[アップデート]Security Hub のセキュリティ標準に新たに12個のチェック項目が追加されました(2025/07/15)

はじめに

Security Hubユーザーガイドに更新があり、2025/7/15に12個の新規コントロールが追加されました。

改訂履歴は以下のとおりです。

Document history for the AWS Security Hub User Guide - AWS Security Hub

本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。
各コントロールごとに以下の情報をまとめていきます。

項目	概要
重要度	Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。
概要	コントロールでチェックされる内容を簡単にまとめます。
参考ドキュメント	コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。

今回追加されたコントロールは次の12個です。

• [CloudFront.15] CloudFront distributions should use the recommended TLS security policy
• [Cognito.2] Cognito identity pools should not allow unauthenticated identities
• [EC2.180] EC2 network interfaces should have source/destination checking enabled
• [ELB.18] Application and Network Load Balancer listeners should use secure protocols to encrypt data in transit
• [MSK.4] MSK clusters should have public access disabled
• [MSK.5] MSK connectors should have logging enabled
• [MSK.6] MSK clusters should disable unauthenticated access
• [RDS.45] Aurora MySQL DB clusters should have audit logging enabled
• [Redshift.18] Redshift clusters should have Multi-AZ deployments enabled
• [S3.25] S3 directory buckets should have lifecycle configurations
• [SSM.6] SSM Automation should have CloudWatch logging enabled
• [SSM.7] SSM documents should have the block public sharing setting enabled

では、1つずつ見ていきましょう。

CloudFront

[CloudFront.15] CloudFront distributions should use the recommended TLS security policy

重要度

Medium

概要

このコントロールは、Amazon CloudFront ディストリビューションが推奨 TLS セキュリティポリシーを使用するように設定されているかどうかをチェックします。CloudFront ディストリビューションが推奨 TLS セキュリティポリシーを使用するように設定されていない場合、コントロールは失敗します。

CloudFrontディストリビューションでHTTPS通信を行う際に、古いSSL/TLSプロトコルバージョンや弱い暗号化スイートの使用を避け、最新のセキュリティポリシーを適用することが推奨されています。これにより、ビューワーとCloudFront間の通信で強固な暗号化が確保され、中間者攻撃や通信傍受などのセキュリティリスクを軽減できます。

参考ドキュメント

• Update a distribution

Cognito

[Cognito.2] Cognito identity pools should not allow unauthenticated identities

重要度

Medium

概要

このコントロールは、Amazon Cognito IDプールが認証されていないIDを許可するように構成されているかどうかをチェックします。IDプールでゲストアクセスが有効化されている場合（ AllowUnauthenticatedIdentities パラメータがtrueに設定されている場合）、このコントロールは失敗します。

Amazon Cognito IDプールで未認証ユーザー（ゲストユーザー）へのアクセスを許可すると、匿名ユーザーに対してもAWSリソースへの一時的な認証情報が発行されるため、セキュリティリスクが発生します。このコントロールは、適切に認証されたユーザーのみがAWSリソースにアクセスできるよう、未認証アクセスの無効化または適切な権限制限を推奨しています。

参考ドキュメント

• Activate or deactivate guest access

EC2

[EC2.180] EC2 network interfaces should have source/destination checking enabled

重要度

Medium

概要

このコントロールは、ユーザーが管理するAmazon EC2弾性ネットワークインターフェイス（ENI）に対して送信元/宛先チェックが有効化されているかどうかを確認します。ユーザー管理のENIで送信元/宛先チェックが無効化されている場合、このコントロールは失敗します。

このコントロールが確認するのは以下のタイプのENIのみです。

• aws_codestar_connections_managed
• branch
• efa
• interface
• lambda
• quicksight

EC2インスタンスの送信元/宛先チェック機能を有効にすることで、インスタンスが受信するトラフィックの送信元または送信先として適切であるかをAWSが自動検証します。このコントロールは、IPスプーフィング攻撃や意図しないトラフィックルーティングを防ぐため、全てのEC2インスタンスとENIで一貫してこの機能を有効化することを推奨しています。

参考ドキュメント

• Modify network interface attributes

ELB

[ELB.18] Application and Network Load Balancer listeners should use secure protocols to encrypt data in transit

重要度

Medium

概要

このコントロールは、Application Load Balancer または Network Load Balancer のリスナーが、転送中のデータの暗号化に安全なプロトコルを使用するように構成されているかどうかを確認します。Application Load Balancer リスナーが HTTPS プロトコルを使用するように構成されていない場合、または Network Load Balancer リスナーが TLS プロトコルを使用するように構成されていない場合、このコントロールは失敗します。

Elastic Load Balancerのリスナーで暗号化プロトコル（ALBではHTTPS、NLBではTLS）を使用することで、クライアントとロードバランサー間の通信を保護します。このコントロールは、平文通信による盗聴や改ざんのリスクを防ぐため、全てのリスナーで適切な暗号化設定を推奨しています。特に機密データを扱うアプリケーションやコンプライアンス要件がある環境では、転送中データの暗号化が必須となるため重要なセキュリティ対策です。

参考ドキュメント

• Create an HTTPS listener for your Application Load Balancer
• Create a listener for your Network Load Balancer

MSK

[MSK.4] MSK clusters should have public access disabled

重要度

Critical

概要

このコントロールは、Amazon MSKクラスターのパブリックアクセスが無効化されているかどうかを確認します。MSKクラスターでパブリックアクセスが有効化されている場合、このコントロールは失敗します。

Amazon MSKクラスターのパブリックアクセスを無効にし、VPC内からのプライベート接続のみを許可することで、不正アクセスやデータ漏洩のリスクを軽減します。このコントロールは、MSKクラスターがインターネットから直接アクセス可能な状態になっていないかをチェックし、適切な認証・認可メカニズムと組み合わせたプライベートアクセスを推奨しています。

参考ドキュメント

• Turn on public access to an MSK Provisioned cluster

[MSK.5] MSK connectors should have logging enabled

重要度

Medium

概要

このコントロールは、Amazon MSK コネクタのログ記録が有効かどうかを確認します。MSK コネクタのログ記録が無効の場合、このコントロールは失敗します。

MSKコネクターでログ出力先（CloudWatch Logs、S3、Data Firehose）を設定することで、コネクターの動作状況やエラーの詳細を監視・分析できるようになります。このコントロールは、適切なログ出力設定により運用時のトラブルシューティングやパフォーマンス監視を可能にすることを推奨しています。

参考ドキュメント

• Logging for MSK Connect

[MSK.6] MSK clusters should disable unauthenticated access

重要度

Medium

概要

このコントロールは、Amazon MSKクラスターで認証なしアクセスが有効化されているかどうかを確認します。MSKクラスターで認証なしアクセスが有効化されている場合、このコントロールは失敗します。

MSKクラスターで適切な認証メカニズム（IAM認証、SASL/SCRAM、相互TLSなど）を有効にすることで、未認証クライアントによる不正アクセスを防止します。このコントロールは、未認証アクセスを許可している設定を検出し、最小権限の原則に基づいた適切なアクセス制御の実装を推奨しています。

参考ドキュメント

• Update security settings of an Amazon MSK cluster
• Authentication and authorization for Apache Kafka APIs

RDS

[RDS.45] Aurora MySQL DB clusters should have audit logging enabled

重要度

Medium

概要

このコントロールは、Amazon Aurora MySQL DBクラスターで監査ログ記録が有効化されているかどうかを確認します。
以下のいずれかの場合、このコントロールは失敗します。

• DBクラスターに関連付けられたDBパラメータグループが同期されていない場合
• server_audit_loggingパラメータが1に設定されていない場合
• server_audit_eventsパラメータが空の値に設定されている場合

データベースの監査ログを有効にすることで、不正アクセスの検出、データ変更の追跡、コンプライアンス要件への対応が可能になります。このコントロールは、ログイン試行やデータ操作、スキーマ変更などの重要なデータベース活動が適切に記録されているかを確認し、セキュリティインシデントの調査や規制要件への準拠を推奨しています。

参考ドキュメント

• Publishing Amazon Aurora MySQL logs to Amazon CloudWatch Logs

Redshift

[Redshift.18] Redshift clusters should have Multi-AZ deployments enabled

重要度

Medium

概要

このコントロールは、Amazon Redshiftクラスターに対して複数のアベイラビリティゾーン（マルチAZ）デプロイメントが有効化されているかどうかを確認します。Amazon RedshiftクラスターでマルチAZデプロイメントが有効化されていない場合、このコントロールは失敗します。

RedshiftクラスターでMulti-AZデプロイメントを有効にすることで、単一AZの障害時でもデータウェアハウスの可用性を維持できます。ビジネス継続性と高可用性を確保するため、重要なデータウェアハウスワークロードでMulti-AZ構成の採用を推奨しています。

参考ドキュメント

• Converting a Single-AZ data warehouse to a Multi-AZ data warehouse

S3

[S3.25] S3 directory buckets should have lifecycle configurations

重要度

Low

概要

このコントロールは、S3ディレクトリバケットに対してライフサイクルルールが設定されているかどうかを確認します。ディレクトリバケットにライフサイクルルールが設定されていない場合、またはバケットのライフサイクルルールで指定された有効期限設定が、オプションで指定するパラメータ値と一致しない場合、このコントロールは失敗します。

パラメータ targetExpirationDays には、 1 ~ 2147483647 までの数値が指定できます。

S3ディレクトリバケットでライフサイクル設定を適切に構成することで、不要なオブジェクトの自動削除や不完全なマルチパートアップロードのクリーンアップが可能になります。このコントロールは、ストレージコストの最適化とバケット管理の効率化のため、オブジェクトの有効期限や未完了アップロードの削除ルールが設定されているかを確認し、適切なライフサイクル管理を推奨しています。

参考ドキュメント

• Creating and managing a lifecycle configuration for your directory bucket

SSM

[SSM.6] SSM Automation should have CloudWatch logging enabled

重要度

Medium

概要

このコントロールは、AWS Systems Manager (SSM) Automation に対して Amazon CloudWatch ロギングが有効化されているかどうかを確認します。SSM Automation に対して CloudWatch ロギングが有効化されていない場合、このコントロールは失敗します。

SSM Automationでスクリプト実行時の出力をCloudWatch Logsに記録することで、自動化処理の監査証跡とトラブルシューティング情報を確保できます。aws:executeScriptアクションの実行結果が適切にログ出力されているかを確認し、コンプライアンス要件や運用監視のためのログ記録を推奨しています。

参考ドキュメント

• Logging Automation action output with CloudWatch Logs

[SSM.7] SSM documents should have the block public sharing setting enabled

重要度

Critical

概要

このコントロールは、AWS Systems Manager ドキュメントに対して「公開共有のブロック」設定が有効化されているかどうかを確認します。Systems Manager ドキュメントに対して「公開共有のブロック」設定が無効化されている場合、このコントロールは失敗します。

SSMドキュメントのアカウントレベルでパブリック共有ブロック設定を有効にすることで、意図しない公開や不正アクセスのリスクを軽減できます。このコントロールは、SSMドキュメントが誤って一般公開されることを防ぐため、各リージョンでパブリック共有を制限する設定の有効化を推奨しています。

参考ドキュメント

• Block public sharing for SSM documents

最後に

今回Security Hubに新規追加された12個のコントロールの内容を確認しました。

今回のアップデート内容を総括すると以下の通りです。

各セクションの要約

• CloudFrontディストリビューションで推奨TLSセキュリティポリシーの使用により強固な暗号化を確保
• Cognito IDプールで未認証アクセスを制限し適切な認証を行う
• EC2ネットワークインターフェースの送信元/宛先チェックでIPスプーフィング攻撃を防止
• ELBリスナーで暗号化プロトコル（HTTPS/TLS）を使用し転送中データを保護
• MSKクラスターでパブリックアクセスの無効化、認証メカニズムの実装、ログ記録の有効化によりセキュリティを強化
• RDS（Aurora MySQL）で監査ログを有効化し、データベースアクティビティの追跡を実現
• RedshiftクラスターでMulti-AZデプロイメントにより高可用性を確保
• S3ディレクトリバケットのライフサイクル設定でストレージコストを最適化
• SSM Automationで監査ログの有効化と、SSMドキュメントのパブリック共有ブロックで意図しない公開を防止