AWS Security HubのOrganizations統合で自動有効化されるセキュリティ基準を無効化できるようになりました

先日Security HubのAPIが2つ更新されました。

• UpdateOrganizationConfiguration
• DescribeOrganizationConfiguration

UpdateOrganizationConfigurationに以下のパラメータが追加で設定できるようになったようです。

{'AutoEnableStandards': 'NONE | DEFAULT'}

コンソール上で言えば、Security Hubの管理アカウント上にAuto-enable default standardsが追加されています。

どのようなアップデート？

AWS Security HubはOrganizationsと統合されており、管理者からメンバーアカウントの管理ができます。その際、自動有効化という機能をONに設定していると、組織内に追加された新しいアカウントには以下のような動作をしていました。

• SecurityHubが有効化されているアカウント
  • 変更なし
• Security Hubが有効になっていないアカウント(新規アカウント発行時も含む)
  • Security Hubの有効化
  • 2つのセキュリティ基準が自動で有効化
    • AWS 基礎セキュリティのベストプラクティス v1.0.0
    • CIS AWS Foundations Benchmark v1.2.0

参考：新しい組織アカウントを自動的に有効にする - AWS Security Hub

これまでSecurity Hubが有効化されていないアカウントに対してはデフォルトで「2つのセキュリティ基準が自動で有効化」されていたのですが、今回のアップデートで セキュリティ基準を自動で有効化しない設定 ができるようになりました。

やってみる

どのように動作が変わったのか確認していきます。

セキュリティ基準の自動有効化：ON

まずはこれまでと同様のセキュリティ基準の自動有効化をONの状態で動作確認をしてみます。

Security Hubを無効化した状態のアカウントをメンバーアカウントとして追加すると、Security Hubの有効化と2つのセキュリティ基準が有効化されました。(スコアが出ているのは、直前に無効化したのが残っているだけなので気にしないでください。)

セキュリティ基準の自動有効化：OFF

アップデートで追加されたOFFの状態で確認してみます。Auto-enable default standardsをOFFにしようとすると「デフォルトのセキュリティ基準２つが自動で有効化されなくなるけどいいの？」と聞かれます。

Turn offをクリックすると、コンソール上もチェックが外れた状態になります。

上記の状態でSecurity Hubへメンバーアカウントを追加してみます。するとメンバーアカウント側ではSecurity Hub自体は有効化されていますが、セキュリティ基準の2つは無効化のままとなっていました。

おわりに

セキュリティ基準が無効化できるアップデートを実際に試してみました。

地味なアップデートではありますがセキュリティ基準を利用せず、イベント集約機能だけは利用しているというケースには便利そうです。

今後は個別にセキュリティ基準を選択できるアップデートにも期待したいですね。