Security Hubのセキュリティ標準にCIS Benchmark v3.0.0が追加されました

Posted at 2024-05-30

はじめに

私が大好きなSecurity Hubに新たなセキュリティ標準「CIS Benchmark v3.0.0」が追加されました。

セキュリティ標準には、規制のフレームワーク、業界のベストプラクティス、企業ポリシーのコンプライアンスを判断するための一連の要件が含まれています。

Security Hub は、要件をコントロール（検知項目）にマッピングし、各項目のセキュリティチェックを実行して、
セキュリティ標準の要件が満たされているかどうかを評価します。

CIS(Center for Internet Security)は米国政府機関や企業、学術機関などが運営する非営利団体で、最新のサイバーセキュリティに関するベストプラクティスソリューションを開発・検証しています。

現在、AWSでは以下のCIS Benchmarkがサポートされています。

v1.4.0と比較して、13項目が追加されました。

IAM.26「IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります。」はバージニア北部リージョンのみでサポートされています。
これは、IAMのコントロールプレーンがバージニア北部にあり、証明書が管理されているためです。

v1.4.0と比較して、15項目が削除されました。

CloudTrail.6「CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにしてください。」については、S3.1「S3 ブロックパブリックアクセス設定を有効にする必要があります。」に内包されているので、廃止されたと考えます。

またまたSecurity Hubにアップデートがありました。
皆様もCIS Benchmarkのバージョンアップを検討ください！