developersIO
[アップデート]AWS Security Hub CSPMのセキュリティ標準に新たに6個のチェック項目が追加されてました(2025/10/28)

[アップデート]AWS Security Hub CSPMのセキュリティ標準に新たに6個のチェック項目が追加されてました(2025/10/28)

AWSAWS Security Hub
FacebookHatena blogX
2025.11.14

こんにちは!クラウド事業本部のおつまみです。

みなさん、AWS Security Hub 使っていますか?
セキュリティ管理に欠かせない便利なサービスですよね。

今回AWS Security Hub CSPMのセキュリティ標準に新たに6個のチェック項目(コントロール)が追加されました。AWS Security Hubユーザーガイドの改訂履歴は以下のとおりです。

CleanShot 2025-11-14 at 13.48.04@2x

Document history for the AWS Security Hub User Guide - AWS Security Hub

本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。

各コントロール毎に以下の情報をまとめていきます。

項目 概要
重要度 AWS Security Hub CSPMが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。
概要 コントロールでチェックされる内容を簡単にまとめます。
参考ドキュメント コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。

今回追加されたコントロールは次の6つです。

Cognito

[Cognito.3] Password policies for Cognito user pools should have strong configurations

重要度

Medium

概要

Cognito User Poolsのパスワードポリシーが強力な設定になっているかをチェックするコントロールです。

強力なパスワードポリシーを設定することで、ブルートフォース攻撃やパスワード推測攻撃のリスクを低減できます。最小文字数、大文字・小文字・数字・記号の要件などを適切に設定することが推奨されます。

詳細なパラメータは下記の公式ドキュメントをご確認ください。

参考ドキュメント

DMS

[DMS.13] DMS replication instances should be configured to use multiple Availability Zones

重要度

Medium

概要

DMSレプリケーションインスタンスが複数のアベイラビリティーゾーンを使用するように設定されているかを確認するコントロールです。

マルチAZ構成にすることで、単一のAZ障害時でもデータベース移行タスクを継続でき、可用性が向上します。
本番環境での移行作業では特に推奨される設定です。

参考ドキュメント

EC2

[EC2.181] EC2 launch templates should enable encryption for attached EBS volumes

重要度

Medium

概要

EC2起動テンプレートでアタッチされるEBSボリュームの暗号化が有効化されているかをチェックするコントロールです。

起動テンプレートでEBS暗号化を有効化することで、そのテンプレートから起動される全てのインスタンスのEBSボリュームが自動的に暗号化されます。データ保護の観点から、保管データの暗号化は必須の設定です。

現存していたコントロール[ EC2.7 ] EBS のデフォルト暗号化を有効にする必要があります のEC2起動テンプレートということですね。

参考ドキュメント

RDS

[RDS.43] RDS DB proxies should require TLS encryption for connections

重要度

Medium

概要

Amazon RDS DBプロキシが、プロキシと基盤のRDS DBインスタンス間の全ての接続でTLS暗号化を要求しているかをチェックするコントロールです。

TLS接続を強制することで、クライアントアプリケーションとRDS DBインスタンス間の通信を暗号化し、データ転送中のセキュリティを強化できます。中間者攻撃やデータの盗聴を防ぐために重要な設定です。

参考ドキュメント

[RDS.47] RDS for PostgreSQL DB clusters should be configured to copy tags to DB snapshots

重要度

Low

概要

Amazon RDS for PostgreSQL DBクラスターが、スナップショット作成時にタグを自動的にコピーするように設定されているかをチェックするコントロールです。

タグの自動コピーを有効化することで、リソースの追跡、ガバナンス、コスト配分をバックアップリソース全体で一貫して管理できます。特にコンプライアンスやコスト管理の観点で有用です。

参考ドキュメント

[RDS.48] RDS for MySQL DB clusters should be configured to copy tags to DB snapshots

重要度

Low

概要

Amazon RDS for MySQL DBクラスターが、スナップショット作成時にタグを自動的にコピーするように設定されているかをチェックするコントロールです。

タグの自動コピーを有効化することで、データベースとスナップショット間で一貫したリソース識別、アクセス制御、コンプライアンス監視が可能になります。タグベースのバックアップ管理や監査に役立ちます。

参考ドキュメント

最後に

今回は、2025年10月28日にAWS Security Hub CSPMのFSBP標準に追加された6つの新しいコントロールについてご紹介しました。

High以上の重要度が高いコントロールはありませんでしたが、各サービスに対して、セキュリティベストプラクティスに準拠しているかを自動的にチェックできるようになりました。

これらの新しいコントロールを活用して、AWSアカウントのセキュリティ態勢をさらに向上させていきましょう。

最後までお読みいただきありがとうございました!

以上、おつまみ(@AWS11077)でした!

参考

この記事をシェアする

FacebookHatena blogX

関連記事

[アップデート]AWS Security Hub CSPMにて、10個のコントロールで重要度が変更されました(2025/11/13)
おつまみ
2025.11.14
AWS User NotificationsのAWS管理通知とユーザー設定通知では「集約」の意味が異なる
平井裕二
2025.11.14
AWS User NotificationsのAWS管理通知が2025年12月15日以降、強制有効化されるにあたり、通知させない方法
平井裕二
2025.11.14
[アップデート] AWS Site-to-Site VPN 接続の作成時にトンネル帯域幅を指定するオプションが追加されました
いわさ
2025.11.14