【Security Hub修復手順】[S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります

【Security Hub修復手順】[S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
Clock Icon2023.06.02

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

2023 年 8 月にこのコントロールが削除されます。 詳細については、「Security Hub コントロールの変更ログ」を参照してください。

こんにちは、AWS事業本部の平井です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります

[S3.4] S3 buckets should have server-side encryption enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

コントロールの説明

このコントロールは、下記の2点のうちどちらも対応していない場合のみ、失敗します

  • S3 バケットで Amazon S3 のデフォルトの暗号化が有効になっていること
  • S3 バケットポリシーでサーバー側の暗号化なしの put-object リクエストを明示的に拒否していること

オブジェクトの暗号化は、ユーザー側の責任であるため、保管時の暗号化は必須です。

2023年の1月にアップデートがあり、アップデート後に作成されたS3は、必ず暗号化されるようになりました。

詳細は、下記の記事を一読ください

修正手順

1 対象のS3バケットの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「S3.4」を検索します。タイトルを選択します。
  2. リソースの欄から失敗しているS3バケットを確認できます。

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

  • 対象のS3バケットに対して、サーバー側の暗号化を有効にしてよいか

3 サーバー側の暗号化を有効にする

今回は、Amazon S3 マネージドキー (SSE-S3)を使用して暗号化します。

  1. S3のコンソールから対象のバケットの[プロパティ]タブから[デフォルトの暗号化]の編集をクリックします。
  2. [暗号化キー]を選択し、変更の保存をクリックします

これで、サーバー側の暗号化を有効にできました。

特に指定がない限りは、このバケットにアップロード、変更、またはコピーされたオブジェクトは、この暗号化設定が適用されます。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、平井でした!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.