チェック結果から指定したリソースを除外する

芳賀 健
  • 更新
フォローする

指定したリソースを除外するとは?

セキュリティチェックを実行し、検出されたNGリソースをチェック対象から除外し、次回以降のチェック結果(チェック結果レポートやチェック結果一覧)へ現れなくすることです。
自組織のセキュリティポリシーで許容されているリソースや自組織の運用などでリスクを担保しているリソースがある場合に例外として設定することができます。除外の理由を入力しておけばレポートにも出力されます。
ただし、設定後180日経過後にチェックを実行すると再び出現するので、改めて現状を確認し除外設定してください。
NGリソースの除外設定は、AWSアカウントごとに設定できます。

リソースの除外設定をする

リソースの除外設定では、検出されたNGリソースを除外するため、設定する前にセキュリティチェックを実行し、NGリソースを検出しておく必要があります。
 
1. メニューより「項目設定」をクリックします。
01_home.png

2. 項目設定画面が開いたら、設定したい「組織」「プロジェクト」「AWSアカウント」を選択します。
mceclip1.png
3. CISのチェック項目で、対象の項目の「リソース除外」編集アイコンをクリックします。
mceclip2.png

4. モーダル画面へ表示されたチェック内容とアラート基準を確認してください。
5. 次回以降のチェック結果出力が不要なNGリソースを一覧から選択し、「除外設定」をクリックしてください。(複数選択可能)
mceclip4.png

5. 除外するNGリソースを確認するモーダル画面が表示されますので、選択したリソースが表示されていることを確認し、必要に応じてコメントを入力して「登録」ボタンを押し、登録してください。
登録する事で、次回以降のチェックで結果へ表示されなくなります。
(定期的な確認を促すため、180日後に自動的に設定が取消されます)

 mceclip5.png

 

チェック結果レポートで除外されたチェック項目を確認する

1. メニューより「チェック履歴」をクリックします。
2. 確認したい「セキュリティチェック結果レポート」ファイルをダウンロードし、開きます。
3. レポートは、CISのチェック単位およびアカウント単位にセクションが分かれており、各セクションの最後に「リソース除外設定」の一覧があります。
mceclip7.png

除外の解除について

  1. リソース除外が設定されていると項目設定に除外ありと表示されます。
  2. 除外設定を解除したいチェック項目でリソース除外の編集アイコンをクリックします。
    insightwatch_-_Google_Chrome_2019-10-01_15.59.36.png
  3. NGリソースの一覧から除外を解除したいリソースを選択し、除外解除をクリックします。
    insightwatch_-_Google_Chrome_2019-10-01_18.07.52.png
  4. 選択したリソースに間違いない事を確認し、解除してください。
    insightwatch_-_Google_Chrome_2019-10-01_18.12.48.png
  5. 完了ダイアログが表示され、次回のチェック実行からリソースがチェック対象に戻ります。
    insightwatch_-_Google_Chrome_2019-10-01_18.13.30.png

注記

1. 「リソース除外設定」は定期的なチェックを促すため、設定から180日後に設定が解除されます。
2. insightwatch v2.18.0(2019/09/26リリース)より前に作成された「セキュリティチェック結果レポート」には「リソース除外設定」の一覧はありません。
 

リソース除外設定できるチェック項目

CIS Amazon Web Service Foundations Benchmark

CIS 1.2 コンソールログイン用のパスワードが設定されたIAMユーザにMFAが有効化されていること
CIS 1.3 90日以上利用されていない認証情報は無効化されていること
CIS 1.4 アクセスキーが90日以内にローテーションされていること
CIS 1.16 IAMポリシーがグループまたはロールにのみ適用されていること
CIS 1.19 EC2でのAWSリソースへのAPIアクセスはIAMインスタンスロールを利用していること
CIS 1.21 不要なアクセスキーの発行を避ける
CIS 1.22 制限なしのアクセス許可を指定したIAMポリシーを利用しない
CIS 2.2 CloudTrailログファイルの検証が有効化されていること
CIS 2.3 CloudTrailログのS3バケットが公開設定となっていないこと
CIS 2.4 CloudTrailログがCloudWatch Logsに配信設定されていること
CIS 2.6 CloudTrailログが格納されているS3バケットでログ記録が有効になっていること
CIS 2.7 CloudTrailログがSSE-KMSで暗号化設定されていること
CIS 2.8 KMSマスターキーがローテーション設定されていること
CIS 2.9 利用可能な全てのリージョンにおいて、VPC Flow Logsが有効化されていること
CIS 4.1 Security Groupにて、0.0.0.0/0からポート22番(SSH)への接続が許可されていないこと
CIS 4.2 Security Groupにて、0.0.0.0/0からポート3389番(RDP)への接続が許可されていないこと
CIS 4.3 defaultセキュリティグループが全ての通信を許可していないこと
 
 
 

関連記事

コメント

0件のコメント

記事コメントは受け付けていません。

Powered by Zendesk