翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon EC2 インスタンスオペレーティングシステムの Center for Internet Security (CIS) スキャン
Amazon Inspector CIS スキャン (CIS スキャン) はAmazon EC2 インスタンスオペレーティングシステムをベンチマークして、Center for Internet Security によって確立されたベストプラクティスの推奨事項に従って設定されていることを確認します。[CIS Security Benchmarks](https://aws.amazon.com/what-is/cis-benchmarks/) は、システムを安全に設定するための業界標準の設定ベースラインとベストプラクティスを提供しています。アカウントの Amazon Inspector EC2 スキャンを有効にした後、CIS スキャンを実行またはスケジュールできます。Amazon EC2 スキャンをアクティブ化する方法については、「[スキャンタイプをアクティブ化する](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)」を参照してください。
**注記**
CIS 標準は x86\_64 オペレーティングシステムを対象としています。ARM ベースのリソースでは、一部のチェックは評価されない場合や、無効な修正手順を返す場合があります。
Amazon Inspector は、インスタンスタグと定義されたスキャンスケジュールに基づいて、ターゲット Amazon EC2 インスタンスに対して CIS スキャンを実行します。Amazon Inspector は、ターゲットとなる各インスタンスに対して一連のインスタンスチェックを実行します。各チェックでは、システム設定が特定の CIS Benchmark 推奨事項を満たしているかどうかを評価します。各チェックには CIS チェック ID とタイトルがあり、そのプラットフォームの CIS Benchmark 推奨事項に対応します。CIS スキャンが完了すると、結果を表示して、そのシステムのどのインスタンスチェックが合格した、スキップされた、または不合格になったかを確認できます。
**注記**
CIS スキャンを実行またはスケジュールするには、安全なインターネット接続が必要です。ただし、プライベートインスタンスで CIS スキャンを実行する場合は、VPC エンドポイントを使用する必要があります。
**Topics**
+ [Amazon Inspector CIS スキャンに関する Amazon EC2 インスタンスの要件](#cis-requirements)
+ [CIS スキャンの実行](#running-cis-scans)
+ [を使用した Amazon Inspector CIS スキャンの管理に関する考慮事項 AWS Organizations](#CIS-organizations)
+ [Amazon Inspector CIS スキャンに使用される Amazon Inspector 所有の Amazon S3 バケット](#cis-buckets)
+ [CIS スキャン設定の作成](scanning-cis-create-cis-scan-configuration.md)
+ [CIS スキャン結果の表示](scanning-cis-view-cis-scan-configuration.md)
+ [CIS スキャン設定の編集](scanning-cis-view-edit-cis-scan-configuration.md)
+ [CIS スキャン結果のダウンロード](scanning-cis-view-download-cis-scan-configuration.md)
## Amazon Inspector CIS スキャンに関する Amazon EC2 インスタンスの要件
Amazon EC2 インスタンスで CIS スキャンを実行するには、Amazon EC2 インスタンスが次の基準を満たしている必要があります。
+ インスタンスオペレーティングシステムは、CIS スキャンに対してサポートされているオペレーティングシステムの 1 つです。詳細については、「[Amazon Inspector でサポートされているオペレーティングシステムとプログラミング言語](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-cis)」を参照してください。
+ インスタンスは Amazon EC2 Systems Manager インスタンスです。詳細については、「*AWS Systems Manager ユーザーガイド*」の「[SSM Agent の使用](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html)」を参照してください。
+ インスタンスには Amazon Inspector SSM プラグインがインストールされています。Amazon Inspector は、このプラグインをマネジードインスタンスに自動的にインストールします。
+ インスタンスには、SSM がインスタンスを管理するためのアクセス許可と、Amazon Inspector がそのインスタンスの CIS スキャンを実行するためのアクセス許可を付与するインスタンスプロファイルがあります。これらのアクセス許可を付与するには、[AmazonSSMManagedInstanceCore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) ポリシーと [AmazonInspector2ManagedCisPolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ManagedCisPolicy) ポリシーを IAM ロールにアタッチします。次に、IAM ロールをインスタンスプロファイルとしてインスタンスにアタッチします。インスタンスプロファイルを作成してアタッチする手順については、「*Amazon EC2 ユーザーガイド*」の「[IAM ロールの使用](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#working-with-iam-roles)」を参照してください。
**注記**
Amazon EC2 インスタンスで CIS スキャンを実行する前に、Amazon Inspector 詳細検査を有効にする必要はありません。Amazon Inspector 詳細検査を無効にすると、Amazon Inspector は自動的に SSM Agent をインストールしますが、SSM Agent は詳細検査を実行するために呼び出されなくなります。ただし、その結果、`InspectorLinuxDistributor-do-not-delete` の関連付けはアカウントにあります。
### プライベート Amazon EC2 インスタンスで CIS スキャンを実行するための Amazon Virtual Private Cloud エンドポイントの要件
CIS スキャンは、Amazon ネットワーク経由で Amazon EC2 インスタンスで実行できます。ただし、プライベート Amazon EC2 インスタンスで CIS スキャンを実行する場合は、[Amazon VPC エンドポイントを作成](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html)する必要があります。Systems Manager 用の Amazon VPC エンドポイントを作成するときは、以下のエンドポイントが必要です。
+ `com.amazonaws.{{region}}.ec2messages`
+ `com.amazonaws.{{region}}.inspector2`
+ `com.amazonaws.{{region}}.s3`
+ `com.amazonaws.{{region}}.ssm`
+ `com.amazonaws.{{region}}.ssmmessages`
詳細については、「*AWS Systems Manager ユーザーガイド*」の「[Systems Manager の VPC エンドポイントを作成する](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html#sysman-setting-up-vpc-create)」を参照してください。
**注記**
現在、一部の AWS リージョン は`amazonaws.com.{{region}}.inspector2`エンドポイントをサポートしていません。
## CIS スキャンの実行
CIS スキャンは、オンデマンドで 1 回実行するか、スケジュールされた定期スキャンとして実行できます。スキャンを実行するには、まずスキャン設定を作成します。
スキャン設定を作成するときは、ターゲットインスタンスに使用するタグキーと値のペアを指定します。組織の Amazon Inspector 委任管理者である場合は、スキャン設定で複数のアカウントを指定できます。Amazon Inspector は、それらのアカウントごとに指定されたタグを持つインスタンスを検索します。スキャンの CIS ベンチマークレベルを選択します。各ベンチマークについて、CIS はレベル 1 およびレベル 2 プロファイルをサポートしており、さまざまな環境が必要とする異なるレベルのセキュリティのベースラインを提供するように設計されています。
+ **レベル 1** – あらゆるシステムで設定できる基本的なセキュリティ設定を推奨します。これらの設定を実装しても、サービスの中断はほとんどまたはまったく発生しません。これらの推奨事項の目的は、システムへのエントリポイントの数を減らし、全体的なサイバーセキュリティリスクを減らすことです。
+ **レベル 2** – セキュリティの高い環境に対して、より高度なセキュリティ設定を推奨します。これらの設定を実装するには、ビジネスへの影響のリスクを最小限に抑えるための計画と調整が必要です。これらの推奨事項の目的は、規制の順守達成を支援することです。
レベル 2 はレベル 1 を拡張します。レベル 2 を選択すると、Amazon Inspector はレベル 1 とレベル 2 に推奨されるすべての設定をチェックします。
スキャンのパラメータを定義したら、設定完了後に実行する 1 回限りのスキャンとして実行するか、定期スキャンとして実行するかを選択できます。定期スキャンは、毎日、毎週、または毎月、任意のタイミングで実行できます。
**ヒント**
スキャンの実行中にシステムに影響を与える可能性が最も低い日時を選択することをお勧めします。
## を使用した Amazon Inspector CIS スキャンの管理に関する考慮事項 AWS Organizations
組織で CIS スキャンを実行すると、Amazon Inspector の委任管理者とメンバーアカウントは CIS スキャン設定とスキャン結果を異なる方法で操作します。
**Amazon Inspector の委任管理者が CIS スキャン設定とスキャン結果を操作する方法**
委任管理者が、すべてのアカウントまたは特定のメンバーアカウントに対してスキャン設定を作成すると、組織はその設定を所有します。組織が所有するスキャン設定には、組織 ID を所有者として指定する ARN があります。
`arn:aws:inspector2:{{Region}}:{{111122223333}}:owner/{{OrganizationId}}/cis-configuration/{{scanId}}`
委任管理者は、別のアカウントが作成した場合でも、組織が所有しているスキャン設定を管理できます。
委任管理者は、組織内の任意のアカウントのスキャン結果を表示できます。
委任管理者がスキャン設定を作成し、ターゲットアカウントとして `SELF` を指定すると、委任管理者は組織を離れてもスキャン設定を所有します。ただし、委任管理者は、`SELF` をターゲットとするスキャン設定のターゲットを変更することはできません。
**注記**
委任管理者は、組織が所有している CIS スキャン設定にタグを追加することはできません。
**Amazon Inspector メンバーアカウントが CIS スキャン設定とスキャン結果を操作する方法**
メンバーアカウントが CIS スキャン設定を作成すると、その設定を所有します。ただし、委任管理者は設定を表示できます。メンバーアカウントが組織を離れると、委任管理者は設定を表示できなくなります。
**注記**
委任管理者は、メンバーアカウントが作成したスキャン設定を編集することはできません。
メンバーアカウント、`SELF` をターゲットとする委任管理者、およびスタンドアロンアカウントはすべて、作成するスキャン設定を所有します。これらのスキャン設定には、所有者としてアカウント ID を示す ARN があります。
`arn:aws:inspector2:{{Region}}:{{111122223333}}:owner/{{111122223333}}/cis-configuration/{{scanId}}`
メンバーアカウントは、アカウントのスキャン結果を表示できます。これには、委任管理者がスケジュールした CIS スキャンの結果が含まれます。
## Amazon Inspector CIS スキャンに使用される Amazon Inspector 所有の Amazon S3 バケット
Open Vulnerability and Assessment Language (OVAL) は、コンピュータシステムのマシンの状態を評価および報告する方法を標準化する情報セキュリティの取り組みです。次の表は、CIS スキャンに使用される OVAL 定義を持つ Amazon Inspector 所有の Amazon S3 バケットをすべて示しています。Amazon Inspector は、CIS スキャンに必要な OVAL 定義ファイルをステージングします。Amazon Inspector が所有する Amazon S3 バケットは、必要に応じて VPC で許可リストに登録する必要があります。
**注記**
以下の Amazon Inspector 所有の Amazon S3 バケットの詳細は変更の対象ではありません。ただし、新しくサポートされた AWS リージョンを反映するようにテーブルが更新される場合があります。Amazon Inspector が所有する Amazon S3 バケットを他の Amazon S3 オペレーションや独自の Amazon S3 バケットで使用することはできません。
| CIS バケット | AWS リージョン |
| --- | --- |
| `cis-datasets-prod-arn-5908f6f` | 欧州 (ストックホルム) |
| `cis-datasets-prod-bah-8f88801` | 中東 (バーレーン) |
| `cis-datasets-prod-bjs-0f40506` | 中国 (北京) |
| `cis-datasets-prod-bom-435a167` | アジアパシフィック (ムンバイ) |
| `cis-datasets-prod-cdg-f3a9c58` | 欧州 (パリ) |
| `cis-datasets-prod-cgk-09eb12f` | アジアパシフィック (ジャカルタ) |
| `cis-datasets-prod-cmh-63030b9` | 米国東部 (オハイオ) |
| `cis-datasets-prod-cpt-02c5c6f` | アフリカ (ケープタウン) |
| `cis-datasets-prod-dub-984936f` | 欧州 (アイルランド) |
| `cis-datasets-prod-fra-6eb96eb` | 欧州 (フランクフルト) |
| `cis-datasets-prod-gru-de69f99` | 南米 (サンパウロ) |
| `cis-datasets-prod-hkg-8e30800` | アジアパシフィック (香港) |
| `cis-datasets-prod-iad-8438411` | 米国東部 (バージニア北部) |
| `cis-datasets-prod-icn-f4eff1c` | アジアパシフィック (ソウル) |
| `cis-datasets-prod-kix-5743b21` | アジアパシフィック (大阪) |
| `cis-datasets-prod-lhr-8b1fbd0` | 欧州 (ロンドン) |
| `cis-datasets-prod-mxp-7b1bbce` | 欧州 (ミラノ) |
| `cis-datasets-prod-nrt-464f684` | アジアパシフィック (東京) |
| `cis-datasets-prod-osu-5bead6f` | AWS GovCloud (米国東部) |
| `cis-datasets-prod-pdt-adadf9c` | AWS GovCloud (米国西部) |
| `cis-datasets-prod-pdx-acfb052` | 米国西部 (オレゴン) |
| `cis-datasets-prod-sfo-1515ba8` | 米国西部 (北カリフォルニア) |
| `cis-datasets-prod-sin-309725b` | アジアパシフィック (シンガポール) |
| `cis-datasets-prod-syd-f349107` | アジアパシフィック (シドニー) |
| `cis-datasets-prod-yul-5e0c95e` | カナダ (中部) |
| `cis-datasets-prod-zhy-5a8eacb` | 中国 (寧夏) |
| `cis-datasets-prod-zrh-67e0e3d` | 欧州 (チューリッヒ) |