[アップデート]2024年3月16日以降にAWS Security Hubで9つのコントロールが廃止されます。

[アップデート]2024年3月16日以降にAWS Security Hubで9つのコントロールが廃止されます。

特にAWS基礎セキュリティベストプラクティスを利用されている方は確認して下さい。
Clock Icon2024.02.15

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

皆さん、AWS Security Hubを使ってAWS環境のセキュリティチェックはしていますか?

本日AM2時頃、AWS Security Hubを利用しているユーザーにはメールが届いたかと思います。(※記事文面は割愛します。)

内容としては、2024年3月16日以降にAWS Security Hubの複数コントロールが廃止される、というものです。

AWSでは定期的にAWS Security Hubの各コントロールをレビューしているため、このようにコントロールの追加や廃止が発生します。

最初にまとめ

  • 2024年3月16日以降に以下のコントロールが廃止される
  • 全てのスタンダードから廃止されるコントロール
    • Athena.1
      • 影響のあるスタンダード:AWS FSBPNIST SP 800-53 Rev. 5
    • AutoScaling.4
      • 影響のあるスタンダード:AWS FSBPNIST SP 800-53 Rev. 5
    • CloudFormation.1
      • 影響のあるスタンダード:AWS FSBPNIST SP 800-53 Rev. 5
    • CodeBuild.5
      • 影響のあるスタンダード:AWS FSBPNIST SP 800-53 Rev. 5
    • IAM.20
      • 影響のあるスタンダード:CIS AWS Foundations Benchmark v1.2.0
    • SNS.2
      • 影響のあるスタンダード:AWS FSBPNIST SP 800-53 Rev. 5
  • 上記に加え、AWS基礎セキュリティベストプラクティスからのみ廃止されるコントロール
    • S3.10
    • S3.11
    • SNS.1

全てのスタンダードから廃止されるコントロールについて

全てのスタンダードから廃止されるコントロールとして、以下のコントロールが紹介されています。

  • Athena.1
  • AutoScaling.4
  • CloudFormation.1
  • CodeBuild.5
  • IAM.20
  • SNS.2

各コントロールについて、今回廃止するに至った事由が記載されているので確認します。

Athena.1

[Athena.1] Athena ワークグループは、保管中に暗号化する必要があります

影響のあるスタンダード:AWS FSBPNIST SP 800-53 Rev. 5

廃止事由:Athenaワークグループの結果はAmazon S3バケットに送られるが、S3ではマネージドキー(SSE-S3)によるデフォルト暗号化を提供するようになったため。

去年1月に発表されたS3のデフォルト暗号化の結果、今回のコントロールが廃止されるようになったようです。

S3のデフォルト暗号化の詳細については以下のご参照ください。

AutoScaling.4

[AutoScaling.4] Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を超えることはできません

影響のあるスタンダード:AWS FSBPNIST SP 800-53 Rev. 5

廃止事由:1以上のホップ制限が必要な場合があるため。例えば、Amazon Linux 2023 AMIのIMDSv2では、コンテナ化されたワークロードをサポート出来るようにデフォルトのホップ制限が2に設定されている。

Amazon Linux 2023のIMDSv2詳細については以下をご参照ください。

CloudFormation.1

[CloudFormation.1] CloudFormation スタックは Simple Notification Service (SNS) と統合する必要があります

影響のあるスタンダード:AWS FSBPNIST SP 800-53 Rev. 5

廃止事由:重要なCloudFormationスタックをSNSトピックと統合することは有用だが、全てのスタックに必須というわけではないため。

例外ケースがあり比較的重要度が高くないため、ということですね。

CodeBuild.5

[CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください

影響のあるスタンダード:AWS FSBPNIST SP 800-53 Rev. 5

廃止事由:Dockerイメージをビルドする場合、Dockerデーモンを起動出来るように特権モードを有効にする必要があるため。

やはりCodeBuildでDockerイメージをビルドする方は多いんでしょうか。私も何度かこのコントロールを抑制したことがあります。

CodeBuildのDockerイメージビルドにおける特権モードが必要な理由についての詳細は、以下の「特権付与」の項をご参照ください。

IAM.20

[IAM.20] ルートユーザーの使用を避けます

影響のあるスタンダード:CIS AWS Foundations Benchmark v1.2.0

廃止事由:[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります で内容をカバー出来ているため。

こちらのコントロールはCIS AWS Foundations Benchmark v1.2.0以外のスタンダードには含まれていません。CISのv1.4.0でも除外されているものです。

廃止事由の通り、CIS AWS Foundations Benchmark v1.2.0 および v1.4.0 には CloudWatch.1 が含まれているため、今後はそちらで対応しましょう。

SNS.2

[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

影響のあるスタンダード:AWS FSBPNIST SP 800-53 Rev. 5

廃止事由:重要なトピックに対する配信ステータスのロギングは有用だが、全てのトピックで必要というわけではないため。

CloudFormation.1 と同じような廃止事由ですね。こちらも例外ケースがあり、比較的重要というわけではないのでしょう。

AWS基礎セキュリティベストプラクティスからのみ廃止されるコントロールについて

上記のコントロールに加え、AWS基礎セキュリティベストプラクティス(AWS Foundational Security Best Practices (FSBP))でのみ廃止されるコントロールも存在します。

  • S3.10
  • S3.11
  • SNS.1

それぞれについて確認していきます。

S3.10

[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です
※もうすぐタイトルが変更されるので、変更後のタイトルにしています。

影響のあるスタンダード:AWS FSBP

廃止事由:[S3.13] S3 汎用バケットにはライフサイクル設定が必要です[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります で内容をカバー出来ているため。

IAM.20同様、他のコントロールで内容をカバー出来ているため廃止となるようです。

S3.11

[S3.11] S3 汎用バケットではイベント通知が有効になっている必要があります
※もうすぐタイトルが変更されるので、変更後のタイトルにしています。

影響のあるスタンダード:AWS FSBP

廃止事由:S3バケットのイベント通知が有用なケースもあるが、普遍的なセキュリティのベストプラクティスではないため。

SNS.1

[SNS.1] SNS トピックは、AWS KMS を使用して保管中に暗号化する必要があります

影響のあるスタンダード:AWS FSBP

廃止事由:Amazon SNSは現在、デフォルトのディスク暗号化を使ってメッセージとファイルを保存しているため。

デフォルトでディスク暗号化がされるようになったため、ユーザー側で保管中の暗号化を行う必要は無くなったとのことです。

直近のWhat' Newを確認しましたが、記事執筆時点︎(2024年2月16日)ではまだこのアップデートは発表されていなさそうです。もし見つけた方は教えてください。

ちなみに日本語のドキュメントはまだ更新されていませんが、英語版では以下のページに次のような文言が追加されています。

By default, Amazon SNS stores messages and files using disk encryption.

今後の流れについて

メール文面の末尾には今後の流れについても記載されています。

上記コントロールは2024年3月16日以降に廃止されます。その調査結果は5日以内にアーカイブされ、90日後にユーザーの操作無く削除されるようです。

コントロール廃止前にコントロールを無効にする方法については、下記をご参照ください。

最後に

ということで、AWS Security Hubのコントロール廃止情報でした。

AWS Security Hubではこのようにレビューが行われ、コントロールが更新されています。皆さんも是非AWS Security Hubを活用し、AWS環境のセキュリティチェックに努めましょう。

本記事が皆様のお役に立てれば幸いです。

以上、べこみんでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebook を提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.