![[アップデート]Security Hub のセキュリティ標準に新たに25個のチェック項目が追加されました(2024/12/10)](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e71a738589e583b65670923628e8b6f4/45568b9fd457506bd2f3d6fd304d4b6a/aws-security-hub)
[アップデート]Security Hub のセキュリティ標準に新たに25個のチェック項目が追加されました(2024/12/10)
2024.12.15こんにちは!AWS事業本部の吉田です。
みなさん、Security Hubの運用やっていますか?
AWS Security Hubのセキュリティ標準に新たに25個のチェック項目(コントロール)が追加されました。
Security Hubユーザーガイドの改訂履歴は以下のとおりです。
本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。
各コントロール毎に以下の情報をまとめていきます。
| 項目 | 概要 |
|---|---|
| 重要度 | Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。 |
| 概要 | コントロールでチェックされる内容を簡単にまとめます。 |
| 参考ドキュメント | コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。 |
今回追加されたコントロールは次の25つです。
- [EC2.61] VPCs should be configured with an interface endpoint for Systems Manager Quick Setup
- [EC2.62] VPCs should be configured with an interface endpoint for CloudWatch Logs
- [EC2.63] VPCs should be configured with an interface endpoint for Systems Manager Messages
- [EC2.64] VPCs should be configured with an interface endpoint for Message Delivery Service
- [EC2.65] VPCs should be configured with an interface endpoint for Secrets Manager
- [EC2.66] VPCs should be configured with an interface endpoint for API Gateway
- [EC2.67] VPCs should be configured with an interface endpoint for CloudWatch
- [EC2.68] VPCs should be configured with an interface endpoint for AWS KMS
- [EC2.69] VPCs should be configured with an interface endpoint for SQS
- [EC2.70] VPCs should be configured with an interface endpoint for STS
- [EC2.71] VPCs should be configured with an interface endpoint for SNS
- [EC2.72] VPCs should be configured with an interface endpoint for S3
- [EC2.73] VPCs should be configured with an interface endpoint for Lambda
- [EC2.74] VPCs should be configured with an interface endpoint for ECS
- [EC2.75] VPCs should be configured with an interface endpoint for Elastic Load Balancing
- [EC2.76] VPCs should be configured with an interface endpoint for CloudFormation
- [EC2.77] VPCs should be configured with an interface endpoint for EventBridge
- [EC2.78] VPCs should be configured with an interface endpoint for EC2 Auto Scaling
- [EC2.79] VPCs should be configured with an interface endpoint for SageMaker AI API
- [EC2.80] VPCs should be configured with an interface endpoint for SageMaker AI Feature Store Runtime
- [EC2.81] VPCs should be configured with an interface endpoint for SageMaker AI Metrics Service
- [EC2.82] VPCs should be configured with an interface endpoint for SageMaker AI Runtime
- [EC2.83] VPCs should be configured with an interface endpoint for SageMaker AI Runtime for FIPS
- [EC2.84] VPCs should be configured with an interface endpoint for SageMaker AI notebook
- [EC2.85] VPCs should be configured with an interface endpoint for SageMaker AI studio
EC2
[EC2.61] VPCs should be configured with an interface endpoint for Systems Manager Quick Setup
重要度
Medium
概要
Systems Manager Quick Setup のインターフェイス VPC エンドポイント(com.amazonaws.region.ssm-quicksetup)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSystems Manager Quick Setup APIを実行できます。
参考ドキュメント
[EC2.62] VPCs should be configured with an interface endpoint for CloudWatch Logs
重要度
Medium
概要
CloudWatch Logs のインターフェイス VPC エンドポイント(com.amazonaws.region.logs)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してDocker Registry APIを実行できます。
参考ドキュメント
[EC2.63] VPCs should be configured with an interface endpoint for Systems Manager Messages
重要度
Medium
概要
Systems Manager Messages のインターフェイス VPC エンドポイント(com.amazonaws.region.ssmmessages)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSystems Manager Messages APIを実行できます。
参考ドキュメント
[EC2.64] VPCs should be configured with an interface endpoint for Message Delivery Service
重要度
Medium
概要
Message Delivery Service のインターフェイス VPC エンドポイント(com.amazonaws.region.ec2messages)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してMessage Delivery Service APIを実行できます。
参考ドキュメント
[EC2.65] VPCs should be configured with an interface endpoint for Secrets Manager
重要度
Medium
概要
Secrets Manager のインターフェイス VPC エンドポイント(com.amazonaws.region.secretsmanager)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSecrets Manager APIを実行できます。
参考ドキュメント
[EC2.66] VPCs should be configured with an interface endpoint for API Gateway
重要度
Medium
概要
API Gateway のインターフェイス VPC エンドポイント(com.amazonaws.region.execute-api)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してAPI Gateway APIを実行できます。
参考ドキュメント
[EC2.67] VPCs should be configured with an interface endpoint for CloudWatch
重要度
Medium
概要
CloudWatch のインターフェイス VPC エンドポイント(com.amazonaws.region.monitoring)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してCloudWatch APIを実行できます。
参考ドキュメント
[EC2.68] VPCs should be configured with an interface endpoint for AWS KMS
重要度
Medium
概要
AWS KMS のインターフェイス VPC エンドポイント(com.amazonaws.region.kms)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してAWS KMS APIを実行できます。
参考ドキュメント
[EC2.69] VPCs should be configured with an interface endpoint for SQS
重要度
Medium
概要
SQS のインターフェイス VPC エンドポイント(com.amazonaws.region.sqs)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSQS APIを実行できます。
参考ドキュメント
[EC2.70] VPCs should be configured with an interface endpoint for STS
重要度
Medium
概要
STS のインターフェイス VPC エンドポイント(com.amazonaws.region.sts)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSTS APIを実行できます。
参考ドキュメント
[EC2.71] VPCs should be configured with an interface endpoint for SNS
重要度
Medium
概要
SNS のインターフェイス VPC エンドポイント(com.amazonaws.region.sns)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSNS APIを実行できます。
参考ドキュメント
[EC2.72] VPCs should be configured with an interface endpoint for S3
重要度
Medium
概要
S3 のインターフェイス VPC エンドポイント(com.amazonaws.region.s3)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してS3 APIを実行できます。
参考ドキュメント
[EC2.73] VPCs should be configured with an interface endpoint for Lambda
重要度
Medium
概要
Lambda のインターフェイス VPC エンドポイント(com.amazonaws.region.lambda)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してLambda APIを実行できます。
参考ドキュメント
[EC2.74] VPCs should be configured with an interface endpoint for ECS
重要度
Medium
概要
ECS のインターフェイス VPC エンドポイント(com.amazonaws.region.ecs)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してECS APIを実行できます。
参考ドキュメント
[EC2.75] VPCs should be configured with an interface endpoint for Elastic Load Balancing
重要度
Medium
概要
Elastic Load Balancing のインターフェイス VPC エンドポイント(com.amazonaws.region.elasticloadbalancing)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してElastic Load Balancing APIを実行できます。
参考ドキュメント
[EC2.76] VPCs should be configured with an interface endpoint for CloudFormation
重要度
Medium
概要
CloudFormation のインターフェイス VPC エンドポイント(com.amazonaws.region.cloudformation)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してCloudFormation APIを実行できます。
参考ドキュメント
[EC2.77] VPCs should be configured with an interface endpoint for EventBridge
重要度
Medium
概要
EventBridge のインターフェイス VPC エンドポイント(com.amazonaws.region.events)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してEventBridge APIを実行できます。
参考ドキュメント
[EC2.78] VPCs should be configured with an interface endpoint for EC2 Auto Scaling
重要度
Medium
概要
EC2 Auto Scaling のインターフェイス VPC エンドポイント(com.amazonaws.region.autoscaling)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してEC2 Auto Scaling APIを実行できます。
参考ドキュメント
[EC2.79] VPCs should be configured with an interface endpoint for SageMaker AI API
重要度
Medium
概要
SageMaker AI API のインターフェイス VPC エンドポイント(com.amazonaws.region.sagemaker.api)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSageMaker AI APIを実行できます。
参考ドキュメント
[EC2.80] VPCs should be configured with an interface endpoint for SageMaker AI Feature Store Runtime
重要度
Medium
概要
SageMaker AI Feature Store Runtime のインターフェイス VPC エンドポイント(com.amazonaws.region.sagemaker.featurestore-runtime)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSageMaker AI Feature Store Runtime APIを実行できます。
参考ドキュメント
[EC2.81] VPCs should be configured with an interface endpoint for SageMaker AI Metrics Service
重要度
Medium
概要
SageMaker AI Metrics Service のインターフェイス VPC エンドポイント(com.amazonaws.region.sagemaker.metrics)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSageMaker AI Metrics Service APIを実行できます。
参考ドキュメント
[EC2.82] VPCs should be configured with an interface endpoint for SageMaker AI Runtime
重要度
Medium
概要
SageMaker AI Runtime のインターフェイス VPC エンドポイント(com.amazonaws.region.sagemaker.runtime)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSageMaker AI Runtime APIを実行できます。
参考ドキュメント
[EC2.83] VPCs should be configured with an interface endpoint for SageMaker AI Runtime for FIPS
重要度
Medium
概要
SageMaker AI Runtime for FIPS のインターフェイス VPC エンドポイント(com.amazonaws.region.sagemaker.runtime-fips)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSageMaker AI Runtime for FIPS APIを実行できます。
参考ドキュメント
[EC2.84] VPCs should be configured with an interface endpoint for SageMaker AI notebook
重要度
Medium
概要
SageMaker AI notebook のインターフェイス VPC エンドポイント(aws.sagemaker.region.notebook)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSageMaker AI notebook APIを実行できます。
参考ドキュメント
[EC2.85] VPCs should be configured with an interface endpoint for SageMaker AI studio
重要度
Medium
概要
SageMaker AI studio のインターフェイス VPC エンドポイント(aws.sagemaker.region.studio)があるか確認します。
PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSageMaker AI studio APIを実行できます。
参考ドキュメント
最後に
今回はSecurity Hubに新規追加された25つの新規コントロールの内容を確認しました。
今回のアップデート内容を総括すると以下の通りです。
- VPCインターフェイスエンドポイントの利用推奨
引き続き、Security Hubのアップデートを追ってAWSアカウントのセキュリティレベルを向上させていきましょう!
![[レポート][NEW LAUNCH] Respond and recover faster with AWS Security Incident Response に参加しました #AWSreInvent #SEC360-NEW](https://images.ctfassets.net/ct0aopd36mqt/3IQLlbdUkRvu7Q2LupRW2o/edff8982184ea7cc2d5efa2ddd2915f5/reinvent-2024-sessionreport-jp.jpg)
