はじめに
SecurityHubを利用する際にルールが複数ありどれをえらべばよいのだろうと思ったことはありませんか?
今回は各ルールの概要と、有効化すべきルールの考え方をまとめていきます。
SecurityHub等各種サービス概要配下を御覧ください。
SecurityHubのルール
・CIS AWS Foundations
・Payment Card Industry Data Security Standard (PCI DSS)
・AWS Foundational Security Best Practices
・NIST Special Publication 800-53 Revision 5
上記4つのルールがあります。
| # | ルール名 | 概要 |
|---|---|---|
| 1 | CIS AWS Foundations | セキュリティ担当者がサイバーセキュリティ防御を実装および管理するのに役立つ、世界的に認められたコンセンサス主導の一連のベストプラクティス |
| 2 | Payment Card Industry Data Security Standard (PCI DSS) | カード所有者のデータ(CHD)や機密性の高い認証データ(SAD)を保存、処理、転送するエンティティに適用されるもの |
| 3 | AWS Foundational Security Best Practices | デプロイされたアカウントとリソースがセキュリティのベストプラクティスからの逸脱を検出する一連の統制 |
| 4 | NIST Special Publication 800-53 Revision 5 | 一般に、米国連邦政府情報システムに適用される基準。基本的に、情報および情報システムの機密性、完全性、可用性の十分な保護を確実にするためのものであるが、部門や規模に関わらず、どの組織でも使用できる推奨ベースラインとして、世界中の政府および業界で採用されている |
参考
どれを選ぶ?
結局どれをえらべばよいのだろうと思うことかと思います。
個人的な考え方ですが、以下のフローでよいかと思います。
ポイントは、2つ、PCIDSSに準拠させる条件があれば、PCIDSSを有効化、NISTに準拠する必要があればNISTを有効化です。個人的にはNISTもあまり意識せず有効化してしまってよいかと思います。
理由としては、NISTの基準はAWS Foundational Security Best Practicesのルールを内包化しているからです。このルールプラスαがNISTのルールなので、より厳しめということであればNIST基準になります。
CISは世界基準のセキュリテイベストプラクティスなので、どのような場合でも有効化してよいかと考えます。
AWS Foundational Security Best PracticesはNISTを有効化しないのであれば有効化しましょう。
まとめ
PCIDSSは必要であれば有効化、AWS Foundational Security Best PracticesはNISTを有効化しないのであれば有効化、NISTは特に思いがなければ有効化(NIST基準は厳しいというのであれば、AWS Foundational Security Best Practicesルールを有効化)、CISは問答無用で有効化問考え方でよいかと思います。細かいルールのチェック内容はSecurityHubの画面で確認可能ですので、プロジェクトに合わせて、無効化、有効化、対策を考えていきましょう。