【Security Hub修復手順】[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります

[CloudFront.12] CloudFront distributions should not point to non-existent S3 origins

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

コントロール名が二重否定になっているため分かりづらいですが、「CloudFront ディストリビューションのオリジンとして存在するS3バケットを指定しているかどうか」を確認するコントロールです。

存在しないS3バケットをオリジンとして指定している場合、コントロールはFailedになります。

本コントロールがFailedになるケースとしては、S3バケットを移行したがCloudFront ディストリビューションのオリジン設定を更新していなかった場合、などが考えられます。

存在しないS3バケットをオリジンに指定した場合のリスクとして、悪意のある第三者がその存在しないバケット名で新しくバケットを作った場合、対象のCloudFront ディストリビューションから悪意のあるコンテンツが配信される可能性があります。

そうならないようにするためにも、本コントロールを活用することで常に正しいS3バケットをオリジンとして指定しましょう。

修復手順

1. ステークホルダーに確認を取る

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

• 存在しないS3バケットが指定されているが、変更しても問題ないか
  • 存在しないS3バケットが指定されている理由
• 正しいS3バケット名

2. 対象のリソースを把握する

Security Hubの結果より、対象のディストリビューションを確認します。バージニア北部リージョン(us-east-1)の場合、下記URLから確認可能です。

https://us-east-1.console.aws.amazon.com/securityhub/home?region=us-east-1#/controls/CloudFront.12

下図赤枠部が対象のディストリビューションIDです。

3. 正しいS3バケット名をオリジンに設定する

ディストリビューションの詳細画面からオリジンの設定を変更します。

オリジンとして存在するS3バケット名を指定します。この際、直接入力するのではなくプルダウンから選択することで誤字を防ぐことが出来ます。

変更を保存します。

作業は以上です。お疲れ様でした。

参考

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、べこみんでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebook を提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。