AWS Security Hubの特定のコントロールで、対象のリソースと更新時間が同一のチェック内容が複数表示されるはなぜですか?
2024.05.31困ったこと
AWS Security Hubのコントロール[IAM.3]を確認したところ、アカウントID、リージョン、リソース名、更新時間が同一であるチェック内容が2つ存在していました。なぜ2つあるのでしょうか?
理由
これは、AWS Security Hubで複数のセキュリティ基準を有効化しており、それぞれのセキュリティ基準に同一のコントロール内容が含まれているためです。
このような現象は、AWS Security Hubで複数のセキュリティ基準を有効化している場合に発生します。
今回、以下の2つが有効化されていました。
- CIS AWS Foundations Benchmark v1.4.0
- AWS 基礎セキュリティのベストプラクティス v1.0.0
AWS Security Hubのコントロール欄ではなく、検出結果から確認することで、違いがより明確になります。
検出結果を見ると、Finding ID(検出結果ID)が異なることがわかります。
どちらのコントロールも、IAMユーザーのアクセスキーが90日以内にローテーションされているかをチェックする内容となっています。
- 1.14 Ensure access keys are rotated every 90 days or less
- CIS AWS Foundations Benchmark v1.4.0
- CIS AWS Foundations Benchmark v1.4.0
- IAM.3 IAM users' access keys should be rotated every 90 days or less
- AWS 基礎セキュリティのベストプラクティス v1.0.0
- AWS 基礎セキュリティのベストプラクティス v1.0.0
アクティブなアクセスキーが作成日から90日以上経過している場合、これらのコントロールは失敗と判定されます。
今回有効化された2つのセキュリティ基準に同一内容のコントロールが存在しているため、同じチェック内容が2つ表示されていたのです。
重複排除
ちなみに、統合されたコントロールの検出結果を有効化させることで、同じチェック内容は1つのFindings(検知結果)に統合することができます。デフォルトではオフになっています。
複数のセキュリティ基準を有効化している場合、同じチェック項目の検出結果の値を統一させることができるため、有効化も検討しましょう。
有効化することにより、AWS Security HubのFindingフォーマット(ASFF)が変更などの影響があるため、ドキュメントを参照ください。
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/controls-findings-create-update.html
![【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
