【Security Hub修復手順】[S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります

こんにちは、AWS事業本部の平井です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります

[S3.4] S3 buckets should have server-side encryption enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

コントロールの説明

このコントロールは、下記の２点のうちどちらも対応していない場合のみ、失敗します

• S3 バケットで Amazon S3 のデフォルトの暗号化が有効になっていること
• S3 バケットポリシーでサーバー側の暗号化なしの put-object リクエストを明示的に拒否していること

オブジェクトの暗号化は、ユーザー側の責任であるため、保管時の暗号化は必須です。

2023年の1月にアップデートがあり、アップデート後に作成されたS3は、必ず暗号化されるようになりました。

詳細は、下記の記事を一読ください

修正手順

1 対象のS3バケットの確認方法

1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「S3.4」を検索します。タイトルを選択します。
   
2. リソースの欄から失敗しているS3バケットを確認できます。

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

• 対象のS3バケットに対して、サーバー側の暗号化を有効にしてよいか

3 サーバー側の暗号化を有効にする

今回は、Amazon S3 マネージドキー (SSE-S3)を使用して暗号化します。

1. S3のコンソールから対象のバケットの[プロパティ]タブから[デフォルトの暗号化]の編集をクリックします。
2. [暗号化キー]を選択し、変更の保存をクリックします

これで、サーバー側の暗号化を有効にできました。

特に指定がない限りは、このバケットにアップロード、変更、またはコピーされたオブジェクトは、この暗号化設定が適用されます。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、平井でした！