CIS ベンチマークを使ってセキュリティレベルを少しずつ上げていこう(Inspector編)
今年はセキュリティのことをいろいろ勉強していこうと思います、那須です。
少し前に Security Hub を使って CIS ベンチマークの内容をベースに AWS アカウントのセキュリティチェックをかけてアクションを起こす話を書きました。
CIS ベンチマーク自体は AWS アカウントだけではなく、Azure や GCP のベンチマークも公開されていますし、各種 OS のベンチマークも公開されています。 Windows Server のベンチマークもあって中身を見てみたんですが、ものすごい数のチェック項目があります。 たぶん全部を満たすことは不可能だ!と思うくらい多いです。
ひとつひとつをチェックするのは大変ですが、自動でチェックしてくれるサービスがありました。
Amazon Inspector です!
Amazon Inspector とは?
とりあえずドキュメントリンクを貼っときます。
過去には簡単に Windows Server の脆弱性診断もやってみた記事を書きました。
さあこれでだいたいどんなものかイメージつきましたね?
Inspector を過小評価していた
実は、Inspector はただの脆弱性診断ツールだと思っていました。昨日までは。 でもよくドキュメントを読んでみると、CIS ベンチマークもサポートされていました!
Inspector を使えば、CIS ベンチマークに沿って定期的に OS のセキュリティ設定状況をチェックしてくれます。
OS セキュリティ設定チェックの流れ
クラスメソッドさんのブログに Inspector の使い方が書いてありますので、基本的な使い方は↓を見てください。 いやー、いつもほんと助かります!
↑この記事をベースに、ルールパッケージで CIS Operating System Security Configuration Benchmarks-1.0 を選択すれば CIS ベンチマークを利用して OS のセキュリティ設定をチェックしてくれます。
やってみた結果
とりあえず AWS から公開されている Windows Server 2012 R2 の AMI から EC2 インスタンスを起動して、試してみました。
いきなりチェックした結果の画面ですが、CIS ベンチマークの項目でひっかかった(推奨設定ができていない)件数がでていますので、その数字をクリックします。
ひっかかった項目すべてが表示されますので、フィルタのテキストボックスで rule 1.1.1 のように「rule <CISベンチマーク項目番号>」でフィルタしましょう。 するとその項目についての結果と詳細がすぐに出てきます。
結果の行の左端にある三角を押して展開すると、下記のように詳細説明や推奨設定内容が出てきます。 この内容に従って設定すると、次回のチェック時にはひっかからないはずですよ。
まとめ
セキュリティって何をもって適切に設定できているかの基準があいまいな場合が多いと思いますが、グローバルで公開されていて広く使われている基準らしいので、まずは CIS ベンチマークをセキュリティ設定のよりどころにするところから始めてみてはいかがでしょうか。
そして AWS アカウントと OS の両方の観点から CIS ベンチマークを使ってセキュリティチェックをかけてできていないことを定期的に確認して、少しずつでいいのでセキュリティレベルを上げていきましょう!
