【Security Hub修復手順】[AutoScaling.3] Auto Scaling グループの起動設定は、EC2インスタンスが Instance Metadata Service Version 2 (IMDSv2) を使用するように設定する必要があります

【Security Hub修復手順】[AutoScaling.3] Auto Scaling グループの起動設定は、EC2インスタンスが Instance Metadata Service Version 2 (IMDSv2) を使用するように設定する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
Folder Icon
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順
#AWS Security Hub
#AWS Auto Scaling
#AWS
吉田 岳史

吉田 岳史

facebook logohatena logotwitter logo
Clock Icon2025.04.22

こんにちは!クラウド事業本部の吉田です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[AutoScaling.3] Auto Scaling グループの起動設定は、EC2インスタンスが Instance Metadata Service Version 2 (IMDSv2) を使用するように設定する必要があります

[AutoScaling.3] Auto Scaling group launch configurations should configure EC2 instances to require Instance Metadata Service Version 2 (IMDSv2)

前提条件

本記事は、AWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

注意事項

Auto Scalingと連動するEC2の設定は現在、起動設定は非推奨となり、起動テンプレートの使用が推奨されております。

起動テンプレートは、起動設定の後継サービスです。
起動テンプレートを利用することで、全てのEC2 Auto Scaling 機能を利用することができ、なおかつ、EC2の新機能を使用できます。

最新の機能や改善点にアクセスできるように、起動テンプレートを使用することをお勧めします。起動設定を使用する場合、すべての Amazon EC2 Auto Scaling 機能を使用できるわけではありません。

起動テンプレートを使用すると、Amazon EC2 の新しい機能を使用することもできます。

引用: Auto Scaling 起動テンプレート - Amazon EC2 Auto Scaling

下記の修復手順ブログも併せてご確認ください。

【Security Hub修復手順】[Auto Scaling.9] EC2 Auto Scaling グループは EC2 起動テンプレートを使用する必要があります | DevelopersIO

対象コントロールの説明

このコントロールは、Auto Scaling グループの起動設定がInstance Metadata Service Version 2 (IMDSv2) を使用しているかチェックします。

インスタンスメタデータ、IMDSv2の概要については、こちらのブログの

のセクションをご覧ください。

https://dev.classmethod.jp/articles/ec2-imdsv2-release/

EC2インスタンスのIMDSがバージョン1(IMDSv1) の場合、コントロールは失敗します。

従来のIMDSv1はSSRF等の脆弱性と組み合わせられる事によりクレデンシャルが漏洩し、
そのEC2に割り当てられたIAMロールの権限を悪用されてしまう可能性があります。
IMDSv2は、メタデータの参照の際にトークンを必須とするセキュリティアップデートをしております。
SSRF等の攻撃の対策として、IMDSv2への移行をおすすめします。

ただし、AWS CLIやSDKでIMDSv2に対応していないバージョンを利用していたり、
サードパーティ製品でIMDSv1を利用していた場合、
IMDSv2への移行によって不具合が発生する可能性があります。
移行の課題、各ソフトウェアのIMDSv2対応有無の確認方法、移行判断の流れは、こちらのブログの

のセクションをご覧ください。

https://dev.classmethod.jp/articles/ec2-metadata-change/

修復手順

修復手順としては、2通りあります。

  • 起動テンプレートに切り替える手順
    • 起動テンプレートの使用が推奨されているため、こちらの手順を推奨します
  • 起動設定を更新する手順
    • 起動設定の使用が非推奨のため、こちらの手順は非推奨です

順に説明いたします。

起動テンプレートに切り替える手順

基本的には[Auto Scaling.9]の修復手順ブログを参照して、対応します。

  1. 以下のセクションの内容を参照し、起動設定から起動テンプレートを作成

  2. 起動設定から作成した起動テンプレートを選択し、「アクション」から「テンプレートを変更(新しいバージョン)」をクリック
    vscode-drop-1745301605027-dytz15uu6w.png

  3. 「高度な詳細」オプションにある「メタデータのバージョン」を「V2のみ(トークンは必須)」に切り替え、「テンプレートのバージョンを作成」をクリック
    vscode-drop-1745301612369-79e7t56y015.png

  4. 更新した起動テンプレートを選択し、「アクション」から「デフォルトバージョンを設定」をクリック
    vscode-drop-1745301617366-zoqzz7n3d4.png

  5. テンプレートのバージョンを2に設定し、「デフォルトバージョンとして設定」をクリック
    vscode-drop-1745301621874-0eykjpw5hs1t.png

  6. 以下のセクションの内容を参照し、既存のAuto Scalingグループで起動テンプレートを利用するよう更新する

起動設定を更新する手順

  1. 対象の起動設定を選択し、アクションから「起動設定のコピー」を選択
  2. 詳細設定画面から、メタデータのバージョンを「V2のみ(トークンは必須)」に切り替え、起動設定をコピーする
  3. コピーした起動設定を利用するようにAuto Scaling グループを更新する
  4. 既存の起動設定を削除する

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

Security HubアラートをAmazon Q Developer in chat(旧称: AWS Chatbot)で自動通知してみた

Security HubアラートをAmazon Q Developer in chat(旧称: AWS Chatbot)で自動通知してみた

User avatar
小林翔馬
2025.04.21
AWS CDKでSecurity HubアラートをSlackに自動通知してみた

AWS CDKでSecurity HubアラートをSlackに自動通知してみた

User avatar
小林翔馬
2025.04.19
3ヶ月間の AWS セキュリティ運用により確立した Security Hub の検出結果に対する対応を決定するための切り分けフローのご紹介

3ヶ月間の AWS セキュリティ運用により確立した Security Hub の検出結果に対する対応を決定するための切り分けフローのご紹介

User avatar
若槻龍太
2025.04.09
AWS CDKでSecurity Hubのイベント駆動型アーキテクチャを構築してみた

AWS CDKでSecurity Hubのイベント駆動型アーキテクチャを構築してみた

User avatar
小林翔馬
2025.04.07
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.