![[Security Hub] ワークフローステータス「抑制済み」を使ってセキュリティチェックのリソース例外を登録する](https://devio2023-media.developers.io/wp-content/uploads/2019/05/aws-security-hub.png)
[Security Hub] ワークフローステータス「抑制済み」を使ってセキュリティチェックのリソース例外を登録する
はじめに
大阪オフィスの川原です。
2020/04/16 から Security Hub の検出結果フォーマット(AWS Security Finding Format:ASFF) に ワークフローステータス(Workflow Status) が追加されています。
AWS Security Finding Format (ASFF) とコンソールに [Workflow Status] フィールドを追加しました。
︙
Workflow Status を使用して、結果のステータスが NEW、NOTIFIED、SUPPRESSED、RESOLVED のいずれであるかを示すようになりました。
– 引用: https://ap-northeast-1.console.aws.amazon.com/securityhub/home?region=ap-northeast-1#/whats-new
ワークフローステータスを使って、 「レビューを行ったか」「修正され、解決済みになったか」などのステータスを設定できます。
今回はワークフローステータスの SUPPRESSED(抑制済み) を使用して、 セキュリティ標準のコントロールの リソース例外 を登録してみます。
[前提] セキュリティ標準/コントロール
Security Hub では現在(2020/08/07)以下のセキュリティ標準( Standards )が用意されています。
- CIS AWS Foundations
- Payment Card Industry Data Security Standard (PCI DSS)
- AWS の基本的なセキュリティのベストプラクティス
これらセキュリティ標準を有効化することで、コントロール( Control )というセキュリティチェック項目が生成されます。
[前提] コントロール単位の無効化
コントロールの [無効化] を選択することで、コントロールを無効にできます。 無効化したコントロールはチェックの対象外になり、関連して生成している Configルールも削除されます。
リソース単位の無効化
前述のコントロール単位の無効化に加えて、 リソース単位の無効化 も可能です。 ワークフローステータスの SUPPRESSED(抑制済み) を使用します。
SUPPRESSED(抑制済み) にした検出結果は無視されます。
「コントロールは有効化しておきたいが、リソースの例外を登録したい」、
もしくは「何らかの理由で正常なチェックが出来ていない( ステータス:不明 になる)」場合などに
利用を検討すると良いです。
SUPPRESSED(抑制済み) を取り消したい場合は、 検出結果から検索して、ワークフローステータスの変更で状態を戻せます。
※コントロールのステータス「成功」「失敗」「不明」についての詳細は以下ブログ参照ください。
おわりに
ワークフローステータス「抑制済み」を紹介しました。
リソース単位の無効化では、無効化する判断理由を記入できません。 なぜ抑制済みにしたか、メモ・管理すると良いと思います。
セキュリティ標準のスコアを上げていきましょう。
この記事が少しでもどなたかのお役に立てば幸いです。
