【Security Hub修復手順】[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

【Security Hub修復手順】[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS
#AWS Security Hub
おつまみ

おつまみ

facebook logohatena logotwitter logo
Clock Icon2023.06.13

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

[SNS.2] Logging of delivery status should be enabled for notification messages sent to a topic

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、Amazon SNS トピックに送信される通知メッセージの配信ステータスで、ログ記録が有効になっているかどうかをチェックします。
メッセージの配信ステータス通知が有効になっていない場合、このコントロールは失敗します。

通知メッセージの配信状況のログを有効にすると、CloudWatch Logsへ配信ステータス等の情報が含まれたログを出力できます。
ログ記録は、サービスの信頼性、可用性、パフォーマンスを維持するための重要な要素です。
エラーハンドリングにおいてログを使うケースがあるため、クリティカルな用途でSNSを利用する場合は有効化を推奨します。

一方、CloudWatch Logsのコストが別途発生します。
ログの流量が多い場合は、配信コスト増加に注意してください。

修復手順

1. 対象SNSの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「SNS.2」を検索します。タイトルを選択します。

  2. リソースの欄から失敗しているSNSトピックを確認できます。

2. ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

  • 対象のSNSトピックに対して、ログ記録有効にしてよいか。

3. 配信ステータスのログを有効にする

  1. SNS のコンソールから対象のSNSトピックを選択し、[編集]をクリックします。

  2. [配信ステータスのログ記録]セクションにて、各パラメータを設定します。

    項目 説明 備考
    プロトコル ログに記録するプロトコルを選択します。
    成功サンプルレート 正常にログに記録されたメッセージ配信の割合を指定します。 0:失敗した配信のみ記録
    10:成功した配信のうち10%のみ記録
    全ての配信を記録
    IAM ロール 新しいロールの作成

    Amazon SNS は、CloudWatch Logs にログを書き込むためのアクセス許可を必要とします。

    		 注:適切なアクセス許可を持つ IAM ロールがすでにある場合は、代わりに既存のサービスロールを使用を選択して、そのサービスロールを使用できます。

  3. IAM コンソールのアクセス許可のリクエストページで[許可]を選択します。

  4. Amazon SNS コンソールに戻ったら、[変更を保存] をクリックします。

  5. [配信ステータスのログ記録]タブにて、設定されていることを確認します。

  6. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

参考

Amazon SNS メッセージ配信ステータス - Amazon Simple Notification Service

SMS メッセージの Amazon SNS トピック配信ログにアクセスする | AWS re:Post

Amazon SNSのSMS配信のロギングを有効にしてみた | DevelopersIO

Share this article

facebook logohatena logotwitter logo

関連記事

CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

User avatar
suzuki.ryo
2024.11.21
[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

User avatar
武田隆志
2024.11.21
新機能のロードバランサーキャパシティユニット (LCU) 予約で、ALBの暖機を試みてみた

新機能のロードバランサーキャパシティユニット (LCU) 予約で、ALBの暖機を試みてみた

User avatar
suzuki.ryo
2024.11.21
【アップデート】Compute Optimizer が アイドルリソースの推奨をサポートするようになりました

【アップデート】Compute Optimizer が アイドルリソースの推奨をサポートするようになりました

User avatar
おつまみ
2024.11.21
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.