developersIO
【Security Hub修復手順】[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります

【Security Hub修復手順】[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順
AWSAWS Security Hub
FacebookHatena blogX
2026.03.23

こんにちは!フニです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります

[AutoScaling.2] Amazon EC2 Auto Scaling group should cover multiple Availability Zones

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、Amazon EC2 Auto Scaling グループが指定された数以上のアベイラビリティーゾーン(AZ)にまたがっているかどうかをチェックします。Auto Scaling グループが2つ以上のAZにまたがっていない場合、このコントロールは失敗となります。

Auto Scaling グループを作成する際、アベイラビリティーゾーンを1つだけ指定することも可能です。しかし、1つのAZのみで運用している場合、そのAZに障害が発生した際にインスタンスを別のAZで起動することができません。

AZが1つしか設定されていない場合、そのAZで障害やキャパシティ不足が発生すると、アプリケーションが完全に停止してしまうリスクがあります。複数のAZにまたがる構成にすることで、1つのAZに問題が発生しても、Amazon EC2 Auto Scaling が影響を受けていないAZで自動的に新しいインスタンスを起動し、アプリケーションの可用性を維持できます。

対応する場合、Auto Scaling グループにAZを追加すると、Amazon EC2 Auto Scaling はインスタンスを再配分(リバランス)します。つまり、既存のインスタンスの一部が終了され、新しいAZに新しいインスタンスが起動されます。

ただし、バッチ処理のように一時的に利用するワークロードや、AZ間のデータ転送コストを最小限に抑えたいケースなど、意図的に単一のAZで運用している場合は、このコントロールへの対応は不要です。その場合は、コントロールを無効にするか、該当する検出結果を「抑制済み」に設定してください。

詳細は以下の公式ドキュメントをご参照ください。

https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-2

https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html

修復手順

1 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の点を確認します。

  • Auto Scaling グループにアベイラビリティーゾーンを追加して良いか
    • AZの追加時にインスタンスのリバランス(再配分)が発生し、一部のインスタンスが終了・再起動されます
    • 対応しない場合は、その理由を確認し、Security Hubで当該コントロールを「抑制済み」に設定します。

2 Auto Scaling グループにアベイラビリティーゾーンを追加

  1. AWS マネジメントコンソールにサインインし、Amazon EC2 コンソールを開きます。

CleanShot 2026-03-23 at 15.24.22@2x.png

  1. 「Auto Scaling グループ」タブを選択し、対象の Auto Scaling グループの「ネットワーク」セクションから「編集」をクリックします。

CleanShot 2026-03-23 at 15.27.57@2x.png

  1. 「サブネット」で、追加したいアベイラビリティーゾーンに対応するサブネットを選択し、「更新」をクリックします。

※ サブネットは2つ以上の AZ になるように選択してください。

CleanShot 2026-03-23 at 15.29.24@2x.png

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、フニでした!

この記事をシェアする

FacebookHatena blogX

関連記事

【Security Hub修復手順】[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります
フニ
2026.03.23
【Security Hub修復手順】[RDS.15] RDS DBクラスターは複数のアベイラビリティーゾーンに対して構成されるべき
フニ
2026.02.27
【Security Hub修復手順】[AutoScaling.3] Auto Scaling グループの起動設定は、EC2インスタンスが Instance Metadata Service Version 2 (IMDSv2) を使用するように設定する必要があります
吉田 岳史
2025.04.22
【Security Hub修復手順】[EC2.4] 停止した EC2 インスタンスは指定した期間後に削除する必要があります
フニ
2026.03.10