![[アップデート]Security Hub のセキュリティ標準に新たに4個のチェック項目が追加されました(2025/4/16)](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
[アップデート]Security Hub のセキュリティ標準に新たに4個のチェック項目が追加されました(2025/4/16)
2025.06.11はじめに
どうもこんにちは、あかいけです。
ここ最近は梅雨の季節となり、紫陽花が美しく咲き始める今日この頃です。
梅雨といえば、Security Hub。
みなさん、Security Hubを運用されていますか?
Security Hubユーザーガイドに更新があり、
2025/4/16に4個の新規コントロールが追加されました。
改訂履歴は以下のとおりです。
本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。
各コントロールごとに以下の情報をまとめていきます。
| 項目 | 概要 |
|---|---|
| 重要度 | Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。 |
| 概要 | コントロールでチェックされる内容を簡単にまとめます。 |
| 参考ドキュメント | コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。 |
今回追加されたコントロールは次の4個です。
- [EC2.173] EC2 Spot Fleet requests should enable encryption for attached EBS volumes
- [RDS.41] RDS for SQL Server DB instances should be encrypted in transit
- [RDS.42] RDS for MariaDB DB instances should publish logs to CloudWatch Logs
- [SageMaker.8] SageMaker notebook instances should run on supported platforms
EC2
[EC2.173] EC2 Spot Fleet requests should enable encryption for attached EBS volumes
重要度
Medium
概要
EC2 Spot Fleet リクエストで、アタッチされた EBS ボリュームの暗号化が有効になっているか確認します。
暗号化が有効になっていない場合、コントロールは失敗します。
EBS ボリュームの暗号化により、保存時のデータ保護を提供し、データの機密性を確保できます。
参考ドキュメント
RDS
[RDS.41] RDS for SQL Server DB instances should be encrypted in transit
重要度
Medium
概要
Amazon RDS for Microsoft SQL Server DB インスタンスへの接続が転送中に暗号化されているか確認します。
DBインスタンスに関連付けられたパラメータグループの rds.force_ssl パラメータが 0 (off) に設定されている場合、コントロールは失敗します。
転送中の暗号化により、不正なユーザーがネットワークトラフィックを盗聴するリスクを軽減できます。
参考ドキュメント
- Microsoft SQL Server DB インスタンスでの SSL の使用
- RDS for SQL Server で rds.force_ssl パラメータ変更時の透過的な暗号化接続の挙動を sqlcmd で確認してみた
[RDS.42] RDS for MariaDB DB instances should publish logs to CloudWatch Logs
重要度
Medium
概要
Amazon RDS for MariaDB DB インスタンスが Amazon CloudWatch Logs にログを出力するように設定されているか確認します。
DBインスタンスのログが CloudWatch Logs へ出力されていない場合、コントロールは失敗します。
デフォルトでは監査ログ(audit)、エラーログ(error)が確認対象であり、追加設定として一般ログ(general)、スロークエリログ(slowquery)確認対象にできます。
CloudWatch Logs への発行により、ログ管理の一元化とリアルタイムログ分析が可能になり、セキュリティ、アクセス、可用性のレビューをサポートします。
参考ドキュメント
SageMaker
[SageMaker.8] SageMaker notebook instances should run on supported platforms
重要度
Medium
概要
SageMaker ノートブックインスタンスがサポートされているプラットフォームで実行されているか確認します。
サポートされていないプラットフォームを使用している場合、コントロールは失敗します。
サポートされていないプラットフォームは、セキュリティパッチ、バグ修正、その他の種類の更新を受信しない可能性があります。
現在サポートされているプラットフォームは以下の通りです。
- notebook-al2-v1
- notebook-al2-v2
- notebook-al2-v3
参考ドキュメント
- Amazon Linux 2 ノートブックインスタンス
- Migrate your work to an Amazon SageMaker notebook instance with Amazon Linux 2
最後に
今回はSecurity Hubに新規追加された4個の新規コントロールの内容を確認しました。
アップデート内容を総括すると以下の通りです。
- EC2 Spot Fleet リクエストの EBS ボリュームの暗号化推奨
- RDS for SQL Server DB インスタンスへの接続の暗号化推奨
- RDS for MariaDB DB インスタンスのログ出力の推奨
- SageMaker ノートブックインスタンスのサポートプラットフォーム使用の推奨
皆様も引き続きSecurity Hubのアップデートを追いかけて、
AWSアカウントのセキュリティレベルを向上させていきましょう!
![[アップデート] Amazon VPC のルートテーブルで設定可能なルートのデフォルト数が 50 ルートから 500 ルートまで自動拡張されるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-50706ca4b3af64b50895745fa3ba1180/47af3f43efd69adb20976f201c9c3366/amazon-vpc)
![[レポート] AWSのオペレーショナル・レジリエンス(Operational Resilience)の全体像と実践アプローチ](https://images.ctfassets.net/ct0aopd36mqt/6vZd9zWZvlqOEDztYoZCro/7349aaad8d597f1c84ffd519d0968d43/eyecatch_awsreinforce2025_1200x630-crunch.png)
