developersIO
【Security Hub修復手順】[APIGateway.11] API Gateway ドメイン名は、推奨されるセキュリティポリシーを使用する必要があります

【Security Hub修復手順】[APIGateway.11] API Gateway ドメイン名は、推奨されるセキュリティポリシーを使用する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security HubAmazon API Gateway
2026.06.30

こんにちは!クラスメソッドオペレーションズの菊池です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

本記事では、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[APIGateway.11] API Gateway ドメイン名は、推奨されるセキュリティポリシーを使用する必要があります

[APIGateway.11] API Gateway domain names should use recommended security policies

https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/apigateway-controls.html#apigateway-11

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、API Gatewayのカスタムドメイン名が、推奨されるセキュリティポリシーを使用して転送中のデータを暗号化するよう設定されているかをチェックします。カスタムドメイン名に推奨セキュリティポリシーを設定すると、このコントロールは成功します。

セキュリティポリシーとは、API Gatewayが提供する「最小TLSバージョン」と「暗号スイート」の事前定義された組み合わせです。クライアントがAPIまたはカスタムドメイン名とTLSハンドシェイクを行う際、セキュリティポリシーによってAPI Gatewayが受け入れるTLSバージョンと暗号スイートが決まります。

API Gatewayのセキュリティポリシーには、レガシーセキュリティポリシー(TLS_1_0TLS_1_2)と、強化されたセキュリティポリシー(SecurityPolicy_で始まるポリシー)があります。本コントロールが推奨ポリシーとして扱うのは、以下の強化されたセキュリティポリシーです(2026年6月時点)。

  • SecurityPolicy_TLS13_1_3_2025_09
  • SecurityPolicy_TLS13_1_3_FIPS_2025_09
  • SecurityPolicy_TLS13_1_2_PFS_PQ_2025_09
  • SecurityPolicy_TLS13_2025_EDGE
  • SecurityPolicy_TLS12_PFS_2025_EDGE

最新のセキュリティポリシーについては以下のリンク先からご確認をお願い致します。
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/apigateway-domain-name-tls-check.html

レガシーセキュリティポリシー(TLS_1_0TLS_1_2)を使用しているカスタムドメイン名は、このコントロールでFAILEDと判定されます。

クライアントとAPI Gateway間の通信はインターネットなどのパブリックネットワークを通過するため、TLSによる暗号化が必須です。古い、または弱いセキュリティポリシーを使用していると、安全性の低いTLSバージョンや暗号スイートでの接続が許容され、通信内容の盗聴や改ざん(中間者攻撃)を受けるリスクが高まります。強化されたセキュリティポリシーを使用することで、最新かつ安全なTLS設定を強制でき、クライアントとAPI間の転送中データを保護できます。本番・本番以外を問わず対応が必須です。

修復手順

コントロールの確認方法

  1. Security Hubコンソールを開く
  2. 左メニューから「検出結果」を選択
  3. フィルターで対象のコントロールID「APIGateway.11」を検索

スクリーンショット 2026-06-29 18.30.16

検出結果から、対象となっているカスタムドメイン名を確認します。

ステークホルダーに確認

修復を行う前に、以下の点をステークホルダーに確認してください。

  • 強化されたセキュリティポリシーは古いTLSバージョン(TLS 1.0/1.1、ポリシーによってはTLS 1.2)を拒否します。古いクライアントやレガシーシステムからの接続がある場合、接続できなくなる可能性があるため、クライアント側のTLS対応状況を確認してください。
  • 必須ではありませんが、強化されたセキュリティポリシーを設定する場合、エンドポイントアクセスモードを「厳格(Strict)」に設定することが推奨されます。Strictでは、リクエストの送信元エンドポイントタイプの一致やSNIホストの一致が検証されるため、既存のアクセス経路に影響がないか確認してください。
  • 相互TLS認証(mTLS)を有効にしているカスタムドメイン名には、強化されたセキュリティポリシーを適用できません。
  • HTTP APIをマッピングしているカスタムドメイン名には、強化されたセキュリティポリシーを適用できません(強化ポリシーはREST APIのカスタムドメイン名が対象です)。
  • 1つのカスタムドメイン名に複数のエンドポイントタイプが関連付けられている場合、セキュリティポリシーを更新できません。いずれか1つを削除してから更新する必要があります。
  • セキュリティポリシーの変更は反映までに約15分かかります。メンテナンスウィンドウの調整が必要か確認してください。

修復手順

ここでは、REST APIにトラフィックを送るカスタムドメイン名のセキュリティポリシーを変更する手順を説明します。

  1. API Gatewayコンソールを開く

  2. 左メニューから「カスタムドメイン名」を選択し、対象のカスタムドメイン名を選択する

    このとき、対象のカスタムドメイン名に関連付けられているエンドポイントタイプが1つだけであることを確認してください。

スクリーンショット 2026-06-29 18.45.45

  1. 「カスタムドメイン名の設定」から「編集」を選択する

スクリーンショット 2026-06-29 18.49.13

  1. 「セキュリティポリシー」で、SecurityPolicy_から始まる強化されたセキュリティポリシーを選択する
  2. 「エンドポイントアクセスモード」で「厳格(Strict)」を選択する(必須ではありませんが、「厳格(Strict)」を推奨致します)

スクリーンショット 2026-06-29 18.53.40

  1. 「変更を保存」を選択する

変更は反映までに約15分かかります。カスタムドメイン名のステータス更新中から利用可能になると完了です。

修復確認

修復後、Security Hubで検出結果が「PASSED」になることを確認します。

スクリーンショット 2026-06-29 19.15.50

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、菊池でした!

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事

【Security Hub修復手順】[APIGateway.4] API Gatewayは、AWS WAFのweb ACLと関連付ける必要があります
くろすけ
2025.05.22
【Security Hub修復手順】[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります
lee-huisu
2026.06.17
【Security Hub修復手順】[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります
スライマンアブドラー パネ
2026.06.05
【Security Hub CSPM修復手順】 [RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です
watabo / Wataru Takasato
2026.06.13