developersIO
【Security Hub修復手順】[EKS.9] EKSノードグループは、サポートされているKubernetesバージョンで実行する必要があります

【Security Hub修復手順】[EKS.9] EKSノードグループは、サポートされているKubernetesバージョンで実行する必要があります

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順
AWS Security HubAmazon EKSAWS
2026.06.24

こんにちは。クラスメソッドオペレーションズのkatsumataです。

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[EKS.9] EKSノードグループは、サポートされているKubernetesバージョンで実行する必要があります

[EKS.9] EKS node groups should run on a supported Kubernetes version

https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-9

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

EKSマネージドノードグループがスタンダードサポートのKubernetesバージョンで実行されているかどうかをチェックします。
ノードグループのKubernetesバージョンをスタンダードサポート対象のバージョンに更新すると、このコントロールは成功します。

拡張サポートのバージョンで稼働している場合もこのコントロールは非準拠となります。

スタンダードサポート終了後のバージョンで稼働し続けると、セキュリティパッチの適用遅延や、AWSサービス・コンテナイメージ・サードパーティツールとの互換性問題につながります。
拡張サポート期間中はAWSからセキュリティパッチが提供されますが、拡張サポートには追加料金が発生します。

さらに、拡張サポート終了後はAWSのタイミングで自動更新が行われ、更新タイミングをコントロールできません。
意図しない自動更新による影響を防ぐためにも、スタンダードサポート期間内での計画的な更新が必須です。

なお、類似のコントロールとしてEKS.2がありますが、EKS.2はクラスターのコントロールプレーンが対象です。
コントロールプレーンをアップグレードしてもノードグループは自動的にアップグレードされないため、EKS.9の解消には個別にノードグループを更新する必要があります。

修復手順

1. クラスターのコントロールプレーンをアップグレードする

2026年6月時点で、Kubernetesバージョン1.32は拡張サポート、1.33以降がスタンダードサポートです。本手順ではv1.32のクラスターをv1.33にアップグレードします。

ノードグループのバージョンはクラスターのコントロールプレーンと同じバージョンまでしかアップグレードできません。先にクラスターのコントロールプレーンを1.33にアップグレードします。

クラスター画面右上の「バージョンをアップグレード」を選択し、Kubernetesバージョン「1.33」を選択します。

スクリーンショット 2026-06-18 1.13.33.png

スクリーンショット 2026-06-18 1.17.40.png

アップグレードは1マイナーバージョンずつ行う必要があります。1.36や1.35などはグレーアウトされており、「最初に1.33へアップグレード」と表示されています。

アップグレードを実行すると、クラスター一覧でステータスが「更新中」になります。

更新が完了すると、Kubernetesバージョンが1.33、サポート期間が「標準サポート」に変わります。

スクリーンショット 2026-06-18 1.30.46.png

2. ノードグループをアップグレードする

コントロールプレーンの更新完了後、ノードグループをアップグレードします。

対象クラスターの「コンピューティング」タブを開くと、ノードグループのAMIリリースバージョンに「今すぐ更新」が表示されています。

スクリーンショット 2026-06-18 1.31.37.png

ノードグループの詳細画面右上の「今すぐ更新」を選択します。

スクリーンショット 2026-06-18 1.32.20.png

更新ダイアログが表示されます。更新戦略を選択して「更新」を選択します。

スクリーンショット 2026-06-18 1.32.24.png

更新戦略は2種類あります。

更新戦略 動作 ユースケース
ローリング更新 Pod Disruption Budget(PDB)を尊重。PDBによりドレインできない場合は更新失敗 本番環境(ワークロードへの影響を最小化)
強制更新 PDBを無視してノードを入れ替え 迅速に更新したい場合・検証環境

更新が完了すると、ノードグループのKubernetesバージョンが1.33になります。

スクリーンショット 2026-06-18 1.51.45.png

注意事項

  • Kubernetesバージョンのアップグレードは1マイナーバージョンずつ行う必要があります(例: 1.31 → 1.32 → 1.33)
  • コントロールプレーンのアップグレードが先、ノードグループのアップグレードが後の順序を守ってください
  • 本番環境ではローリング更新を選択し、Pod Disruption Budgetを適切に設定しておくことを推奨します
  • スタンダードサポート対象のバージョンはAWSによって更新されるため、最新の情報は公式ドキュメントを確認してください

参考

https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/kubernetes-versions.html
https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/update-managed-node-group.html
https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-9
https://aws.amazon.com/jp/eks/pricing/

最後に

今回はEKS.9の修復手順として、EKSマネージドノードグループのKubernetesバージョンアップグレードを紹介しました。

コントロールプレーンとノードグループのアップグレードは別々に行う必要がある点にご注意ください。

どなたかのお役に立てれば幸いです。

AWS Security Hub 「基礎セキュリティのベストプラクティス」シリーズをご覧のあなたに特報!

本シリーズで紹介している各チェック項目(コントロール)について、推奨される対応方法や見解のまとめは、クラスメソッド経由でAWSをご活用されているお客様向けに特別公開しております。この機会にぜひ併せてご検討ください。

クラスメソッドのAWS総合支援を見る

何が提供されるの?

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事

【Security Hub修復手順】[ECS.21] ECS タスク定義では、Windowsコンテナ定義で管理者以外のユーザーを設定する必要があります
asano haruki
2026.06.21
【Security Hub修復手順】[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります
KeumSangwon
2026.06.11
【Security Hub修復手順】[EC2.4] 停止した EC2 インスタンスは指定した期間後に削除する必要があります
フニ
2026.03.10
【Security Hub修復手順】[RDS.51] RDS グローバルクラスターは、サポートされている Aurora MySQL バージョンで実行する必要があります
乃万享佑 ( noma kyosuke )
2026.06.18