AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください

AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください

#AWS Security Hub
#IAM Access Analyzer
#AWS
平井裕二

平井裕二

facebook logohatena logotwitter logo
Clock Icon2024.07.04

わからないこと

AWS IAM Access AnalyzerをSecurity Hubに統合し、EventBridgeで通知を設定する際、Severity(重要度)でフィルタリングしたいと考えています。

そこで、検出結果のタイプごとの重要度について教えてください。

回答

公式ドキュメントには、検出結果のタイプごとの重要度は記載されていません。

IAM Access Analyzerの検出結果は、Security Hubに送信される際、以下の6つのカテゴリのいずれかに分類されます。

  • 外部アクセス検出
    • Effects/Data Exposure/External Access Granted
      • タイトル:[リソースARN]はパブリックアクセスを許可します
      • 説明:リソースのリソースベースのポリシーにより、すべての外部プリンシパルにリソースへのパブリックアクセスが許可されます。
    • Software and Configuration Checks/AWS Security Best Practices/External Access Granted
      • タイトル:[リソース ARN] はアカウント間のアクセスを許可します
      • 説明:リソースのリソースベースのポリシーにより、アナライザーの信頼ゾーン外の外部プリンシパルへのアカウント間アクセスが許可されます。
  • 未使用アクセスの検出
    • Software and Configuration Checks/AWS Security Best Practices/Unused Permission
      • タイトル:[リソース ARN] には未使用の権限が含まれています
      • 説明:ユーザーまたはロールには、未使用のサービスおよびアクション権限が含まれています。
    • Software and Configuration Checks/AWS Security Best Practices/Unused IAM Role
      • タイトル:[リソース ARN] には未使用の IAM ロールが含まれています
      • 説明:ユーザーまたはロールに未使用の IAM ロールが含まれています。
    • Software and Configuration Checks/AWS Security Best Practices/Unused IAM User Password
      • タイトル:[リソース ARN] には未使用の IAM ユーザー パスワードが含まれています
      • 説明:ユーザーまたはロールに未使用の IAM ユーザー パスワードが含まれています。
    • Software and Configuration Checks/AWS Security Best Practices/Unused IAM User Access Key
      • タイトル:[リソース ARN] には未使用の IAM ユーザー アクセス キーが含まれています
      • 説明:ユーザーまたはロールに未使用の IAM ユーザー アクセス キーが含まれています。

https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html#access-analyzer-securityhub-integration-finding-types

https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html#access-analyzer-securityhub-integration-intrepreting-finding-names

上記の6つのカテゴリのいずれについても、Security Hubの検出結果における重要度に関する情報は公式ドキュメントに記載されていませんでした。

ただし、実際の環境で確認したところ、検出結果のタイプごとの重要度は以下の通りです。これらの情報は公式ドキュメントには記載されていないため、あくまでも参考情報としてご活用ください。

  • 外部アクセス検出
    • Effects/Data Exposure/External Access Granted
      • 重要度:MEDIUM
    • Software and Configuration Checks/AWS Security Best Practices/External Access Granted
      • 重要度:LOW
  • 未使用アクセスの検出
    • Software and Configuration Checks/AWS Security Best Practices/Unused Permission
      • 重要度:LOW
    • Software and Configuration Checks/AWS Security Best Practices/Unused IAM Role
      • 重要度:MEDIUM
    • Software and Configuration Checks/AWS Security Best Practices/Unused IAM User Password
      • 重要度:MEDIUM
    • Software and Configuration Checks/AWS Security Best Practices/Unused IAM User Access Key
      • 重要度:MEDIUM

重要度が「Critical」や「High」に分類される検出結果タイプは確認されませんでした。

検出結果のタイプに対する重要度を確認

Security Hubコンソールから、セキュリティ検出結果のタイプに対する重要度を確認する方法を説明します。

Security Hubコンソールにアクセスし、左側のナビゲーションペインから「統合」を選択します。統合から「IAM Access Analyzer」を見つけ、選択します。

cm-hirai-screenshot 2024-07-01 15.38.53

検出結果の詳細から、重要度と検出の種類が確認できます。

cm-hirai-screenshot 2024-07-01 15.41.25

参考

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html

Share this article

facebook logohatena logotwitter logo

関連記事

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

User avatar
吉田 岳史
2024.11.07
[小ネタ]Security Hubの重要度の基準を調べてみた

[小ネタ]Security Hubの重要度の基準を調べてみた

User avatar
和田響
2024.11.05
(สำหรับมือใหม่) AWS Security Hub คืออะไร? อธิบายจากข้อมูลทั่วไป ประโยชน์ของการใช้งานจนถึงค่าใช้จ่าย

(สำหรับมือใหม่) AWS Security Hub คืออะไร? อธิบายจากข้อมูลทั่วไป ประโยชน์ของการใช้งานจนถึงค่าใช้จ่าย

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.