【Security Hub修復手順】[Athena.4] Athena ワークグループでは、ログ記録を有効にする必要があります

【Security Hub修復手順】[Athena.4] Athena ワークグループでは、ログ記録を有効にする必要があります

Clock Icon2024.09.29

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Athena.4] Athena ワークグループでは、ログ記録を有効にする必要があります

[Athena.4] Athena workgroups should have logging enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

本コントロールでは、Amazon Athenaのワークグループが「Amazon CloudWatchにメトリクスを発行」を有効にしているかどうかが評価されます。

CloudWatchへのメトリクス発行を有効化することにより、ワークグループで実行されるクエリの実行時間など使用状況に関するメトリクスログを確認することが出来ます。

確認可能なメトリクスの詳細については、以下のユーザーガイドをご参照ください。

https://docs.aws.amazon.com/ja_jp/athena/latest/ug/query-metrics-viewing.html

Amazon Athenaのワークグループとは?

Amazon Athenaにはワークグループという機能が存在し、ユーザーはワークグループを利用することでワークロードの分離やアクセスの制御、クエリメトリクスの追跡などを行うことが出来ます。

ワークグループの詳細については、以下のユーザーガイドをご参照ください。

https://docs.aws.amazon.com/ja_jp/athena/latest/ug/workgroups-manage-queries-control-costs.html

本記事のコントロールはそんなワークグループに対するものなのですが、実はAmazon Athenaには全てのAWSアカウントにおいてあらかじめ用意されているワークグループがあります。

デフォルトのワークグループ「primary」

上述の通り、Amazon Athenaにはデフォルトのワークグループ「primary」が存在します。

このprimaryワークグループにも勿論本記事のコントロール Athena.4 は適用されるため、恐らく多くの方が最近追加された本コントロールで失敗しているはずです。

そんなprimaryワークグループですが、実は削除することが出来ません。ただし、ワークグループそのものを無効化することは可能です。

ただし、有効なワークグループが1つも存在しない場合、Athenaでクエリを実行することは出来ません。

普段Amazon Athenaを利用しておらず、かつ Athena.4 でprimaryワークグループが引っ掛かっている方は、ワークグループそのものを無効化することを検討しましょう。

無効化されたワークグループは Athena.4 の対象外となります。

以下は無効化の手順です。

コンソール上からワークグループをオフにする場合、Amazon Athenaのコンソールから ワークグループ -> primary を選択し、「ワークグループをオフにする」をクリックします。

スクリーンショット 2024-09-29 16.29.53.png

ただし、primaryワークグループは有効な全てのリージョンで作成されています。もし全てのリージョンで無効化したい場合は以下のスクリプトをご活用ください。

aws ec2 describe-regions --query "Regions[].[RegionName]" --output text \
| while read region; do
  aws athena update-work-group --work-group primary --state DISABLED
done

修復手順

1. ステークホルダーに確認を取る

まずはリソース作成者などのステークホルダーに下記の確認を取ります。

  • Amazon Athenaを利用しているか
    • Amazon Athenaを利用している場合、どのワークグループを利用しているか
  • 「Amazon CloudWatchにメトリクスを発行」を有効化していない理由があるか
    • 特に無い場合かつAmazon Athenaを普段から利用している場合は有効にすることを検討します
    • 新規ワークグループをデフォルトの設定で作成した場合、この設定は有効化されます

2. 対象のリソースを把握する

Security Hubの結果より、対象のディストリビューションを確認します。
東京リージョン(ap-northeast-1)の場合、下記URLから確認可能です。

https://ap-northeast-1.console.aws.amazon.com/securityhub/home?region=ap-northeast-1#/standards/aws-foundational-security-best-practices-1.0.0/Athena.4

下図赤枠部が対象のワークグループです。

スクリーンショット 2024-09-29 16.30.51.png

3. 対象ワークグループの「Amazon CloudWatchにメトリクスを発行」を有効化する

Amazon Athenaのワークグループ一覧より、対象のワークグループを探します。
東京リージョン(ap-northeast-1)の場合、下記URLから確認可能です。

https://ap-northeast-1.console.aws.amazon.com/athena/home?region=ap-northeast-1#/workgroups

対象ワークグループの詳細画面を開き、「編集」を押下します。

スクリーンショット 2024-09-29 21.26.35.png

編集画面で、設定 -> 「AWS CloudWatch にクエリメトリクスを発行」を有効化し、「変更を保存」を押下します。

スクリーンショット 2024-09-29 16.52.08.png

以上で設定は完了です。お疲れ様でした。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、べこみんでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebook
を提供しています。
クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.