こんにちは、AWS事業本部の平井です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります
- ACM = AWS Certificate Manager
[ACM.2] RSA certificates managed by ACM should use a key length of at least 2,048 bits
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
コントロールの説明
このコントロールは、ACM が管理する RSA 証明書が少なくとも 2048 ビットの鍵長を使用しているかどうかをチェックします。
ACM では、RSA(1024、2048、3072、4096 ビット)および ECDSA(256、384、521 ビット)の証明書をインポートすることができます。鍵長が短いと、攻撃による暗号の解読が容易になり、セキュリティリスクが高まるため、RSA 1024 ビットの鍵長は既に安全ではないとされています。RSA 証明書を使用する場合は、少なくとも 2048 ビットの鍵長を使用するべきです。
以下の2つの条件を満たした場合に本コントロールが失敗します。
- AWS以外の認証局(CA)によって署名された証明書が ACM にインポートされている。
- その証明書の鍵長が 2048 ビット未満である。
準拠するためには、以下のいずれかの措置を講じます。
- ACM によって発行された証明書を使用してください。(ACM が発行する RSA 証明書の最小鍵長は 2048 ビットです。)
- AWS 以外の認証局(CA)によって署名された RSA 証明書で、2048 ビット以上の鍵長を使用してインポートしてください。
修正手順
1 対象のリソースの確認方法
- AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「ACM.2」を検索します。タイトルを選択します。
- リソースの欄から失敗しているリソースを確認できます。
2 ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- 証明書を変更してよいか
- 変更して良い場合、以下のいずれかの対応を行いましょう。
- ACM によって発行された証明書を利用
- AWS 以外の認証局(CA)によって署名された RSA 証明書で、2048 ビット以上の鍵長を使用してインポート
- 変更が難しい場合、
抑制済みにステータス変更します。
- 変更して良い場合、以下のいずれかの対応を行いましょう。
ACM によって発行された証明書の場合、証明書の1年ごとの更新作業が不要なため、今回は、ACMで証明書のリクエスト手順をご紹介します。
3 ACMで証明書のリクエスト
本手順は、あくまでもACMの証明書リクエスト方法であり、既存の証明書との入れ替え手順は考慮しておりません。
既存の証明書との入れ替えについては、各々の利用環境にあわせて対応しましょう。
- AWSマネジメントコンソールからACMサービスに遷移し、[リクエスト]をクリックします。
- [パブリック証明書をリクエスト]を選択し、[次へ]をクリックします。
- ドメインを記載し、検証方法はDNS検証を指定し、リクエストします。(DNS検証で検証を行うと、1年ごとの更新が自動化され、更新作業の手間がなくなります)
- 作成後、ACM発行者がドメインを所有しているかDNS検証を行い証明する必要があります。CNAME名とCNAME値を自身が管理しているDNSサーバに登録します。(Amazon Route 53やお名前.comなどに登録するイメージです)
- 登録後、1時間弱で、DNS検証が完了し、ステータスが成功になります。
これで、ACMで作成された証明書のステータスが有効になりました。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、平井でした!
14
