![【Security Hub修復手順】[CloudTrail.2] CloudTrail は、保管中の暗号化を有効にする必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
【Security Hub修復手順】[CloudTrail.2] CloudTrail は、保管中の暗号化を有効にする必要があります
2024.09.25こんにちは!AWS事業本部の吉田です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[CloudTrail.2] CloudTrailは、保管中の暗号化を有効にする必要があります
[CloudTrail.2] CloudTrail should have encryption at-rest enabled
前提条件
本記事は、AWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
本コントロールはCloudTrailは、保管中の暗号化を有効にしているかどうかをチェックします。
しかし、このコントロールのタイトルは正確ではありません。
厳密に表現しますと、本コントールはCloudTrailの「ログファイルのSSE-KMS暗号化」を有効にしているかどうかをチェックしております。
SSE-KMS暗号化を有効化していない場合は、デフォルトでSSE-S3でログファイルが暗号化されます。
CloudTrailのログファイルは必ず暗号化されるため、高度なセキュリティ要件がなければ対応は必須ではありません。
以下のセキュリティ要件がある場合、CloudTrailの「ログファイルのSSE-KMS暗号化」の有効化を検討してください。
- KMSのキーポリシーによって権限制限をかけたい
- カスタマー管理CMKを利用する必要がある
修復手順
-
対象のCloudTrailの証跡をクリックします。
-
「全般的な詳細」の「編集」をクリックします。
-
「ログファイルのSSE-KMS暗号化」の「有効」のチェックボックスをクリックします。
「カスタマー管理のAWS KMSキー」に関しては既にキーが作成済みなら「既存」を、
作成していない場合は「新規」を選択してください。
新規にKMSキーを作成する場合は、「AWS KMS エイリアス」にエイリアスを入力してください。
KMSの設定が完了しましたら、右下の「変更の保存」をクリックします。
-
「ログファイルのSSE-KMS暗号化」が有効化されていることを確認します。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
