【Security Hub修復手順】[Neptune.2] Neptune DBクラスターでは、監査ログをCloudWatch Logsに発行する必要があります

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります

[Neptune.2] Neptune DB clusters should publish audit logs to CloudWatch Logs

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

本コントロールは、Neptune DBクラスター（以降、クラスター）の監査ログをCloudWatch Logsへエクスポートすることを求めるものです。

ただし、監査ログのエクスポートは監査および調査要件次第であるため、有効化は必須でありません。

要件にない場合は、本コントロールを抑制済みにしてください。

修復手順

監査ログのエクスポートは、クラスター作成後でも有効化可能です。

有効化するには、大きく以下の対応を行います。

• クラスター設定からログのエクスポート>auditを選択
• DBクラスターパラメータグループ>neptune_enable_audit_logの値を0から1に変更
• DBインスタンスを再起動

なお、デフォルトのDBクラスターパラメータグループは、個々のパラメーターを変更することができません。

デフォルトのパラメータグループを利用している場合は、新しくパラメーターグループを作成したうえで

neptune_enable_audit_logの値を0から1に変更します。neptune_enable_audit_logはstaticタイプであるため、設定を適用させるためにはDBインスタンスの再起動が必要な点はご注意ください。

つぎに、クラスターの設定を変更します。

その他の設定>DBクラスターパラメータグループに作成しておいたパラメータグループを指定し、

ログのエクスポート>auditを選択します。

クラスター設定の最後に変更のスケジューリングを選択できますが、これはクラスター設定への変更タイミングに影響するだけです。

DBクラスターパラメータグループをDBインスタンスに適用するため、DBインスタンスの手動再起動が必要となります。

さいごに、DBインスタンスを再起動し設定が反映されるのを待ちます。

DBインスタンス再起動後、クラスターの設定>ログを公開>CloudWatch Logsにてauditであり、

CloudWatch Logsのロググループにログ出力されていれば設定完了です。なお、ロググループへの出力は監査ログ有効化後にNeptuneへクエリが発行されたら出力されますのでご注意ください。

おわりに

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。