developersIO
【Security Hub修復手順】[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります

【Security Hub修復手順】[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順
AWS Security HubAPIGatewayAWS
2026.06.17

こんにちは!コンサルティング部のヒスです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

本記事では、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります

[APIGateway.10] API Gateway V2 integrations should use HTTPS for private connections

https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/apigateway-controls.html#apigateway-10

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、API Gateway V2(HTTP API)のプライベート統合でHTTPSが有効になっているかをチェックします。
プライベート統合にTLS設定を構成すると、このコントロールはPASSEDになります。

API GatewayのプライベートリソースへのアクセスにはVPCリンクを使用します。
VPCリンクはAPI GatewayとVPC内のバックエンド(Application Load BalancerやNetwork Load Balancerなど)の間にプライベートな接続経路を確立しますが、その経路自体は通信内容を暗号化しません。
統合のTLS設定でサーバー名を指定し、HTTPSプロトコルで通信させることで、API Gatewayからバックエンドまでの通信が暗号化されます。

TLSを設定しない場合、機密性の高いAPIトラフィックがプライベート接続区間で暗号化されないまま流れます。
VPC内部の通信であっても、通信内容の傍受や中間者攻撃、認証情報の漏洩につながるおそれがあるため、プライベート接続でもHTTPSによる暗号化を有効にすることが必要です。

なお、本コントロールは統合の接続タイプが「VPCリンク(プライベート接続)」の場合に評価されます。
インターネット経由の統合(接続タイプ INTERNET)は対象外です。

修復手順

コントロールの確認方法

  1. Security Hubコンソールを開く

スクリーンショット 2026-06-16 17.13.00

  1. 左メニューから「検出結果」を選択

スクリーンショット 2026-06-16 17.16.39

  1. フィルターで対象のコントロールID「APIGateway.10」を検索

スクリーンショット 2026-06-16 17.32.56

検出結果のリソースから、対象となるAPI(HTTP API)と統合(Integration)を特定します。

ステークホルダーに確認

修復を行う前に、以下の点をステークホルダーに確認してください。

  • バックエンド(ALB/NLB、または接続先サーバー)がHTTPS(TLS)でのリクエストを受け付けられる状態か
  • バックエンドの証明書に設定されているホスト名(サーバー名)は何か(TLS設定の 安全なサーバー名 に指定するため)
  • 統合先のリスナー/ポートをHTTPS用に変更する必要がないか(HTTPのみのリスナーの場合、HTTPS対応が別途必要)
  • 修復に伴う一時的な接続影響が許容できるメンテナンスウィンドウはいつか

修復手順

ここでは、既存のプライベート統合にTLS設定を追加してHTTPS通信に変更する手順を説明します。

  1. API Gatewayコンソールを開く

スクリーンショット 2026-06-16 17.43.26

  1. 対象のHTTP APIを選択する

スクリーンショット 2026-06-16 17.43.38

  1. 左メニューの「統合(Integrations)」を選択し、「統合を管理」を選択する

スクリーンショット 2026-06-16 17.51.31

  1. 統合の一覧から対象の統合を選択し、「編集」を選択する

スクリーンショット 2026-06-16 17.55.08

  1. 「詳細設定」を展開し、「安全なサーバー名」に接続先バックエンドのDNS名またはホスト名を入力する

    • NLB / ALB の場合:
      ロードバランサーのDNS名を入力します
      (例: xxxx.ap-northeast-1.elb.amazonaws.com

    • その他のバックエンドの場合:
      接続先サーバーのホスト名を入力します

      ※DNS名はEC2コンソールの
       「ロードバランサー」から確認できます

スクリーンショット 2026-06-16 18.09.12

  1. 内容を保存する

「安全なサーバー名」を設定すると、プライベート統合のトラフィックはHTTPSプロトコルを使用するようになります。
入力したサーバー名は、バックエンド証明書のホスト名検証およびTLSハンドシェイク時のSNI(Server Name Indication)に使用されます。

CLIで修復する場合

AWS CLIでは update-integration コマンドでTLS設定を追加できます。

  aws apigatewayv2 update-integration \
  --api-id <API-ID> \
  --integration-id <INTEGRATION-ID> \
  --tls-config ServerNameToVerify=<バックエンドのホスト名またはDNS> \
  --region ap-northeast-1

修復確認

修復後、Security Hubで検出結果が「PASSED」になることを確認します。

スクリーンショット 2026-06-16 18.20.40

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

AWS Security Hub 「基礎セキュリティのベストプラクティス」シリーズをご覧のあなたに特報!

本シリーズで紹介している各チェック項目(コントロール)について、推奨される対応方法や見解のまとめは、クラスメソッド経由でAWSをご活用されているお客様向けに特別公開しております。この機会にぜひ併せてご検討ください。

クラスメソッドのAWS総合支援を見る

何が提供されるの?

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事

【Security Hub CSPM修復手順】 [RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です
watabo / Wataru Takasato
2026.06.13
【Security Hub修復手順】[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります
スライマンアブドラー パネ
2026.06.05
【Security Hub修復手順】[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります
KeumSangwon
2026.06.11
【Security Hub修復手順】[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります
フニ
2026.03.10