[Security Hub] ワークフローステータス「抑制済み」を使ってセキュリティチェックのリソース例外を登録する

2020/04/16 から追加されているワークフローステータスを活用しよう
2020.08.12

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

大阪オフィスの川原です。

2020/04/16 から Security Hub の検出結果フォーマット(AWS Security Finding Format:ASFF) に ワークフローステータス(Workflow Status) が追加されています。

AWS Security Finding Format (ASFF) とコンソールに [Workflow Status] フィールドを追加しました。

Workflow Status を使用して、結果のステータスが NEW、NOTIFIED、SUPPRESSED、RESOLVED のいずれであるかを示すようになりました。

– 引用: https://ap-northeast-1.console.aws.amazon.com/securityhub/home?region=ap-northeast-1#/whats-new

ワークフローステータスを使って、 「レビューを行ったか」「修正され、解決済みになったか」などのステータスを設定できます。

今回はワークフローステータスの SUPPRESSED(抑制済み) を使用して、 セキュリティ標準のコントロールの リソース例外 を登録してみます。

[前提] セキュリティ標準/コントロール

Security Hub では現在(2020/08/07)以下のセキュリティ標準( Standards )が用意されています。

  • CIS AWS Foundations
  • Payment Card Industry Data Security Standard (PCI DSS)
  • AWS の基本的なセキュリティのベストプラクティス

これらセキュリティ標準を有効化することで、コントロール( Control )というセキュリティチェック項目が生成されます。

img

[前提] コントロール単位の無効化

コントロールの [無効化] を選択することで、コントロールを無効にできます。 無効化したコントロールはチェックの対象外になり、関連して生成している Configルールも削除されます。

img

リソース単位の無効化

前述のコントロール単位の無効化に加えて、 リソース単位の無効化 も可能です。 ワークフローステータスの SUPPRESSED(抑制済み) を使用します。

img

SUPPRESSED(抑制済み) にした検出結果は無視されます。

img

「コントロールは有効化しておきたいが、リソースの例外を登録したい」、 もしくは「何らかの理由で正常なチェックが出来ていない( ステータス:不明 になる)」場合などに 利用を検討すると良いです。

SUPPRESSED(抑制済み) を取り消したい場合は、 検出結果から検索して、ワークフローステータスの変更で状態を戻せます。

img

※コントロールのステータス「成功」「失敗」「不明」についての詳細は以下ブログ参照ください。

おわりに

ワークフローステータス「抑制済み」を紹介しました。

リソース単位の無効化では、無効化する判断理由を記入できません。 なぜ抑制済みにしたか、メモ・管理すると良いと思います。

セキュリティ標準のスコアを上げていきましょう。

この記事が少しでもどなたかのお役に立てば幸いです。

参考