CIS AWS Foundations Benchmark

CIS AWS Foundations Benchmark 標準とは

CIS AWS Foundations Benchmark 標準は、CIS（Center for Internet Security）が定めた、AWS 環境向けのセキュリティ設定ベストプラクティス集です。これは AWS の一部サービスやリソースに対する「安全な設定ガイドライン」で、明確な実装手順と評価手順を含む標準です。ｆ

CISのサイト
https://www.cisecurity.org/

CIS AWS Foundations Benchmark 標準は、イメージとしては AWS アカウントや主要サービスが、最低限安全な設定になっているかを確認するためのチェックリストです。たとえば次のような観点が含まれます。

• ルートユーザーの扱い
• MFA の設定
• CloudTrail の有効化
• Config の有効化
• S3 や IAM まわりの基本設定
• ログ監視や暗号化の基本設定

AWS 基盤の土台部分のセキュリティ基準です。ただ日常的にセキュリティを意識して設計・構築・運用をしていけば、上記の設定は入っているはずです。しかしそうは言っても AWS のサービスは膨大で日々新しいサービスが生まれ、エンジニアのリソースも無限になるわけではないのでどこかしら見落とす部分が出てきます。CIS AWS Foundations Benchmark 標準を確認することで見落としてしまっていないかどうかをチェックすることができます。

CIS AWS Foundations Benchmark 標準の「標準」とは

ここで言っている標準とは 業界標準のベンチマークという意味です。CIS Benchmarks はコミュニティ合意で作られた安全な構成ガイドラインで、AWS 向けにも専用の Benchmark があります。CIS の公式ページで AWS 向け Benchmark が無償 PDF として提供されています。

AWS Foundational Security Best Practices との違い

• CIS AWS Foundations Benchmark　←　CIS が作った業界標準ベンチマーク
• AWS Foundational Security Best Practices (FSBP)　←　AWS が Security Hub 向けに提供する AWS 独自の標準

CIS は安全な設定ガイドライン、FSBP は AWS アカウントとワークロードを継続的に評価するための AWS 独自のベストプラクティスです。

AWS におけるワークロードとは

ワークロードは、リソースと、ビジネス価値をもたらすコード (顧客向けアプリケーションやバックエンドプロセスなど) の集まりです。ワークロードは、1 つの AWS アカウント内のリソースのサブセットで構成されている場合もあれば、複数の AWS アカウントにまたがる複数のリソースの集合になっている場合もあります。中小企業では、ほんの数ワークロードになる一方、大企業では、数千ワークロードにもなることがあります。