developersIO
【Security Hub修復手順】[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります

【Security Hub修復手順】[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順
AWS Security HubElastic Load Balancing (ELB)
2026.06.11

こんにちは!クラウド事業本部のグムです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

本記事では、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります

[ELB.22] ELB target groups should use encrypted transport protocols

https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/elb-controls.html#elb-22

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、Elastic Load Balancingのターゲットグループが、暗号化されたトランスポートプロトコルを使用しているかをチェックします。

ロードバランサーがターゲットへトラフィックを転送する際のプロトコルがHTTPS、TLS、QUICのいずれかで設定する必要があります。

なお、ターゲットタイプがLambdaまたはApplication Load Balancerのターゲットグループ、およびGENEVEプロトコルを使用するターゲットグループは、このコントロールの対象外です。

ターゲットグループの通信は、同一VPC内のプライベートネットワークを介してロードバランサーとターゲットの間で行われます。プライベートネットワークであっても、非暗号化プロトコルを使用していると、ロードバランサーとターゲット間で転送されるデータが傍受・盗聴される恐れがあります。また、攻撃者による中間者攻撃のリスクもあります。

転送中のデータの機密性と完全性を保護するため、ターゲットグループには暗号化されたプロトコルを使用することを推奨します。

修復手順

ターゲットグループのプロトコルは、作成後に変更できません。
そのため本コントロールの修復は、暗号化されたプロトコルで新しいターゲットグループを作成し、ロードバランサーのルーティング先を切り替える流れになります。

ステークホルダーに確認

修復を行う前に、以下の点をステークホルダーに確認してください。

  • ターゲット(EC2インスタンス等)が暗号化プロトコル(ALBの場合はHTTPS、NLBの場合はTLS)での受信に対応しているか
  • ターゲット側にサーバー証明書が導入されているか(HTTPS/TLSで受信するために必要)
  • ターゲットグループの切り替え時に、瞬断や接続影響が許容されるメンテナンスウィンドウを確保できるか
  • 対象のターゲットグループがどのロードバランサー・リスナーに関連付けられているか

修復手順

ここではApplication Load Balancerのターゲットグループを、HTTPからHTTPSへ切り替える例を紹介します。
Network Load Balancerの場合は、プロトコルをTLSに読み替えてください。

  1. Amazon EC2コンソールを開く
    스크린샷 2026-06-04 오후 6.47.42

  2. 左メニューの「ロードバランシング」から「ターゲットグループ」を選択
    스크린샷 2026-06-04 오후 6.48.34

  3. 「ターゲットグループの作成」を選択
    스크린샷 2026-06-10 오후 2.20.14

  4. 既存の設定はそのまま引き継ぎ、ターゲットグループのプロトコルだけをHTTPSに変更しターゲットグループを作成します。
    스크린샷 2026-06-10 오후 1.39.29

  5. 作成したターゲットグループに、既存と同じターゲットを登録
    스크린샷 2026-06-10 오후 1.50.11

  6. 対象のロードバランサーのリスナー(またはリスナールール)を編集し、転送先を新しいターゲットグループに変更
    스크린샷 2026-06-10 오후 2.13.38

  7. 新しいターゲットグループのヘルスチェックが正常(healthy)になり、トラフィックが正しく流れることを確認
    스크린샷 2026-06-10 오후 2.41.56

  8. 問題がなければ、非暗号化プロトコルの古いターゲットグループを削除
    스크린샷 2026-06-10 오후 2.42.20
    스크린샷 2026-06-10 오후 2.42.40

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、グムでした!

AWS Security Hub 「基礎セキュリティのベストプラクティス」シリーズをご覧のあなたに特報!

本シリーズで紹介している各チェック項目(コントロール)について、推奨される対応方法や見解のまとめは、クラスメソッド経由でAWSをご活用されているお客様向けに特別公開しております。この機会にぜひ併せてご検討ください。

クラスメソッドのAWS総合支援を見る

何が提供されるの?

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事

【Security Hub修復手順】[ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります
KeumSangwon
2026.06.10
【Security Hub修復手順】[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。
フニ
2026.03.30
【Security Hub修復手順】[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります
スライマンアブドラー パネ
2026.06.05
【Security Hub修復手順】[DynamoDB.7] DynamoDB Accelerator クラスターは転送中に暗号化する必要があります
平井裕二
2025.04.30