はじめに

こんにちは、Shunです。

AWSのセキュリティサービスが非常に面白いなと思っている今日このごろです。

今回は、Inspector v2を用いて、EC2のCIS Benchmarksのスキャンを実施する機会があったので、諸々まとめてみました。

CIS Benchmarksとは

概要

CIS Benchmarksは、Center of Internet Securityによって開発されたセキュリティのベストプラクティスの集合体です。
これは世界中のセキュリティエキスパートによって共同で作成され、企業が設定ベースのセキュリティ脆弱性を特定し、防御策を講じるのを支援します。
このガイドラインは、組織が新たなセキュリティリスクに対応するためのアプローチ方法を提供します。

参考: CIS Benchmarks とは何ですか?

レベル

CIS Benchmarksは、二つのプロファイルレベルに分けられています。

レベル1プロファイル
レベル1は、基本的なセキュリティ対策を中心に構成されており、全体的なサイバーセキュリティリスクを低下させます。
このレベルは、ビジネス機能や稼働状況への影響を最小限に抑えつつ、基本的な保護を提供することを目的としています。

レベル2プロファイル
レベル2は、セキュリティを最優先する高度なセキュリティ対策を提供し、機密性が高いデータを扱う環境に特に適しています。
このレベルの推奨事項を実施するには、専門的な知識と計画が必要です。

参考: CIS Benchmarks レベルとは何ですか?

前提

料金

Inspectorを用いた、EC2インスタンスのCIS Benchmarks評価の料金は以下の通りです。

一か月の評価数: 0.03USD/インスタンス

参考: Amazon Inspectorの料金表

サポートOS

Inspectorを用いたCIS Benchmarks評価は、以下のOSがサポートされています。

OS	バージョン	CIS Benchmarks
Amazon Linux 2	AL2	2.0.0
Amazon Linux 2023	AL2023	1.0.0
Windows Server	2019	2.0.0
Windows Server	2022	2.0.0

引用: サポートされているオペレーティングシステム: CIS スキャン

EC2インスタンスの要件

スキャン対象とするEC2インスタンスは、以下の要件を満たす必要があります。

• サポート対象のOSであること
• SSMマネージドインスタンスであること
• 以下のポリシーが付与されていること
  1. AmazonInspector2FullAccess
  2. AmazonSSMManagedInstanceCore
  3. AmazonInspector2ManagedCispolicy

設定手順

1. タグの付与

まず、スキャン対象のEC2インスタンスへタグを付与します。
Inspectorからはこのタグごとにスキャンを実施します。

2. InspectorからCISスキャン

Inspectorの [On-demand scans] > [CIS scans] > [Create new scan] を選択します。

以下の設定値を入力し、作成します。

• Scan configuration name: 任意の名前
• Key: [設定したタグキー]
• Value: [設定したタグ値]
• CIS Benchmark level: LEVEL_2
• Target accounts: [対象アカウント]
• Schedule: One time scan

数分すると、[Scan results] の[Status]が結果がCOMPLETEDとなります。

チェック項目の確認

チェック項目の一覧は、以下のように確認することができます。
約250個程度チェックされており、確認するだけでも大変そうです。

チェック項目のタイトルを選択すると、以下のように詳細が表示されます。

[Scanned resouces]からはスキャンしたリソースごとに表示することができます。

[Checks] > [Remediation] からは修正方法を確認することができます。

まとめ

Inspector v2を用いたEC2のCIS Benchmarks評価を実施しました。

タグを付与するだけで簡単にスキャンが可能で、EC2インスタンスがCIS Benchmarksにどの程度準拠しているかを確認できます。
ただし、評価項目が多いため、優先順位をつけ、必要なものから順に対応していくことをお勧めします。

最後まで読んでいただきありがとうございます！