![[アップデート]Security Hub のセキュリティ標準に新たに4個のチェック項目が追加されました(2024/12/17)](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e71a738589e583b65670923628e8b6f4/45568b9fd457506bd2f3d6fd304d4b6a/aws-security-hub)
[アップデート]Security Hub のセキュリティ標準に新たに4個のチェック項目が追加されました(2024/12/17)
2025.01.28こんにちは!AWS事業本部の吉田です。
みなさん、Security Hubの運用やっていますか?
AWS Security Hubのセキュリティ標準に新たに4個のチェック項目(コントロール)が追加されました。
Security Hubユーザーガイドの改訂履歴は以下のとおりです。
本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。
各コントロール毎に以下の情報をまとめていきます。
| 項目 | 概要 |
|---|---|
| 重要度 | Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。 |
| 概要 | コントロールでチェックされる内容を簡単にまとめます。 |
| 参考ドキュメント | コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。 |
今回追加されたコントロールは次の5つです。
- [Cognito.1] Cognito user pools should have threat protection activated with full function enforcement mode for standard authentication
- [RDS.38] RDS for PostgreSQL DB instances should be encrypted in transit
- [RDS.39] RDS for MySQL DB instances should be encrypted in transit
- [Redshift.16] Redshift cluster subnet groups should have subnets from multiple Availability Zones
Cognito
[Cognito.1] Cognito user pools should have threat protection activated with full function enforcement mode for standard authentication
重要度
Medium
概要
Cognitoユーザープールが、脅威保護設定の強制適用レベルを「フル機能」で設定されているか確認します。
脅威保護が有効化されていない場合と強制適用レベルが「フル機能」※1以外で設定されている場合、このコントロールは失敗します。
※1 カスタムパラメーターでAUDIT(監査のみ)を指定した場合、強制適用レベルを「監査のみ」に指定しても成功します。
参考ドキュメント
RDS
[RDS.38] RDS for PostgreSQL DB instances should be encrypted in transit
重要度
Medium
概要
RDSのPostgreSQLDBインスタンスへの接続が暗号化されているか確認します。
「DBインスタンスへの接続の暗号化」とは、SSL接続の強制を指しています。
SSL接続強制の有無は、パラメーターグループの「rds.force_ssl」パラメーターで設定できます。
参考ドキュメント
[RDS.39] RDS for MySQL DB instances should be encrypted in transit
重要度
Medium
概要
RDSのMySQLDBインスタンスへの接続が暗号化されているか確認します。
「DBインスタンスへの接続の暗号化」とは、SSL接続の強制を指しています。
SSL接続強制の有無は、パラメーターグループの「rds.require_secure_transport」パラメーターで設定できます。
参考ドキュメント
Redshift
[Redshift.16] Redshift cluster subnet groups should have subnets from multiple Availability Zones
重要度
Medium
概要
Redshiftクラスターサブネットグループに複数のAZのサブネットが設定されているか確認します。
参考ドキュメント
最後に
今回はSecurity Hubに新規追加された4つの新規コントロールの内容を確認しました。
今回のアップデート内容を総括すると以下の通りです。
- Cognitoの脅威保護設定推奨
- RDSのDBインスタンスへの接続の暗号化推奨
- Redshiftの可用性向上推奨
引き続き、Security Hubのアップデートを追ってAWSアカウントのセキュリティレベルを向上させていきましょう!
![[アップデート] Security HubにVPC ブロックパブリックアクセス (BPA) の有効化をチェックするコントロール(EC2.172)が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
