[アップデート]Security Hub のセキュリティ標準に新たに7個のチェック項目が追加されました(2025/5/7)

#AWS

#AWS Security Hub

あかいけ

2025.06.11

 はじめにどうもこんにちは、あかいけです。

ここ最近は梅雨の季節となり、紫陽花が美しく咲き始める今日この頃です。
梅雨といえば、Security Hub。

みなさん、Security Hubを運用されていますか？
Security Hubユーザーガイドに更新があり、

2025/5/7に7個の新規コントロールが追加されました。
改訂履歴は以下のとおりです。
https://docs.aws.amazon.com/securityhub/latest/userguide/doc-history.html
本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。

各コントロールごとに以下の情報をまとめていきます。


項目
概要


重要度
Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。

概要
コントロールでチェックされる内容を簡単にまとめます。

参考ドキュメント
コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。

今回追加されたコントロールは次の7個です。
[DocumentDB.6] Amazon DocumentDB clusters should be encrypted in transit
[RDS.44] RDS for MariaDB DB instances should be encrypted in transit
[RedshiftServerless.2] Connections to Redshift Serverless workgroups should be required to use SSL
[RedshiftServerless.3] Redshift Serverless workgroups should prohibit public access
[RedshiftServerless.5] Redshift Serverless namespaces should not use the default admin username
[RedshiftServerless.6] Redshift Serverless namespaces should export logs to CloudWatch Logs
[RedshiftServerless.7] Redshift Serverless namespaces should not use the default database name
 DocumentDB [DocumentDB.6] Amazon DocumentDB clusters should be encrypted in transit 重要度Medium
 概要Amazon DocumentDB クラスターが接続に TLS を要求するように設定されているか確認します。

クラスターパラメータグループが同期されていない場合、または クラスターパラメータグループにて TLS が enabled または disabled` になっている場合、コントロールは失敗します。
TLSを有効にすることで転送中のデータを暗号化することができます。

またTLSを有効化する場合は、以下の設定値が推奨されています。
tls1.2+
DocumentDB 4.0以降

tls1.3+
DocumentDB 4.0以降

fips-140-3
ca-central-1、us-west-2、us-east-1、us-east-2、us-gov-east-1、us-gov-west-1 限定
DocumentDB 5.0以降

 参考ドキュメントEncrypting data in transit
 RDS [RDS.44] RDS for MariaDB DB instances should be encrypted in transit 重要度Medium
 概要Amazon RDS for MariaDB DB インスタンスへの接続が転送中に暗号化されているか確認します。
DB インスタンスに関連付けられたパラメータグループが同期されていない場合、またはパラメータグループの require_secure_transport が ON に設定されていない場合、コントロールは失敗します。

またこのコントロールは、MariaDB バージョン 10.5 以降のみサポートされます。
転送中の暗号化により、不正なユーザーがネットワークトラフィックを盗聴するリスクを軽減できます。
 参考ドキュメントAmazon RDS 上の MariaDB DB インスタンスの SSL/TLS サポート
Amazon RDS 上の MariaDB DB インスタンスへのすべての接続に SSL/TLS を要求する
 RedshiftServerless [RedshiftServerless.2] Connections to Redshift Serverless workgroups should be required to use SSL 重要度Medium
 概要Amazon Redshift Serverless ワークグループへの接続で転送中のデータ暗号化が要求されているか確認します。

ワークグループの設定パラメータ require_ssl が false に設定されている場合、コントロールは失敗します。
データ暗号化の設定を有効化することで、

クライアントとワークグループ間で送信されるデータを暗号化し、不正なデータ傍受を防止できます。
 参考ドキュメントAmazon Redshift Serverless への SSL 接続
 [RedshiftServerless.3] Redshift Serverless workgroups should prohibit public access 重要度High
 概要Amazon Redshift Serverless ワークグループでパブリックアクセスが無効になっているか確認します。

ワークグループのプロパティ publiclyAccessible が有効になっている場合、コントロールは失敗します。
パブリックアクセスが有効になっていると、Amazon Redshift が Elastic IP アドレスを作成し、ワークグループが外部ネットワークからアクセス可能となります。
 参考ドキュメントワークグループのプロパティを表示する
Amazon Redshift クラスターまたは Amazon Redshift Serverless ワークグループのセキュリティグループ通信設定の構成
 [RedshiftServerless.5] Redshift Serverless namespaces should not use the default admin username 重要度Medium
 概要Amazon Redshift Serverless 名前空間の管理者ユーザー名がデフォルトの「admin」ユーザー名でないか確認します。

管理者ユーザー名が「admin」の場合、コントロールは失敗します。
デフォルトの公開されている管理者ユーザー名の使用防ぐことで、

ブルートフォース攻撃のリスクや効果を軽減することができます。
 参考ドキュメント名前空間
 [RedshiftServerless.6] Redshift Serverless namespaces should export logs to CloudWatch Logs 重要度Medium
 概要Amazon Redshift Serverless 名前空間が接続ログとユーザーログを Amazon CloudWatch Logs に出力するように設定されているか確認します。

接続ログとユーザーログがCloudWatch Logsへ出力されていない場合、コントロールは失敗します。
CloudWatch Logsにログ出力することで、リアルタイムログデータ分析の実行や CloudWatch アラームの作成、メトリクスの確認が可能になります。
 参考ドキュメントAmazon Redshift Serverless の監査ログ記録
 [RedshiftServerless.7] Redshift Serverless namespaces should not use the default database name 重要度Medium
 概要Amazon Redshift Serverless 名前空間がデフォルトのデータベース名「dev」を使用していないか確認します。

データベース名に「dev」を使用している場合、コントロールは失敗します。
デフォルトのデータベース名を使用しないことで、

不正なユーザーが意図せずデータへのアクセス権を取得するなどのリスクを軽減します。

また名前空間作成後はデータベース名を変更できないため、名前空間を最初に作成する際にカスタムデータベース名を指定する必要があります。
 参考ドキュメント名前空間
 最後に今回はSecurity Hubに新規追加された7個の新規コントロールの内容を確認しました。

アップデート内容を総括すると以下の通りです。
DocumentDB クラスターの TLS 接続の推奨
RDS for MariaDB DB インスタンスの転送中の暗号化推奨
Redshift Serverless ワークグループの SSL 接続の推奨
Redshift Serverless ワークグループのパブリックアクセス禁止の推奨
Redshift Serverless 名前空間のデフォルト管理者ユーザー名回避の推奨
Redshift Serverless 名前空間のログエクスポートの推奨
Redshift Serverless 名前空間のデフォルトデータベース名回避の推奨
皆様も引き続きSecurity Hubのアップデートを追いかけて、

AWSアカウントのセキュリティレベルを向上させていきましょう!

項目	概要
重要度	Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。
概要	コントロールでチェックされる内容を簡単にまとめます。
参考ドキュメント	コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。

はじめに

DocumentDB

[DocumentDB.6] Amazon DocumentDB clusters should be encrypted in transit

重要度

概要

参考ドキュメント

RDS

[RDS.44] RDS for MariaDB DB instances should be encrypted in transit

重要度

概要

参考ドキュメント

RedshiftServerless

[RedshiftServerless.2] Connections to Redshift Serverless workgroups should be required to use SSL

重要度

概要

参考ドキュメント

[RedshiftServerless.3] Redshift Serverless workgroups should prohibit public access

重要度

概要

参考ドキュメント

[RedshiftServerless.5] Redshift Serverless namespaces should not use the default admin username

重要度

概要

参考ドキュメント

[RedshiftServerless.6] Redshift Serverless namespaces should export logs to CloudWatch Logs

重要度

概要

参考ドキュメント

[RedshiftServerless.7] Redshift Serverless namespaces should not use the default database name

重要度

概要

参考ドキュメント

最後に

関連記事

主なカテゴリ

AWSで探す

注目のテーマ

プロダクトやサービスで探す

特集やシリーズから探す

お問い合わせ

運営会社