AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください

AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください

#AWS Security Hub
#IAM Access Analyzer
#AWS
平井裕二

平井裕二

facebook logohatena logotwitter logo
Clock Icon2024.07.04

わからないこと

AWS IAM Access AnalyzerをSecurity Hubに統合し、EventBridgeで通知を設定する際、Severity(重要度)でフィルタリングしたいと考えています。

そこで、検出結果のタイプごとの重要度について教えてください。

回答

公式ドキュメントには、検出結果のタイプごとの重要度は記載されていません。

IAM Access Analyzerの検出結果は、Security Hubに送信される際、以下の6つのカテゴリのいずれかに分類されます。

  • 外部アクセス検出
    • Effects/Data Exposure/External Access Granted
      • タイトル:[リソースARN]はパブリックアクセスを許可します
      • 説明:リソースのリソースベースのポリシーにより、すべての外部プリンシパルにリソースへのパブリックアクセスが許可されます。
    • Software and Configuration Checks/AWS Security Best Practices/External Access Granted
      • タイトル:[リソース ARN] はアカウント間のアクセスを許可します
      • 説明:リソースのリソースベースのポリシーにより、アナライザーの信頼ゾーン外の外部プリンシパルへのアカウント間アクセスが許可されます。
  • 未使用アクセスの検出
    • Software and Configuration Checks/AWS Security Best Practices/Unused Permission
      • タイトル:[リソース ARN] には未使用の権限が含まれています
      • 説明:ユーザーまたはロールには、未使用のサービスおよびアクション権限が含まれています。
    • Software and Configuration Checks/AWS Security Best Practices/Unused IAM Role
      • タイトル:[リソース ARN] には未使用の IAM ロールが含まれています
      • 説明:ユーザーまたはロールに未使用の IAM ロールが含まれています。
    • Software and Configuration Checks/AWS Security Best Practices/Unused IAM User Password
      • タイトル:[リソース ARN] には未使用の IAM ユーザー パスワードが含まれています
      • 説明:ユーザーまたはロールに未使用の IAM ユーザー パスワードが含まれています。
    • Software and Configuration Checks/AWS Security Best Practices/Unused IAM User Access Key
      • タイトル:[リソース ARN] には未使用の IAM ユーザー アクセス キーが含まれています
      • 説明:ユーザーまたはロールに未使用の IAM ユーザー アクセス キーが含まれています。

https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html#access-analyzer-securityhub-integration-finding-types

https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html#access-analyzer-securityhub-integration-intrepreting-finding-names

上記の6つのカテゴリのいずれについても、Security Hubの検出結果における重要度に関する情報は公式ドキュメントに記載されていませんでした。

ただし、実際の環境で確認したところ、検出結果のタイプごとの重要度は以下の通りです。これらの情報は公式ドキュメントには記載されていないため、あくまでも参考情報としてご活用ください。

  • 外部アクセス検出
    • Effects/Data Exposure/External Access Granted
      • 重要度:MEDIUM
    • Software and Configuration Checks/AWS Security Best Practices/External Access Granted
      • 重要度:LOW
  • 未使用アクセスの検出
    • Software and Configuration Checks/AWS Security Best Practices/Unused Permission
      • 重要度:LOW
    • Software and Configuration Checks/AWS Security Best Practices/Unused IAM Role
      • 重要度:MEDIUM
    • Software and Configuration Checks/AWS Security Best Practices/Unused IAM User Password
      • 重要度:MEDIUM
    • Software and Configuration Checks/AWS Security Best Practices/Unused IAM User Access Key
      • 重要度:MEDIUM

重要度が「Critical」や「High」に分類される検出結果タイプは確認されませんでした。

検出結果のタイプに対する重要度を確認

Security Hubコンソールから、セキュリティ検出結果のタイプに対する重要度を確認する方法を説明します。

Security Hubコンソールにアクセスし、左側のナビゲーションペインから「統合」を選択します。統合から「IAM Access Analyzer」を見つけ、選択します。

cm-hirai-screenshot 2024-07-01 15.38.53

検出結果の詳細から、重要度と検出の種類が確認できます。

cm-hirai-screenshot 2024-07-01 15.41.25

参考

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html

この記事をシェアする

facebook logohatena logotwitter logo

関連記事

AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください

AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください

User avatar
平井裕二
2024.07.04
AWS Configが無効でも特定のコントロールではAWS Security Hubセキュリティ基準のセキュリティチェックが実行される

AWS Configが無効でも特定のコントロールではAWS Security Hubセキュリティ基準のセキュリティチェックが実行される

User avatar
佐藤雅樹
2024.06.26
【Security Hub修復手順】[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります

【Security Hub修復手順】[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります

User avatar
平井裕二
2024.06.24
AWS Security Hub を中央設定する場合の管理アカウントについて考える

AWS Security Hub を中央設定する場合の管理アカウントについて考える

User avatar
佐藤雅樹
2024.06.21
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.