困ったこと
AWS Security Hubのコントロール[IAM.3]を確認したところ、アカウントID、リージョン、リソース名、更新時間が同一であるチェック内容が2つ存在していました。なぜ2つあるのでしょうか?
理由
これは、AWS Security Hubで複数のセキュリティ基準を有効化しており、それぞれのセキュリティ基準に同一のコントロール内容が含まれているためです。
このような現象は、AWS Security Hubで複数のセキュリティ基準を有効化している場合に発生します。
今回、以下の2つが有効化されていました。
- CIS AWS Foundations Benchmark v1.4.0
- AWS 基礎セキュリティのベストプラクティス v1.0.0
AWS Security Hubのコントロール欄ではなく、検出結果から確認することで、違いがより明確になります。
検出結果を見ると、Finding ID(検出結果ID)が異なることがわかります。
どちらのコントロールも、IAMユーザーのアクセスキーが90日以内にローテーションされているかをチェックする内容となっています。
- 1.14 Ensure access keys are rotated every 90 days or less
- CIS AWS Foundations Benchmark v1.4.0
- CIS AWS Foundations Benchmark v1.4.0
- IAM.3 IAM users' access keys should be rotated every 90 days or less
- AWS 基礎セキュリティのベストプラクティス v1.0.0
- AWS 基礎セキュリティのベストプラクティス v1.0.0
アクティブなアクセスキーが作成日から90日以上経過している場合、これらのコントロールは失敗と判定されます。
今回有効化された2つのセキュリティ基準に同一内容のコントロールが存在しているため、同じチェック内容が2つ表示されていたのです。
重複排除
ちなみに、統合されたコントロールの検出結果を有効化させることで、同じチェック内容は1つのFindings(検知結果)に統合することができます。デフォルトではオフになっています。
複数のセキュリティ基準を有効化している場合、同じチェック項目の検出結果の値を統一させることができるため、有効化も検討しましょう。
有効化することにより、AWS Security HubのFindingフォーマット(ASFF)が変更などの影響があるため、ドキュメントを参照ください。
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/controls-findings-create-update.html
37
