[アップデート]Security Hub のセキュリティ標準に新たに11個のチェック項目が追加されました(2025/2/24)
はじめに
どうもこんにちは、あかいけです。
最近ぽかぽか陽気が続いて、春を感じ始めている今日この頃です。
春といえば、Security Hub。
みなさん、Security Hubを運用されていますか?
Security Hubユーザーガイドに更新があり、
2025/2/24に11個の新規コントロールが追加されました。
改訂履歴は以下のとおりです。
本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。
各コントロールごとに以下の情報をまとめていきます。
項目 | 概要 |
---|---|
重要度 | Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。 |
概要 | コントロールでチェックされる内容を簡単にまとめます。 |
参考ドキュメント | コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。 |
今回追加されたコントロールは次の11個です。
久しぶりの10個以上のアップデートで少々ボリューミーですが、一つ一つ確認していきましょう。
- [Connect.2] Amazon Connect instances should have CloudWatch logging enabled
- [ECR.5] ECR repositories should be encrypted with customer managed AWS KMS keys
- [ELB.17] Application and Network Load Balancers with listeners should use recommended security policies
- [Glue.4] AWS Glue Spark jobs should run on supported versions of AWS Glue
- [GuardDuty.11] GuardDuty Runtime Monitoring should be enabled
- [GuardDuty.12] GuardDuty ECS Runtime Monitoring should be enabled
- [GuardDuty.13] GuardDuty EC2 Runtime Monitoring should be enabled
- [NetworkFirewall.10] Network Firewall firewalls should have subnet change protection enabled
- [RDS.40] RDS for SQL Server DB instances should publish logs to CloudWatch Logs
- [SQS.3] SQS queue access policies should not allow public access
- [Transfer.3] Transfer Family connectors should have logging enabled
Connect
[Connect.2] Amazon Connect instances should have CloudWatch logging enabled
重要度
Medium
概要
Amazon Connect インスタンスのフローログが Amazon CloudWatch ロググループに保存するように設定されているか確認します。
CloudWatch ロググループに保存するように設定されていない場合、コントロールは失敗します。
デフォルトでは、新しい Amazon Connect インスタンスを作成すると、
フローログを保存するための Amazon CloudWatch ロググループが自動的に作成されます。
参考ドキュメント
ECR
[ECR.5] ECR repositories should be encrypted with customer managed AWS KMS keys
重要度
Medium
概要
Amazon ECR リポジトリが保存時にカスタマー管理の AWS KMS キーで暗号化されているか確認します。
カスタマー管理の KMS キーで暗号化されていない場合、コントロールは失敗します。
オプションで、コントロールが評価に含める KMS キーのリストを指定できます。
デフォルトでは、Amazon ECR は Amazon S3 管理キー (SSE-S3) でリポジトリデータを暗号化します。
より細かくアクセス制御をしたい場合、代わりに AWS KMS キー (SSE-KMS または DSSE-KMS) を使用してデータを暗号化するように設定できます。
参考ドキュメント
ELB
[ELB.17] Application and Network Load Balancers with listeners should use recommended security policies
重要度
Medium
概要
ALB の HTTPS リスナー、または NLB の TLS リスナーが、推奨されるセキュリティ ポリシーを使用して転送中のデータを暗号化するように設定されているか確認します。
推奨されるセキュリティ ポリシーを使用するように設定されていない場合、コントロールは失敗します。
推奨されるセキュリティ ポリシーを使用すると、コンプライアンスとセキュリティの標準を満たすことができます。
参考ドキュメント
- Application Load Balancer のセキュリティポリシー
- Application Load Balancer 用の HTTPS リスナーを更新する
- Network Load Balancer のセキュリティポリシー
- Network Load Balancer のリスナーを更新する
Glue
[Glue.4] AWS Glue Spark jobs should run on supported versions of AWS Glue
重要度
Medium
概要
AWS Glue for Spark ジョブが、サポートされているバージョンの AWS Glue で実行するように設定されているか確認します。
サポートされていないバージョンの AWS Glue で実行するように設定されている場合、コントロールは失敗します。
参考ドキュメント
GuardDuty
[GuardDuty.11] GuardDuty Runtime Monitoring should be enabled
重要度
High
概要
Amazon GuardDuty でランタイムモニタリングが有効になっているか確認します。
スタンドアロンアカウントの場合、アカウントに対して GuardDuty ランタイムモニタリングが無効になっていると、コントロールは失敗します。
マルチアカウント環境では、委任された GuardDuty 管理者アカウントとすべてのメンバーアカウントに対して GuardDuty ランタイムモニタリングが無効になっていると、コントロールは失敗します。
参考ドキュメント
[GuardDuty.12] GuardDuty ECS Runtime Monitoring should be enabled
重要度
Medium
概要
Amazon GuardDuty 自動セキュリティエージェントが、
AWS Fargate 上の Amazon ECS クラスターのランタイムモニタリングに対して 有効になっているか確認します。
スタンドアロンアカウントの場合、アカウントに対してセキュリティエージェントが無効になっていると、コントロールは失敗します。
マルチアカウント環境では、委任された GuardDuty 管理者アカウントとすべてのメンバーアカウントに対してセキュリティエージェントが無効になっていると、コントロールは失敗します。
参考ドキュメント
- [アップデート]Amazon GuardDuty ECS Runtime Monitoringが利用できるようになりました #AWSreinvent
- AWS Fargate (Amazon ECS のみ) サポートの前提条件
- Fargate の自動セキュリティエージェントの管理 (Amazon ECS のみ)
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring should be enabled
重要度
Medium
概要
Amazon GuardDuty 自動セキュリティエージェントが、
Amazon EC2 インスタンスのランタイムモニタリングに対して有効になっているかどうかを確認します。
スタンドアロンアカウントの場合、アカウントに対してセキュリティエージェントが無効になっていると、コントロールは失敗します。
マルチアカウント環境では、委任された GuardDuty 管理者アカウントとすべてのメンバーアカウントに対してセキュリティエージェントが無効になっていると、コントロールは失敗します。
参考ドキュメント
- [アップデート]Amazon GuardDutyのEC2ランタイム保護がGAしたので詳細な動作確認してみた
- Amazon EC2 インスタンスサポートの前提条件
- Amazon EC2 インスタンスの自動セキュリティエージェントの有効化
Network Firewall
[NetworkFirewall.10] Network Firewall firewalls should have subnet change protection enabled
重要度
Medium
概要
AWS Network Firewall ファイアウォールのサブネット変更保護が有効になっているか確認します。
変更保護が有効になっていない場合、コントロールは失敗します。
変更保護を有効にすることで、ファイアウォールのサブネット関連付けが誤って変更されること防止できます。
参考ドキュメント
RDS
[RDS.40] RDS for SQL Server DB instances should publish logs to CloudWatch Logs
重要度
Medium
概要
Amazon RDS for Microsoft SQL Server DB インスタンスが Amazon CloudWatch Logs にログを発行するように設定されているか確認します。
CloudWatch Logs にログを発行するように設定されていない場合、コントロールは失敗します。
参考ドキュメント
SQS
[SQS.3] SQS queue access policies should not allow public access
重要度
High
概要
Amazon SQS アクセスポリシーが SQS キューへのパブリックアクセスを許可するかチェックします。
パブリックアクセスを許可する場合、コントロールは失敗します。
参考ドキュメント
Transfer Family
[Transfer.3] Transfer Family connectors should have logging enabled
重要度
Medium
概要
AWS Transfer Family コネクタに対して Amazon CloudWatch ログ記録が有効になっているか確認します。
有効になっていない場合、コントロールは失敗します。
参考ドキュメント
最後に
今回はSecurity Hubに新規追加された11個の新規コントロールの内容を確認しました。
アップデート内容を総括すると以下の通りです。
- Amazon Connect フローログのログ出力推奨
- ECRリポジトリのAWS KMSキーでの暗号化推奨
- ALB/NLB セキュリティポリシーの使用推奨
- AWS Glue Sparkジョブ サポートバージョンでの実行推奨
- GuardDutyランタイムモニタリングを有効化推奨
- ECSでのGuardDutyランタイムモニタリングを有効化推奨
- EC2でのGuardDutyランタイムモニタリングを有効化推奨
- ネットワークファイアウォール サブネット変更保護の有効化推奨
- RDS for SQL Server DBのログ出力推奨
- SQSキューアクセスポリシー パブリックアクセスの設定推奨
- Transfer Familyコネクタのログ記録推奨
皆様も引き続きSecurity Hubのアップデートを追いかけて、
AWSアカウントのセキュリティレベルを向上させていきましょう!