[アップデート]Security Hub のセキュリティ標準に新たに8個のチェック項目が追加されました(2024/8/30)

[アップデート]Security Hub のセキュリティ標準に新たに8個のチェック項目が追加されました(2024/8/30)

Clock Icon2024.09.02

あしざわです。

みなさん、Security Hubの運用やっていますか?

AWS Security Hubのセキュリティ標準に新たに 8個のチェック項目(コントロール)が 追加されました。

AWS What’s new ブログでのアナウンスは以下です。

https://aws.amazon.com/jp/about-aws/whats-new/2024/08/aws-security-hub-8-new-security-controls/

本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。

各コントロール毎に以下の情報をまとめていきます。

項目 概要
重要度 Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。
概要 コントロールでチェックされる内容を簡単にまとめます。
参考ドキュメント コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。

今回追加されたコントロールはこちらの8つです。

Amazon Athena

[Athena.4] Athena workgroups should have logging enabled

重要度

Medium

概要

このコントロールは、Amazon Athenaのワークグループでログ記録が有効になっていることを確認します。

ワークグループのログ記録が有効になっているとは、CloudWatchにクエリメトリクスを発行している状態を指します。

クエリメトリクスを発行することでAthenaクエリのモニタリングが可能になります。

参考ドキュメント

AWS CodeBuild

[CodeBuild.7] CodeBuild report group exports should be encrypted at rest

重要度

Medium

概要

このコントロールは、S3にエクスポートされたCodeBuildレポートグループのテスト結果が保管時に暗号化されていることを確認します。

CodeBuildレポートグループには、CodeBuildでビルド中に実行されるテストの詳細が記載されたテストレポートが含まれています。

この設定で暗号化される保存データとは、永続的な不揮発性ストレージに一時保存されるデータのことを指します。

参考ドキュメント

AWS DataSync

[DataSync.1] DataSync tasks should have logging enabled

重要度

Medium

概要

このコントロールは、DataSync タスクでログ記録が有効化されていることを確認します。

DataSyncタスクのログ記録におけるログレベルは、以下のいずれかから選択可能です。
※括弧内はマネジメントコンソール上の表示名

  • OFF(Do not send logs to CloudWatch): ログを出力しない
  • BASIC(Log basic information such as transfer errors): 転送された個々のファイルのエラー時にログを出力する
  • TRANSFER(Log all transferred objects and files): 転送され整合性をチェックされたすべてのファイルまたはオブジェクトのログを出力する

ログレベルの設定が、BASIC/TRANSFER のどちらかに設定されている場合、準拠となります。

参考ドキュメント

Amazon EFS

[EFS.7] EFS file systems should have automatic backups enabled

重要度

Medium

概要

このコントロールは、EFS ファイルシステムの自動バックアップが有効化されているかを確認します。

マネジメントコンソールからEFS ファイルシステムを作成した場合、デフォルトで AWS Backup を利用した自動バックアップ(推奨設定)が設定されています。

AWS CLI や API 経由で作成した場合、デフォルトで設定されていないため作成後に自動バックアップを有効化してください。

参考ドキュメント

AWS Glue

[Glue.2] AWS Glue jobs should have logging enabled

重要度

Medium

概要

このコントロールは、Glue ジョブのログ記録が有効化されていることを確認します。

バージョン 2.0以降の Glue ジョブでは、以下の CloudWatch Logs ロググループにログが出力されます。

  • /aws-glue/jobs/logs/output (標準出力)
  • /aws-glue/jobs/logs/error (エラー出力)

これらのログが出力されている場合、準拠となります。

参考ドキュメント

[Glue.3] AWS Glue machine learning transforms should be encrypted at rest

重要度

Medium

概要

このコントロールは、Glue ジョブの機械学習変換が保管時に暗号化されていることを確認します。

Glue ジョブに機械学習変換を追加するとき、データソースまたはデータターゲットに関連付けられたセキュリティ設定をオプションで指定できます。

データの保存先のS3 バケットがセキュリティ設定で暗号化されている場合は、変換を作成するときに同じセキュリティ設定を指定してください。

参考ドキュメント

Amazon WorkSpaces

[WorkSpaces.1] WorkSpaces user volumes should be encrypted at rest

重要度

Medium

概要

このコントロールは、Amazon WorkSpaces のユーザーボリュームが保存時に暗号化されていることを確認します。

Workspaces のユーザーボリュームとは、Windows の場合は D ドライブ、Linux の場合は /homeのことを指します。

対応する際、Workspaces の暗号化には現状以下のような制約があることに留意ください。

  • 既存の WorkSpaces は暗号化できないため、是正する場合は暗号化された WorkSpaces を再度起動する必要がある
  • 暗号化された WorkSpaces からカスタム イメージを作成することは、現在サポートされていない
  • 暗号化されている WorkSpace の暗号化の無効化は、現在サポートされていない

参考ドキュメント

[WorkSpaces.2] WorkSpaces root volumes should be encrypted at rest

重要度

Medium

概要

このコントロールは、Amazon WorkSpaces のルートボリュームが保存時に暗号化されていることを確認します。

Workspaces のルートボリュームとは、Windows の場合は C ドライブ、Linux の場合は /のことを指します。

対応する際、Workspaces の暗号化には現状以下のような制約があることに留意ください。

  • 既存の WorkSpaces は暗号化できないため、是正する場合は暗号化された WorkSpaces を再度起動する必要がある
  • 暗号化された WorkSpaces からカスタム イメージを作成することは、現在サポートされていない
  • 暗号化されている WorkSpace の暗号化の無効化は、現在サポートされていない

参考ドキュメント

最後に

今回はSecurity Hubに新規追加された8つの新規コントロールの内容を確認しました。

今回のアップデート内容を総括すると以下です。

  • DataSync と Workspaces という新しいサービスの Security Hub 対応
  • CodeBuild や Glue などのワークロードでよく使われるサービスのサポート範囲拡張

引き続き、Security Hubのアップデートを追ってAWSアカウントのセキュリティレベルを向上させていきましょう。

以上です。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.