【Security Hub修復手順】[EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります

こんにちは、AWS事業本部の平井です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります

[EC2.3] Attached EBS volumes should be encrypted at rest

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

コントロールの説明

このコントロールは、EC2にアタッチ済みのEBSボリュームが暗号化されているかをチェックします。

このコントロールをクリアするためには、EBSボリュームが使用中であり、暗号化されている必要があります。EBSボリュームがアタッチされていない場合、このチェックは対象外です。

暗号の目的は、AWSのデータセンターからストレージが万が一盗まれたり、データセンターに侵入して直接サーバにログインされた場合に、不正利用されないためです。

EBSボリュームとEC2インスタンスは、ネットワーク経由で通信しますので、暗号化を使用していない場合、通信経路上で、外部から覗ける可能性がありますので、暗号化は必須です。

修正手順

1 リソースの確認

EC2のコンソール画面の[ボリューム]から、EC2にアタッチされたEBSボリュームの暗号化の有無が確認できます。

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

• 既存リソースのうち、暗号化されていないEBSボリュームを暗号化してよいか

暗号化して良い場合、以下手順で暗号化を行います。

1. スナップショットを作成する
2. スナップショットをコピーし、その際に暗号化を有効化する
3. コピーしたスナップショットからEBSボリュームを作成する
4. 適切なタイミングで、暗号化されたEBSボリュームをEC2インスタンスにアタッチする

3 EBSボリュームを暗号化する

1. 暗号化されていないEBSボリュームのスナップショットを取得します。ボリュームを選択し、[スナップショットの作成]をクリックします。
2. スナップショットを作成します
3. 作成したスナップショットを選択し、[スナップショットをコピー]をクリックします。
4. [このスナップショットを暗号化]をチェックし、[スナップショットをコピー]をクリックすると、暗号化したEBSボリュームのスナップショットが作成されます。
5. 暗号化したスナップショットを選択し、[スナップショットからボリュームを作成]をクリックします。設定値を入力し、[ボリュームを作成]をクリックします。
   
6. ボリュームが暗号化されていることを確認します。
7. EC2に対して、「暗号化されていないEBSボリュームのデタッチ」と「暗号化されたEBSボリュームのアタッチ」は、ステークホルダーと確認しながら行います。
   • EBSボリュームのアタッチ方法は、EBSボリュームを選択し、[ボリュームのアタッチ]から行います。

これで、暗号化されたEBSボリュームがアタッチされました。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、平井でした！