【Security Hub修復手順】[EC2.7] EBS のデフォルト暗号化を有効にする必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
2023.02.09

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部の平井です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[EC2.7] EBS のデフォルト暗号化を有効にする必要があります

[EC2.7] EBS default encryption should be enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

コントロールの説明

このコントロールは、EBS暗号化がデフォルトで有効になっているかをチェックし、有効でない場合、コントロールは失敗します。

暗号の目的は、AWSのデータセンターからストレージが万が一盗まれたり、データセンターに侵入して直接サーバにログインされた場合に、不正利用されないためです。

EBS暗号化がデフォルトで有効になっている場合、EC2インスタンスの作成などでEBSボリュームが作成される時、デフォルトで暗号化されます。

ただし、以下のように暗号化がサポートされないインスタンスタイプも存在します。

  • R1
  • C1
  • M1

修正手順

1 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

  • EBS のデフォルト暗号化を有効にしてよいか

2 デフォルトで暗号化を有効にする

  1. EC2のダッシュボードから[アカウント属性]の[EBS暗号化]をクリックします。
  2. [管理]をクリックします。
  3. [有効化]をチェックし、デフォルトの暗号化キーを設定し(別のキーでも可)、[EBS暗号化を更新する]をクリックします。
  4. [常に新しい EBS ボリュームを暗号化]が有効化されたことが確認できますね。

この設定後、EC2インスタンス作成時、デフォルトでEBSボリュームが暗号化されます。

  • 設定前
  • 設定後

ちなみに、暗号化設定は、指定したリージョンでのみ有効化されます。

他のリージョンでも今回の設定を適用したい場合、各リージョンで設定する必要があります。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、平井でした!