【Security Hub修復手順】[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります

【Security Hub修復手順】[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります

#AWS Security Hub
#Amazon EMR
あかいけ

あかいけ

facebook logohatena logotwitter logo
Clock Icon2025.03.10

こんにちは、あかいけです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[EMR.4] Amazon EMR security configurations should be encrypted in transit
[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/
https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

Amazon EMR セキュリティ設定にて転送中の暗号化が有効化されているかどうかをチェックします。
本コントロールはEMRクラスター自体の設定状況をチェックするのではなく、
あくまでセキュリティ設定の設定状況をチェックしているという点に注意が必要です。

暗号化することで悪意のあるユーザーからの盗聴リスクを軽減できるため、基本的には対応を必須とします。
ただし通信がプライベートに閉じている場合など攻撃のリスクが低い場合、必須ではありません。

また暗号化によりトラフィックの盗聴を防げる一方、パフォーマンス低下を考慮する必要があります。
そのため、有効化する場合は十分にテストを実施してください。

https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/emr-controls.html#emr-4

修復手順

まず、EMRのセキュリティ設定は作成後に設定変更することができません。
そのため既存のセキュリティ設定をクローン、
または新規作成して暗号化を有効にしたセキュリティ設定を作成する必要があります。

なお起動中のEMRクラスターのセキュリティ設定の付け替えはできないため、
クラスター作成時に適用することとなります。

1.PEMファイル 作成

転送中の暗号化はPEMファイルを利用します。

https://docs.aws.amazon.com/ja_jp/emr/latest/ManagementGuide/emr-encryption-enable.html#emr-encryption-certificates

まずは暗号化用のPEMファイルを作成します。
なお検証用なので自己証明書を利用していますが、
本番システムの証明書は信頼できる認証機関(CA)を使用して発行してください。

※コマンドは公式ドキュメント通りですが、
リージョンに合わせてopensslコマンド内の*.us-west-2.compute.internal*.ap-northeast-1.compute.internalへ変更しています

PEMファイル作成
% openssl req -x509 -newkey rsa:2048 -keyout privateKey.pem -out certificateChain.pem -days 365 -nodes -subj '/C=US/ST=Washington/L=Seattle/O=MyOrg/OU=MyDept/CN=*.ap-northeast-1.compute.internal'
% cp certificateChain.pem trustedCertificates.pem
% zip -r -X emr-certs.zip certificateChain.pem privateKey.pem trustedCertificates.pem

あとはS3バケットを作成してPEMファイルをアップロードします。

S3バケット 作成
% aws s3api create-bucket \
    --bucket <bucket-name> \
    --region ap-northeast-1 \
    --create-bucket-configuration LocationConstraint=ap-northeast-1

% aws s3 cp ./emr-certs.zip s3://<bucket-name>/emr-certs.zip

2.セキュリティ設定 作成

今回は既存のセキュリティ設定をクローンして作成してみます。

元となるのは以下の全ての暗号化を有効化していないセキュリティ設定です。
右上の「クローン」をクリックします。
スクリーンショット 2025-02-24 20.28.11

転送中の暗号化にて先ほどアップロードしたPEMファイルのパスを指定します。
またEMR WAL 内のデータの保存時の暗号化は今回直接は関係ないですが、合わせて有効化しています。
残りの項目はデフォルト値で作成します。
スクリーンショット 2025-02-24 20.30.11

作成完了後、詳細から各種暗号化が設定されていることが確認できます。
スクリーンショット 2025-02-24 20.31.26

またSecurity Hubの該当のコントロールを確認すると、
新しく作成したセキュリティ設定はパスしていることが確認できます。
スクリーンショット 2025-02-24 20.43.30

あとは新規作成したセキュリティ設定を指定して、EMRクラスターを作成して動作確認を進めて下さい。
動作確認をして問題がなければ、古いセキュリティ設定は削除しましょう。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう。

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

Security Hubのコントロール検出結果で「不明」ステータスが突然、複数発生しました

Security Hubのコントロール検出結果で「不明」ステータスが突然、複数発生しました

User avatar
katsumata
2025.03.07
Security Hub のメール通知を読みやすいように整形してみる(2025年版 & 日本語表記)

Security Hub のメール通知を読みやすいように整形してみる(2025年版 & 日本語表記)

User avatar
平木佳介
2025.03.06
Markdownで管理できるBIツール "Evidence" を使ってSecurity Hubレポートを作ってみる

Markdownで管理できるBIツール "Evidence" を使ってSecurity Hubレポートを作ってみる

User avatar
川原征大
2025.03.03
EventBridgeとStep Functionsを使ってSecurity Hubの結果をBacklogに自動起票する構成を考えてみた

EventBridgeとStep Functionsを使ってSecurity Hubの結果をBacklogに自動起票する構成を考えてみた

User avatar
べこみん
2025.02.28
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.