developersIO
【Security Hub修復手順】[RDS.1] RDS スナップショットはプライベートである必要があります

【Security Hub修復手順】[RDS.1] RDS スナップショットはプライベートである必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順
AWS Security HubAWSAmazon RDSAmazon AuroraAmazon DocumentDB
FacebookHatena blogX
2023.01.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部のトクヤマシュンです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.1] RDS snapshots should be private

対象コントロールの説明

次のサービスに関してスナップショットがパブリックである場合、本コントロールは失敗として検知されます。

  • Amazon RDS DBインスタンス
  • Amazon Aurora DBインスタンス
  • Amazon Neptune DBインスタンス
  • Amazon Document DBクラスター

暗号化されていないスナップショットをパブリックとして共有してしまった場合、すべてのAWSアカウントで使用可能となります。
本コントロールに対応しない場合、意図せぬデータ漏洩発生の可能性がありますのでご注意ください。

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

修復手順

1.修正対象のスナップショット特定

まずAWS Security HubのコンソールからRDS.1のチェック結果を確認します。
表示項目から、今回の対象はtest-snapshotであることが分かります。

東京リージョンの場合、下記リンクで上図の画面を確認可能です。

https://ap-northeast-1.console.aws.amazon.com/securityhub/home?region=ap-northeast-1#/standards/aws-foundational-security-best-practices-1.0.0/RDS.1

2.ステークホルダーに確認

ステークホルダーに以下を確認します。

  • スナップショットのパブリック公開は意図したものか?
    • YESの場合
      • 対象のFindingsを抑制済みに変更し、検知対象から除外します
      • 相当なレアケースかと思うので、公開して問題ないかはしっかりと確認するようにしてください
        • ケースの例として、人口統計などのオープンデータを一般公開する場合などが考えられます
    • NOの場合
      • 3.プライベートスナップショットへの変更に進みます

3.プライベートスナップショットへの変更

3.1 スナップショットのアクセス許可画面へのアクセス

マネジメントコンソールから、Amazon RDS→スナップショットのサービス画面にアクセスします。
対象のスナップショットをチェックし、アクションスナップショットの共有をクリックします。

3.2 プライベートスナップショットへの変更の保存

アクセスすると、次の画像のように警告が表示されています。

DBスナップショットの可視性のラジオボタンでPrivateを選択します。
AWSアカウントIDのall行に対し、削除ボックスにチェックします。

設定できたら、保存ボタンをクリックします。

以上で修復は完了です。

修復確認

再度対象のスナップショットをチェックして、アクションスナップショットの共有をクリックしてスナップショットのアクセス許可画面にアクセスします。

先ほどのように警告が表示されず、スナップショットの可視性がPrivateになっていればOKです。

キャンセルボタンをクリックしてスナップショットのアクセス許可画面から離れてください。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、トクヤマシュンでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebookを提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。

この記事をシェアする

FacebookHatena blogX

関連記事

AWS Security Hub CSPM のLastObservedAtとUpdatedAt、ProcessedAtの違いをまとめてみた
平井裕二
2025.10.31
Secure Account: การตั้งค่าการแจ้งเตือนความปลอดภัย (Security Alert) ทางอีเมล์
kan-jittapramoulboon
2025.10.21
การดำเนินการด้านความปลอดภัยบน AWS: วิธีการใช้งาน Secure Account
kan-jittapramoulboon
2025.10.21
CloudFrontの標準ログ記録において「S3 Legacy」を設定していない場合の、AWS Security Hub CSPM[CloudFront.5]の挙動を確認してみた
吉田 岳史
2025.10.13