[アップデート]Security Hub のセキュリティ標準に新たに5個のチェック項目が追加されました(2024/11/15)

こんにちは！AWS事業本部の吉田です。

みなさん、Security Hubの運用やっていますか？

AWS Security Hubのセキュリティ標準に新たに5個のチェック項目(コントロール)が追加されました。

Security Hubユーザーガイドの改訂履歴は以下のとおりです。
https://docs.aws.amazon.com/securityhub/latest/userguide/doc-history.html

本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。

各コントロール毎に以下の情報をまとめていきます。

項目	概要
重要度	Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。
概要	コントロールでチェックされる内容を簡単にまとめます。
参考ドキュメント	コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。

今回追加されたコントロールは次の5つです。

• [EC2.55] VPCs should be configured with an interface endpoint for ECR API
• [EC2.56] VPCs should be configured with an interface endpoint for Docker Registry
• [EC2.57] VPCs should be configured with an interface endpoint for Systems Manager
• [EC2.58] VPCs should be configured with an interface endpoint for Systems Manager Incident Manager Contacts
• [EC2.60] VPCs should be configured with an interface endpoint for Systems Manager Incident Manager

EC2

[EC2.55] VPCs should be configured with an interface endpoint for ECR API

重要度

Medium

概要

Amazon ECR API のインターフェイス VPC エンドポイント(com.amazonaws.region.ecr.api)があるか確認します。

PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してECR APIを実行できます。

参考ドキュメント

• インターフェイス VPC エンドポイントを使用して AWS のサービス にアクセスする
• Amazon ECR インターフェイス VPC エンドポイント (AWS PrivateLink)
• プライベートサブネットから ECR にイメージをプッシュする際に必要な VPC エンドポイントを教えてください

[EC2.56] VPCs should be configured with an interface endpoint for Docker Registry

重要度

Medium

概要

Docker Registry のインターフェイス VPC エンドポイント(com.amazonaws.region.ecr.dkr)があるか確認します。

PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してDocker Registry APIを実行できます。

参考ドキュメント

• インターフェイス VPC エンドポイントを使用して AWS のサービス にアクセスする
• Amazon ECR インターフェイス VPC エンドポイント (AWS PrivateLink)
• プライベートサブネットから ECR にイメージをプッシュする際に必要な VPC エンドポイントを教えてください

[EC2.57] VPCs should be configured with an interface endpoint for Systems Manager

重要度

Medium

概要

Systems Manager のインターフェイス VPC エンドポイント(ssm.region.amazonaws.com)があるか確認します。

PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSystems Manager APIを実行できます。

参考ドキュメント

• インターフェイス VPC エンドポイントを使用して AWS のサービス にアクセスする
• Systems Manager のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する
• プライベートサブネットにあるEC2インスタンスを Systems Manager で管理する

[EC2.58] VPCs should be configured with an interface endpoint for Systems Manager Incident Manager Contacts

重要度

Medium

概要

Systems Manager Incident Manager Contacts のインターフェイス VPC エンドポイント(ssm-contacts.region.amazonaws.com)があるか確認します。

PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSystems Manager Incident Manager Contacts APIを実行できます。

参考ドキュメント

• インターフェイス VPC エンドポイントを使用して AWS のサービス にアクセスする
• AWS Systems Manager Incident Manager エンドポイントとクォータ

[EC2.60] VPCs should be configured with an interface endpoint for Systems Manager Incident Manager

重要度

Medium

概要

Systems Manager Incident Manager Contacts のインターフェイス VPC エンドポイント(ssm-incidents.region.amazonaws.com)があるか確認します。

PrivateLinkを使用することで、VPCもしくはオンプレミスからプライベート接続を介してSystems Manager Incident Manager APIを実行できます。

参考ドキュメント

• インターフェイス VPC エンドポイントを使用して AWS のサービス にアクセスする
• AWS Systems Manager Incident Manager エンドポイントとクォータ

最後に

今回はSecurity Hubに新規追加された5つの新規コントロールの内容を確認しました。

今回のアップデート内容を総括すると以下の通りです。

• VPCインターフェイスエンドポイントの利用推奨

引き続き、Security Hubのアップデートを追ってAWSアカウントのセキュリティレベルを向上させていきましょう!