【Security Hub修復手順】[ Cognito.1 ] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります

【Security Hub修復手順】[ Cognito.1 ] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります

Folder Icon
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順
#AWS Security Hub
#AWS
#Amazon Cognito
平井裕二

平井裕二

facebook logohatena logotwitter logo
Clock Icon2025.05.28

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[ Cognito.1 ] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります

[Cognito.1] Cognito user pools should have threat protection activated with full function enforcement mode for standard authentication

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールでは、Cognito ユーザープールの脅威保護設定が有効になっているか、および脅威保護設定の強制適用レベルが「フル機能」に設定されているかをチェックします。

脅威保護を有効にすることで、不正なログイン試行や疑わしいアクティビティを検出し、適切な対策を講じることができます。脅威保護を利用する前提として、CognitoユーザープールのPlusプランを利用する必要があります。

脅威保護の強制適用レベルには、以下の3つが存在します。

  • フル機能
  • 監査のみ
  • 強制適用なし

脅威保護が有効化されていない、もしくは脅威保護の強制適用レベルが「フル機能」以外で設定されている場合、このコントロールは失敗します。

ただし、カスタムパラメーターでAUDIT(監査のみ)を指定した場合は、強制適用レベルを「監査のみ」に指定しても成功します。

本番環境ではセキュリティリスクが高いため、有効化が推奨されます。その他環境ではセキュリティポリシーや運用ルールに応じて有効化してください。

Cognitoユーザープールの機能プランと料金体系については以下のブログをご参照ください。

https://dev.classmethod.jp/articles/new-feature-tiers-cognito/

修復手順

1 コントロールの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「Cognito.1」を検索し、タイトルを選択します。
    cm-hirai-screenshot 2025-05-27 15.42.38
  2. リソースの欄から失敗が確認できます。
    cm-hirai-screenshot 2025-05-27 15.42.19

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の点を確認します。

  • 脅威保護設定を有効化し、強制適用レベルを「フル機能」にしてよいか
    • 対応しない場合は、その理由を確認し、Security Hubで当該コントロールを「抑制済み」に設定します。

また、カスタムパラメータを変更することで、コントロールを成功させる方法もあります。

Security Hubの「Cognito.1」のパラメータタブから変更可能です。

3 強制適用レベルを「フル機能」に設定する

  1. 該当のCognitoユーザープールにおいて、[脅威保護]から、「プラスに切り替える」を選択します。
    cm-hirai-screenshot 2025-05-27 15.40.35

  2. 数秒で切り替わりました。
    cm-hirai-screenshot 2025-05-27 15.40.55

  3. 保護設定を編集します。
    cm-hirai-screenshot 2025-05-27 15.42.58

  4. 強制適用レベルを「フル機能」に設定し保存します。
    cm-hirai-screenshot 2025-05-27 15.44.14

これで設定完了です。

カスタムパラメータの変更方法

  1. カスタムパラメータを変更する場合、[パラメータ]から[設定]をクリックします。
    cm-hirai-screenshot 2025-05-27 15.50.03

  2. 以下の2つを選択できます。保存すると設定完了です。

    • ENFORCED(フル機能)
    • AUDIT(監査のみ)
      cm-hirai-screenshot 2025-05-27 15.50.11

https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cognito-controls.html

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

【Security Hub修復手順】[ Transfer.3 ] Transfer Family コネクタではログ記録が有効になっている必要があります

【Security Hub修復手順】[ Transfer.3 ] Transfer Family コネクタではログ記録が有効になっている必要があります

User avatar
平井裕二
2025.05.29
GuardDuty の検出結果を Security Hub および EventBridge 経由で通知する構成を AWS CDK で実装する

GuardDuty の検出結果を Security Hub および EventBridge 経由で通知する構成を AWS CDK で実装する

User avatar
若槻龍太
2025.05.22
【Security Hub修復手順】[APIGateway.4] API Gatewayは、AWS WAFのweb ACLと関連付ける必要があります

【Security Hub修復手順】[APIGateway.4] API Gatewayは、AWS WAFのweb ACLと関連付ける必要があります

User avatar
くろすけ
2025.05.22
【Security Hub修復手順】[WorkSpaces.2] WorkSpacesルートボリュームは保管時に暗号化する必要があります

【Security Hub修復手順】[WorkSpaces.2] WorkSpacesルートボリュームは保管時に暗号化する必要があります

User avatar
吉田 岳史
2025.05.12
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.