![【Security Hub修復手順】[EC2.171] EC2 VPN接続ではログ記録が有効になっている必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
【Security Hub修復手順】[EC2.171] EC2 VPN接続ではログ記録が有効になっている必要があります
2025.04.27こんにちは!クラウド事業本部の吉田です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[EC2.171] EC2 VPN接続ではログ記録が有効になっている必要があります
[EC2.171] EC2 VPN connections should have logging enabled
前提条件
本記事は、AWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、AWS Site-to-Site VPNの 両方のトンネル のトンネルアクティビティログが有効化されているかチェックします。
ログの出力先はCloudWatch Logsとなります。
トンネルアクティビティログを有効化することで、インターネットキー交換 (IKE) ネゴシエーションやデッドピア検出 (DPD) プロトコルメッセージなど、IPsecトンネル確立に関するログを確認できます。
VPN接続におけるトラブルシューティングに役立つため、有効化を推奨します。
一方CloudWatch Logsが必須になるため、追加費用を考慮した上で有効化してください。
本番環境以外であれば対応必須ではありません。
修復手順
-
CloudWatch Logsのロググループを作成する
- ログ有効化の際にロググループを作成できないため、事前に作成する必要があります。
- ログストリームは、VPN IDと外部IPアドレスを組み合わせた形で作成されます。
- ロググループは共通化する形でも、トンネルごとにロググループを作成する形でも構いません。
-
「Site-to-Site VPN 接続」ページから対象のVPN接続を選択し、「アクション」から「VPNトンネルオプションを変更」をクリック
-
「VPN トンネル外部 IP アドレス」から1つ目のトンネルを選択
-
トンネルのステータスがUpの場合、「UP トンネルの変更を確認」というチェックボックスが表示されるでチェックする
-
「トンネルアクティビティログ」で以下の設定をした後、「変更を保存」をクリック
- 「有効化」: チェックする
- 「Amazon CloudWatch ロググループ」: 手順1で作成してロググループを指定
- 出力形式: jsonかテキストを選択
-
設定変更のためしばらく1つ目のトンネルのステータスがDownになります。ステータスがUpに切り替わった後に、手順2~4を繰り返して2つ目のトンネルのトンネルアクティビティログを有効化してください。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
