[アップデート]Security Hub のセキュリティ標準に新たに8個のチェック項目が追加されました(2024/8/30)

#AWS

#AWS Security Hub

あしざわ

2024.09.02

あしざわです。
みなさん、Security Hubの運用やっていますか？
AWS Security Hubのセキュリティ標準に新たに 8個のチェック項目(コントロール)が 追加されました。
AWS What’s new ブログでのアナウンスは以下です。
https://aws.amazon.com/jp/about-aws/whats-new/2024/08/aws-security-hub-8-new-security-controls/
本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。
各コントロール毎に以下の情報をまとめていきます。


項目
概要


重要度
Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。

概要
コントロールでチェックされる内容を簡単にまとめます。

参考ドキュメント
コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。

今回追加されたコントロールはこちらの8つです。
[Athena.4] Athena workgroups should have logging enabled
[CodeBuild.7] CodeBuild report group exports should be encrypted at rest
[DataSync.1] DataSync tasks should have logging enabled
[EFS.7] EFS file systems should have automatic backups enabled
[Glue.2] AWS Glue jobs should have logging enabled
[Glue.3] AWS Glue machine learning transforms should be encrypted at rest
[WorkSpaces.1] WorkSpaces user volumes should be encrypted at rest
[WorkSpaces.2] WorkSpaces root volumes should be encrypted at rest
 Amazon Athena [Athena.4] Athena workgroups should have logging enabled 重要度Medium
 概要このコントロールは、Amazon Athenaのワークグループでログ記録が有効になっていることを確認します。
ワークグループのログ記録が有効になっているとは、CloudWatchにクエリメトリクスを発行している状態を指します。
クエリメトリクスを発行することでAthenaクエリのモニタリングが可能になります。
 参考ドキュメントCloudWatch クエリメトリクスの有効化
CloudWatch メトリクスによる Athena クエリのモニタリング - Amazon Athena
 AWS CodeBuild [CodeBuild.7] CodeBuild report group exports should be encrypted at rest 重要度Medium
 概要このコントロールは、S3にエクスポートされたCodeBuildレポートグループのテスト結果が保管時に暗号化されていることを確認します。
CodeBuildレポートグループには、CodeBuildでビルド中に実行されるテストの詳細が記載されたテストレポートが含まれています。
この設定で暗号化される保存データとは、永続的な不揮発性ストレージに一時保存されるデータのことを指します。
 参考ドキュメントReport groups - AWS CodeBuild
Update a report group - AWS CodeBuild
 AWS DataSync [DataSync.1] DataSync tasks should have logging enabled 重要度Medium
 概要このコントロールは、DataSync タスクでログ記録が有効化されていることを確認します。
DataSyncタスクのログ記録におけるログレベルは、以下のいずれかから選択可能です。

※括弧内はマネジメントコンソール上の表示名
OFF(Do not send logs to CloudWatch): ログを出力しない
BASIC(Log basic information such as transfer errors): 転送された個々のファイルのエラー時にログを出力する
TRANSFER(Log all transferred objects and files): 転送され整合性をチェックされたすべてのファイルまたはオブジェクトのログを出力する
ログレベルの設定が、BASIC/TRANSFER のどちらかに設定されている場合、準拠となります。
 参考ドキュメントAWS DataSync タスクのログ設定違いと、タスク実行エラーの検知方法を確認してみた | DevelopersIO
Monitoring AWS DataSync activity with Amazon CloudWatch
 Amazon EFS [EFS.7] EFS file systems should have automatic backups enabled 重要度Medium
 概要このコントロールは、EFS ファイルシステムの自動バックアップが有効化されているかを確認します。
マネジメントコンソールからEFS ファイルシステムを作成した場合、デフォルトで AWS Backup を利用した自動バックアップ(推奨設定)が設定されています。
AWS CLI や API 経由で作成した場合、デフォルトで設定されていないため作成後に自動バックアップを有効化してください。
 参考ドキュメントAmazon EFSのバックアップ方法はどれを選べば良い? | DevelopersIO
Backing up EFS file systems - Amazon Elastic File System
 AWS Glue [Glue.2] AWS Glue jobs should have logging enabled 重要度Medium
 概要このコントロールは、Glue ジョブのログ記録が有効化されていることを確認します。
バージョン 2.0以降の Glue ジョブでは、以下の CloudWatch Logs ロググループにログが出力されます。
/aws-glue/jobs/logs/output (標準出力)
/aws-glue/jobs/logs/error (エラー出力)
これらのログが出力されている場合、準拠となります。
 参考ドキュメントRunning Spark ETL jobs with reduced startup times - AWS Glue
 [Glue.3] AWS Glue machine learning transforms should be encrypted at rest 重要度Medium
 概要このコントロールは、Glue ジョブの機械学習変換が保管時に暗号化されていることを確認します。
Glue ジョブに機械学習変換を追加するとき、データソースまたはデータターゲットに関連付けられたセキュリティ設定をオプションで指定できます。
データの保存先のS3 バケットがセキュリティ設定で暗号化されている場合は、変換を作成するときに同じセキュリティ設定を指定してください。
 参考ドキュメントGlueの「FindMatches 変換」機能を使ってデータセット内の「一致するレコードの重複排除」、「検索」をする | DevelopersIO
Working with machine learning transforms - AWS Glue
 Amazon WorkSpaces [WorkSpaces.1] WorkSpaces user volumes should be encrypted at rest 重要度Medium
 概要このコントロールは、Amazon WorkSpaces のユーザーボリュームが保存時に暗号化されていることを確認します。
Workspaces のユーザーボリュームとは、Windows の場合は D ドライブ、Linux の場合は /homeのことを指します。
対応する際、Workspaces の暗号化には現状以下のような制約があることに留意ください。
既存の WorkSpaces は暗号化できないため、是正する場合は暗号化された WorkSpaces を再度起動する必要がある
暗号化された WorkSpaces からカスタム イメージを作成することは、現在サポートされていない
暗号化されている WorkSpace の暗号化の無効化は、現在サポートされていない
 参考ドキュメントWorkSpacesのディスク暗号化について | DevelopersIO
Encrypted WorkSpaces in WorkSpaces Personal - Amazon WorkSpaces
 [WorkSpaces.2] WorkSpaces root volumes should be encrypted at rest 重要度Medium
 概要このコントロールは、Amazon WorkSpaces のルートボリュームが保存時に暗号化されていることを確認します。
Workspaces のルートボリュームとは、Windows の場合は C ドライブ、Linux の場合は /のことを指します。
対応する際、Workspaces の暗号化には現状以下のような制約があることに留意ください。
既存の WorkSpaces は暗号化できないため、是正する場合は暗号化された WorkSpaces を再度起動する必要がある
暗号化された WorkSpaces からカスタム イメージを作成することは、現在サポートされていない
暗号化されている WorkSpace の暗号化の無効化は、現在サポートされていない
 参考ドキュメントWorkSpacesのディスク暗号化について | DevelopersIO
Encrypted WorkSpaces in WorkSpaces Personal - Amazon WorkSpaces
 最後に今回はSecurity Hubに新規追加された8つの新規コントロールの内容を確認しました。
今回のアップデート内容を総括すると以下です。
DataSync と Workspaces という新しいサービスの Security Hub 対応
CodeBuild や Glue などのワークロードでよく使われるサービスのサポート範囲拡張
引き続き、Security Hubのアップデートを追ってAWSアカウントのセキュリティレベルを向上させていきましょう。
以上です。

項目	概要
重要度	Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。
概要	コントロールでチェックされる内容を簡単にまとめます。
参考ドキュメント	コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。

Amazon Athena

[Athena.4] Athena workgroups should have logging enabled

重要度

概要

参考ドキュメント

AWS CodeBuild

[CodeBuild.7] CodeBuild report group exports should be encrypted at rest

重要度

概要

参考ドキュメント

AWS DataSync

[DataSync.1] DataSync tasks should have logging enabled

重要度

概要

参考ドキュメント

Amazon EFS

[EFS.7] EFS file systems should have automatic backups enabled

重要度

概要

参考ドキュメント

AWS Glue

[Glue.2] AWS Glue jobs should have logging enabled

重要度

概要

参考ドキュメント

[Glue.3] AWS Glue machine learning transforms should be encrypted at rest

重要度

概要

参考ドキュメント

Amazon WorkSpaces

[WorkSpaces.1] WorkSpaces user volumes should be encrypted at rest

重要度

概要

参考ドキュメント

[WorkSpaces.2] WorkSpaces root volumes should be encrypted at rest

重要度

概要

参考ドキュメント

最後に

関連記事

主なカテゴリ

AWS

おすすめ

プロダクト

コンテンツ

お問い合わせ

運営会社