はじめに
2025/3/31 にリリースされた CIS AWS Foundations Benchmark が v5.0.0 について、v4.0.0 からの変更内容をまとめました。
解説部分の記載は私見や所感などを含みますのでご注意ください。完全な変更内容はオリジナルの PDF をご参照ください。
v4 → v5 はメジャーバージョンが上がった一方で、新規に追加された項目はなく、軽微な変更に留まっているように見受けられます。
v4.0.0 以前の変更点を確認されたい方は 過去記事 も参照いただければと思います。
CIS AWS Foundations Benchmark とは
米国の非営利団体である CIS (Center for Internet Secuirty) が公開している AWS アカウントの基本的なセキュリティを実装するための技術的なベストプラクティスです。
CIS は 各種 OS、サーバー、クラウド環境などを強化するためのガイドラインとして多数の CIS Benchmark を発行しており、PCI DSS などのコンプライアンス要件で業界標準のベストプラクティスとの記載があった場合などに参照されます。
CIS AWS Foundations Benchmark は CIS のサイトから PDF 形式でダウンロードできます。ライセンスは CC BY-NC-SA (Creative Commons Attribution-NonCommercial-ShareAlike) です。
3 Logging
変更があった項目
3.1 Ensure CloudTrail is enabled in all regions (Automated)
参考訳: すべてのリージョンで CloudTrail が有効化されていることを確認する
Assessment Status (評価ステータス) が Automated から Manual に変更されました。
監査手順及び修復手順には変更ありません。
3.4 Ensure that server access logging is enabled on the CloudTrail S3 bucket (Manual)
参考訳: CloudTrail の S3 バケットでサーバーアクセスログが有効であることを確認する
Assessment Status (評価ステータス) が Automated から Manual に変更されました。
監査手順及び修復手順には変更ありません。
5 Networking
変更があった項目
5.1.2 Ensure CIFS access is restricted to trusted networks to prevent unauthorized access (Automated)
参考訳: 不正アクセスを防止するため、CIFS アクセスが信頼できるネットワークに限定されていることを確認する
Assessment Status (評価ステータス) が Manual から Automated に変更されました。
CLI での監査、修正手順において FromPort ではなく、ToPort を使用することで port 445 へのmアクセスを明示的に確認するよう変更されました。
aws ec2 describe-security-groups --region <region-name> --group-ids <security-group-id> --query 'SecurityGroups[*].IpPermissions[?ToPort==445].{CIDR:IpRanges[*].CidrIp,Port:ToPort}'
過去記事