント