翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub CSPM の CIS AWS Foundations Benchmark
Center for Internet Security (CIS) AWS Foundations Benchmark は、一連のセキュリティ設定のベストプラクティスとして機能します AWS。業界で認められているこれらのベストプラクティスは、明確かつステップバイステップの実装および評価手順を提供します。オペレーティングシステムからクラウドサービスやネットワークデバイスに至るまで、このベンチマークのコントロールは、組織が使用する特定のシステムの保護に役立ちます。
AWS Security Hub CSPM は、CIS AWS Foundations Benchmark バージョン 5.0.0、3.0.0、1.4.0、および 1.2.0 をサポートしています。このページでは、各バージョンがサポートするセキュリティコントロールを一覧表示します。また、各バージョン間の比較も提供します。
## CIS AWS Foundations Benchmark バージョン 5.0.0
Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 5.0.0 (v5.0.0) をサポートしています。Security Hub CSPM は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています:
+ CIS Benchmark for CIS AWS Foundations Benchmark、v5.0.0、レベル 1
+ CIS Benchmark for CIS AWS Foundations Benchmark、v5.0.0、レベル 2
### CIS AWS Foundations Benchmark バージョン 5.0.0 に適用されるコントロール
[[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)
[[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)
[[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)
[[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)
[[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
[[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)
[[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8)
[[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
[[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53)
[[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54)
[[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1)
[[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8)
[[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
[[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
[[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
[[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
[[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)
[[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26)
[[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27)
[[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28)
[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)
[[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)
[[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)
[[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります](rds-controls.md#rds-5)
[[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13)
[[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15)
[[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)
[[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
[[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)
[[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20)
[[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22)
[[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23)
## CIS AWS Foundations Benchmark バージョン 3.0.0
Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 3.0.0 (v3.0.0) をサポートしています。Security Hub CSPM は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています:
+ CIS Benchmark for CIS AWS Foundations Benchmark、v3.0.0、レベル 1
+ CIS Benchmark for CIS AWS Foundations Benchmark、v3.0.0、レベル 2
### CIS AWS Foundations Benchmark バージョン 3.0.0 に適用されるコントロール
[[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)
[[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)
[[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)
[[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)
[[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
[[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)
[[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8)
[[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
[[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53)
[[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54)
[[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1)
[[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
[[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
[[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
[[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
[[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)
[[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26)
[[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27)
[[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28)
[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)
[[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)
[[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)
[[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13)
[[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)
[[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
[[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)
[[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20)
[[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22)
[[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23)
## CIS AWS Foundations Benchmark バージョン 1.4.0
Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 1.4.0 (v1.4.0) をサポートしています。
### CIS AWS Foundations Benchmark バージョン 1.4.0 に適用されるコントロール
[[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5)
[[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)
[[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)
[[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)
[[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)
[[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)
[[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)
[[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)
[[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)
[[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)
[[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)
[[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)
[[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)
[[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)
[[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)
[[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)
[[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
[[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)
[[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
[[IAM.1] IAM ポリシーでは、完全な「\*」管理者権限を許可しないでください](iam-controls.md#iam-1)
[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
[[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
[[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
[[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
[[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)
[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)
[[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)
[[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)
[[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
[[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)
[[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20)
## CIS AWS Foundations Benchmark バージョン 1.2.0
Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 1.2.0 (v1.2.0) をサポートしています。Security Hub CSPM は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています:
+ CIS Benchmark for CIS AWS Foundations Benchmark、v1.2.0、レベル 1
+ CIS Benchmark for CIS AWS Foundations Benchmark、v1.2.0、レベル 2
### CIS AWS Foundations Benchmark バージョン 1.2.0 に適用されるコントロール
[[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5)
[[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)
[[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)
[[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2)
[[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-3)
[[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)
[[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)
[[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)
[[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)
[[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)
[[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)
[[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)
[[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)
[[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)
[[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)
[[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)
[[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)
[[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)
[[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
[[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)
[[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14)
[[IAM.1] IAM ポリシーでは、完全な「\*」管理者権限を許可しないでください](iam-controls.md#iam-1)
[[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
[[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
[[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
[[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11)
[[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12)
[[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13)
[[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14)
[[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
[[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
[[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17)
[[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)
## CIS AWS Foundations Benchmark のバージョン比較
このセクションでは、Center for Internet Security (CIS) AWS Foundations Benchmark – v5.0.0、v3.0.0、v1.4.0、および v1.2.0 の特定のバージョンの違いをまとめています。 AWS Security Hub CSPM は、CIS AWS Foundations Benchmark の各バージョンをサポートしています。ただし、セキュリティのベストプラクティスに最新の状態で準拠するため、v5.0.0 の使用をお勧めします。CIS AWS Foundations Benchmark 標準の複数のバージョンを同時に有効にできます。標準の有効化の詳細については、「[セキュリティ標準の有効化](enable-standards.md)」を参照してください。v5.0.0 にアップグレードする場合は、古いバージョンを無効にするより前にそれを有効にしてください。そうすることで、セキュリティチェックのギャップが生じるのを防ぐことができます。と Security Hub CSPM の統合を使用して AWS Organizations いて、複数のアカウントで v5.0.0 をバッチ有効化する場合は、[中央設定](central-configuration-intro.md)を使用することをお勧めします。
### 各バージョンの CIS 要件に対するコントロールのマッピング
CIS AWS Foundations Benchmark がサポートする各バージョンのコントロールを理解します。
| コントロール ID とタイトル | CIS v5.0.0 の要件 | CIS v3.0.0 の要件 | CIS v1.4.0 の要件 | CIS v1.2.0 の要件 |
| --- | --- | --- | --- | --- |
| [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1) | 1.2 | 1.2 | 1.2 | 1.18 |
| [[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1) | 3.1 | 3.1 | 3.1 | 2.1 |
| [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2) | 3.5 | 3.5 | 37 | 2.7 |
| [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4) | 3.2 | 3.2 | 3.2 | 2.2 |
| [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 3.4 | 2.4 |
| [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 3.3 | 2.3 |
| [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7) | 3.4 | 3.4 | 3.6 | 2.6 |
| [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.3 | 3.3 |
| [[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 3.1 |
| [[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-3) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 3.2 |
| [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.4 | 3.4 |
| [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.5 | 3.5 |
| [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.6 | 3.6 |
| [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.7 | 37 |
| [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.8 | 3.8 |
| [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.9 | 3.9 |
| [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.10 | 3.10 |
| [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.11 | 3.11 |
| [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.12 | 3.12 |
| [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.13 | 3.13 |
| [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.14 | 3.14 |
| [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1) | 3.3 | 3.3 | 3.5 | 2.5 |
| [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2) | 5.5 | 5.4 | 5.3 | 4.3 |
| [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6) | 37 | 37 | 3.9 | 2.9 |
| [[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7) | 5.1.1 | 2.2.1 | 2.2.1 | サポートされていません |
| [[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8) | 5.7 | 5.6 | サポートされません | サポートされません |
| [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13) | サポートされません – 要件 5.3 および 5.4 に置き換えられました | サポートされません – 要件 5.2 および 5.3 に置き換えられました | サポートされません – 要件 5.2 および 5.3 に置き換えられました | 4.1 |
| [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) | サポートされません – 要件 5.3 および 5.4 に置き換えられました | サポートされません – 要件 5.2 および 5.3 に置き換えられました | サポートされません – 要件 5.2 および 5.3 に置き換えられました | 4.2 |
| [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) | 5.2 | 5.1 | 5.1 | サポートされていません |
| [[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53) | 5.3 | 5.2 | サポートされません | サポートされません |
| [[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54) | 5.4 | 5.3 | サポートされません | サポートされません |
| [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) | 2.3.1 | 2.4.1 | サポートされません | サポートされません |
| [[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8) | 2.3.1 | サポートされません | サポートされません | サポートされません |
| [[IAM.1] IAM ポリシーでは、完全な「\*」管理者権限を許可しないでください](iam-controls.md#iam-1) | サポートされません | サポートされません | 1.16 | 1.22 |
| [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) | 1.14 | 1.15 | サポートされていません | 1.16 |
| [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) | 1.13 | 1.14 | 1.14 | 1.4 |
| [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) | 1.3 | 1.4 | 1.4 | 1.12 |
| [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) | 1.9 | 1.10 | 1.10 | 1.2 |
| [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) | 1.5 | 1.6 | 1.6 | 1.14 |
| [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) | サポートされていません – 代わりに「[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)」を参照してください。 | サポートされていません – 代わりに「[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)」を参照してください。 | サポートされていません – 代わりに「[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)」を参照してください。 | 1.3 |
| [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) | 1.4 | 1.5 | 1.5 | 1.13 |
| [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 1.5 |
| [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 1.6 |
| [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 1.7 |
| [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 1.8 |
| [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15) | 1.7 | 1.8 | 1.8 | 1.9 |
| [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16) | 1.8 | 1.9 | 1.9 | 1.10 |
| [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 1.11 |
| [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) | 1.16 | 1.17 | 1.17 | 1.2 |
| [[IAM.20] ルートユーザーの使用を避けます](iam-controls.md#iam-20) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 1.1 |
| [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) | 1.11 | 1.12 | 1.12 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) | 1.18 | 1.19 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) | 1.21 | 1.22 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) | 1.19 | 1.20 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4) | 3.6 | 3.6 | 3.8 | 2.8 |
| [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | サポートされていません – 手動チェック | サポートされていません – 手動チェック |
| [[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2) | 2.2.3 | 2.3.3 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3) | 2.2.1 | 2.3.1 | 2.3.1 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります](rds-controls.md#rds-5) | 2.2.4 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13) | 2.2.2 | 2.3.2 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15) | 2.2.4 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1) | 2.1.4 | 2.1.4 | 2.1.5 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5) | 2.1.1 | 2.1.1 | 2.1.2 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8) | 2.1.4 | 2.1.4 | 2.1.5 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20) | 2.1.2 | 2.1.2 | 2.1.3 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
### CIS AWS Foundations Benchmarks の ARNs
CIS AWS Foundations Benchmark の 1 つ以上のバージョンを有効にすると、 AWS Security Finding 形式 (ASFF) で結果の受信を開始します。ASFF では、各バージョンは次の Amazon リソースネーム (ARN) を使用します。
**CIS AWS Foundations Benchmark v5.0.0**
`arn:aws:securityhub:{{region}}::standards/cis-aws-foundations-benchmark/v/5.0.0`
**CIS AWS Foundations Benchmark v3.0.0**
`arn:aws:securityhub:{{region}}::standards/cis-aws-foundations-benchmark/v/3.0.0`
**CIS AWS Foundations Benchmark v1.4.0**
`arn:aws:securityhub:{{region}}::standards/cis-aws-foundations-benchmark/v/1.4.0`
**CIS AWS Foundations Benchmark v1.2.0**
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`
Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) オペレーションを使用して、有効な標準の ARN を確認できます。
上記の値は `StandardsArn` 用です。ただし、`StandardsSubscriptionArn` は、 リージョンで [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html) を呼び出して標準をサブスクライブするときに Security Hub CSPM が作成する標準サブスクリプションリソースを指します。
**注記**
CIS AWS Foundations Benchmark のバージョンを有効にすると、Security Hub CSPM が他の有効な標準で有効なコントロールと同じサービスにリンクされたルールを使用する AWS Config コントロールの検出結果を生成するまでに最大 18 時間かかることがあります。コントロール検出結果の生成スケジュールの詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。
[統合されたコントロールの検出結果] を有効にすると、検出結果フィールドが異なります。違いについての詳細は、「[ASFF フィールドと値への統合の影響](asff-changes-consolidation.md)」を参照してください。サンプルコントロールの検出結果については、「[コントロール検出結果のサンプル](sample-control-findings.md)」を参照してください。
### Security Hub CSPM でサポートされていない CIS 要件
前の表で説明したように、Security Hub CSPM は CIS AWS Foundations Benchmark のすべてのバージョンですべての CIS 要件をサポートしているわけではありません。サポートされていない要件の多くは、 AWS リソースの状態を手動で確認することによってのみ評価できます。