![[アップデート]Security Hub のセキュリティ標準に新たに2個のチェック項目が追加されました(2025/9/3)](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e71a738589e583b65670923628e8b6f4/45568b9fd457506bd2f3d6fd304d4b6a/aws-security-hub?w=3840&fm=webp)
[アップデート]Security Hub のセキュリティ標準に新たに2個のチェック項目が追加されました(2025/9/3)
2025.09.28
こんにちは!クラウド事業本部の吉田です。
みなさん、Security Hubの運用やっていますか?
AWS Security Hubのセキュリティ標準に新たに2個のチェック項目(コントロール)が追加されました。
Security Hubユーザーガイドの改訂履歴は以下のとおりです。
本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。
各コントロール毎に以下の情報をまとめていきます。
| 項目 | 概要 |
|---|---|
| 重要度 | Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。 |
| 概要 | コントロールでチェックされる内容を簡単にまとめます。 |
| 参考ドキュメント | コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。 |
今回追加されたコントロールは次の4つです。
- [CloudFront.16] CloudFront distributions should use origin access control for Lambda function URL origins
- [RDS.46] RDS DB instances should not be deployed in public subnets with routes to internet gateways
CloudFront
[CloudFront.16] CloudFront distributions should use origin access control for Lambda function URL origins
重要度
Medium
概要
このコントロールは、Lambda 関数 URLをオリジンとするCloudFrontディストリビューション上でOACが設定されているか確認します。
OACが設定されていない場合、このコントロールは失敗します。
OACを設定することで、S3オリジンと同様にLambda 関数 URLへ直接アクセスされることを防ぐことができます。
参考ドキュメント
- AWS Lambda 関数 URL オリジンへのアクセスを制限する - Amazon CloudFront
- CloudfrontのOAC を利用した Lambdaの 関数URL実行を試してみた | DevelopersIO
RDS
[RDS.46] RDS DB instances should not be deployed in public subnets with routes to internet gateways
重要度
Medium
概要
このコントロールは、インターネットゲートウェイへのルートがあるパブリックサブネットにRDS DBインスタンスがデプロイされているか確認します。
パブリックサブネットにデプロイされていると、このコントロールは失敗します。
プライベートサブネットへ移行することで、データ漏洩の可能性を低減できます。
参考ドキュメント
最後に
今回はSecurity Hubに新規追加された2つの新規コントロールの内容を確認しました。
今回のアップデート内容を総括すると以下の通りです。
- CloudFrontディストリビューション上でのOAC利用推奨
- RDSのネットワーク設定のセキュリティ向上
引き続き、Security Hubのアップデートを追ってAWSアカウントのセキュリティレベルを向上させていきましょう!
