01.SecurityHub設定および準拠方針

SecurityHub設定および準拠方針を記載する。

検討資料

準拠方針

①SecurityHubを全リージョンで有効化し、以下の項目を有効化する。
AWS 基礎セキュリティのベストプラクティス v1.0.0 を有効化

②全リージョンのConfigルールにConfigルール設定方針に従いルール追加を行う。

EventBridgeルール設定項目について、以下の方針に従い全リージョンでEventBridgeルールを設定する。
・メインリージョンのみSNS連携する。
・その他リージョンはメインリージョンのイベントバスへ、該当イベントを転送する設定とする。

Configルール設定方針

①[AWS の基本的なセキュリティのベストプラクティス標準]を有効化して、個別に以下のルールを追加する。

種別 タイトル 緊急度 AWS Config ルール 備考
CIS [CIS 1.13] —「ルート」アカウントで MFA を有効にします。 最高 root-account-mfa-enabled PCIDSSと重複
CIS [CIS 1.20] - AWS でインシデントを管理するためのサポートロールが作成されていることを確認します。 iam-policy-in-use
CIS [CIS 2.8] — カスタマー作成の KMS キーのローテーションが有効になっていることを確認します cmk-backing-key-rotation-enabled PCIDSSと重複
CIS [CIS 4.1] — どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないようにします restricted-ssh PCIDSSと重複
CIS [CIS 4.2] — どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないようにします。 restricted-common-ports
PCI DSS [PCI.CloudTrail.2] CloudTrail を有効にする必要があります cloudtrail-enabled
PCI DSS [PCI.EC2.3] 未使用の EC2 セキュリティグループを削除する必要があります (リタイア) eip-attached
PCI DSS [PCI.EC2.4] 未使用の EC2 EIP を削除する必要があります eip-attached
PCI DSS [PCI.IAM.6] すべての IAM ユーザーに対して MFA を有効にする必要があります iam-user-mfa-enabled
PCI DSS [PCI.Lambda.2] ラムダ関数は VPC にある必要があります lambda-inside-vpc

②以下項目は必須項目としない為、個別要件がある場合のみルールを有効とする。

種別 タイトル 緊急度 AWS Config ルール 根拠
PCI DSS [PCI.S3.3] S3 バケットでクロスリージョンレプリケーションを有効にする必要があります s3-bucket-replication-enabled 遠隔地保管は、業務要件によるため
AWS [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります 最高 root-account-hardware-mfa-enabled 仮想MFAを利用することとするため
AWS [CloudTrail.5] CloudTrail トレイルが Amazon CloudWatch Logs と統合されていることを確認します。 cloud-trail-cloud-watch-logs-enabled EventBridgeルールで検知する対応とするため

EventBridgeルール設定項目

[CIS 3.1] — 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.2] — に対してログメトリクスフィルターとアラームが存在することを確認しますAWS Management ConsoleMFA なしでサインイン
[CIS 3.3] —「ルート」アカウントに対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.4] — IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.5] — CloudTrail の設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.6] — に対してログメトリクスフィルターとアラームが存在することを確認しますAWS Management Console認証エラー
[CIS 3.7] — カスタマー管理キーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.8] — S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.9] — に対してログメトリクスフィルターとアラームが存在することを確認しますAWS Config設定変更
[CIS 3.10] — セキュリティグループの変更に対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.11] — ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します
[CIS 3.12] — ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.13] — ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.14] — VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します