AWS Security Hubにおけるセキュリティ基準のコントロールを任意のタイミングでBacklog課題として追加する

AWS Security Hub のセキュリティチェックを行う機能であるセキュリティ基準において、失敗しているコントロールを任意のタイミングでチケット管理システムに登録して管理したいと思い、カスタムアクション機能を用いて試してみました。

セキュリティチェックで失敗したコントロールを自動的に Backlog の課題として追加するブログが以前に公開されているので、下記ブログを参照しつつ試しています。

試してみた

AWS Security Hub のカスタムアクション機能を用いることで、セキュリティ基準のコントロールに対して自動で修復するなどのアクションを設定することができます。カスタムアクション自体は Amazon EventBridge 向けに専用イベントを発行する機能であり、アクションそのものは AWS Lambda などを用いて実現します。今回のブログでは、アクションとして Amazon EventBridge API Destinations 機能を利用します。

カスタムアクションに関する AWS ユーザーガイドです。

カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する - AWS Security Hub

設定の流れは下記の通りです。

1. AWS Security Hub のカスタムアクションを設定
2. Amazon EventBridge で Backlog の課題を追加する API 接続を設定

また、このブログの前提条件として次の状態から始めています。

• セキュリティ基準機能を含めて AWS Security Hub を有効化済み
• Backlog の API キーを発行済み
  • 手順は API の設定 – Backlog ヘルプセンター を参照

AWS Security Hub のカスタムアクション設定

Security Hub の設定メニューから「カスタムアクション」タブを選択して作成を開始します。

カスタムアクションの設定を行います。カスタムアクション ID は ARN の一部となります。

設定後の画面です。カスタムアクション ID が ARN に含まれていることが分かります。カスタムアクション ARN は後述する Amazon EventBridge の設定で必要となります。

Amazon EventBridge の設定

EventBridge の設定は次のブログとほぼ同様ですので、次のブログを参照願います。リソース名や説明（オプション）を除き、異なる点としてイベントパターンがありますので、その部分は後述します。

イベントパターンは次のパターンを設定します。設定にはカスタムアクション ARN が必要となります。

{
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Custom Action"],
  "resources": ["arn:aws:securityhub:ap-northeast-1:111122223333:action/custom/addissue"]
}

イベントパターン以外は参照先のブログと同様です。

参考までに今回利用する Backlog の API 「課題の追加」は次のページに記載されています。

課題の追加 | Backlog Developer API | Nulab

動作確認

カスタムアクションはユーザーが任意のタイミングで実行できます。

試しに[IAM.6] Hardware MFA should be enabled for the root userのコントロールから作成したカスタムアクションAddIssueを実行してみます。

カスタムアクション実行後に Backlog の課題として追加されていることを確認できました！

以上で動作確認は終了です。

もし複数の Backlog プロジェクトを使い分けたい場合は、各プロジェクトに対応する複数のカスタムアクションを作成することで可能です。

さいごに

AWS Security Hub のカスタムアクション機能を利用することで、セキュリティ基準のコントロールを任意のタイミングで Backlog の課題として追加することができました。チケット管理システムで管理するかどうかを一度検討した後にチケット追加したい場合に便利な機能でした。

以上、このブログがどなたかのご参考になれば幸いです。