【Security Hub修復手順】[ SSM.1 ] EC2 インスタンスは、AWS Systems Manager で管理する必要があります

【Security Hub修復手順】[ SSM.1 ] EC2 インスタンスは、AWS Systems Manager で管理する必要があります

Folder Icon
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順
#AWS Security Hub
#AWS Systems Manager(SSM)
#AWS
平井裕二

平井裕二

facebook logohatena logotwitter logo
Clock Icon2025.02.03

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[SSM.1] EC2 インスタンスは、AWS Systems Manager で管理する必要があります

[SSM.1] Amazon EC2 instances should be managed by AWS Systems Manager

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

本コントロールは、EC2インスタンスがAWS Systems Manager(SSM)によって適切に管理(マネージドインスタンス化)されているかを確認します。
SSMによる管理が行われていない(アンマネージド状態の)EC2インスタンスは、コントロールチェックで失敗と判定されます。

本コントロールの成功と失敗のパターンは以下の通りです。

インスタンスの状態 SSMエージェントの状態 コントロール結果
稼働中 動作中 成功
稼働中 停止中 失敗
稼働中 未インストール 失敗
停止中 インストール済み 成功
停止中 未インストール 失敗

EC2インスタンスが停止状態であっても、SSMエージェントが正しくインストールされている場合は、マネージドインスタンスとして評価されます。

cm-hirai-screenshot 2025-01-24 14.39.36

https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html

https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-1

マネージドインスタンス化には、以下のようなメリットがあります。

  1. セキュアなリモートアクセス

    • セッションマネージャーを使用し、Webブラウザから直接OSに接続できます
    • 踏み台サーバーの構築・運用が不要になります

  2. 一元的なパッチ管理

    • パッチマネージャーでOSやアプリケーションのパッチを統合管理できます
    • パッチの適用状況を一括で把握・制御できます

  3. 運用管理の効率化

    • State Managerで定常的なタスクを自動化できます
    • Run Commandで複数のEC2インスタンスに対して一括でコマンドを実行できます

本番環境においては、セキュリティやオペレーションの観点から、SSMによる一元管理を推奨します。

修復手順

1 コントロールの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「SSM.1」を検索し、タイトルを選択します。
    cm-hirai-screenshot 2025-01-24 14.58.33
  2. リソースの欄から失敗が確認できます。
    cm-hirai-screenshot 2025-01-24 14.59.11

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の点を確認します。

  • マネージドインスタンス化してよいか
    • 対応しない場合は、その理由を確認し、Security Hubで当該コントロールを「抑制済み」に設定します。

3 マネージドインスタンス化する

マネージドインスタンス化には、以下の条件を満たす必要があります。

  • EC2インスタンスに適切なインスタンスプロファイルを設定
  • EC2インスタンスからSSMへの通信経路の確保
  • SSMエージェントのインストールと設定

詳細な要件については、以下のドキュメントをご参照ください。

マネージドインスタンス化の実現方法として、従来はEC2インスタンスにインスタンスプロファイルを設定する必要がありましたが、SSMクイックセットアップのDefault Host Management Configurationを利用することで、アカウントや組織全体で設定が不要になりました。

https://dev.classmethod.jp/articles/aws-systems-manager-supports-default-host-management-configuration/

https://dev.classmethod.jp/articles/enable-aws-systems-manager-ec2-instances-organization/

SSM統合エクスペリエンスを有効化すると、組織内の全EC2インスタンスの管理状態(マネージド/アンマネージド)を一元的に把握できます。

https://dev.classmethod.jp/articles/aws-ssm-new-experience-is-very-good/

有効化した場合、本コントロールが失敗したアンマネージドインスタンスの原因の確認や是正が可能ですので、利用をご検討ください。

https://dev.classmethod.jp/articles/try-ssm-diagnose-and-remediate/

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

Security Hub で検出結果の JSON を取得する方法を教えてください

Security Hub で検出結果の JSON を取得する方法を教えてください

User avatar
hato
2025.01.31
[アップデート]Security Hub のセキュリティ標準に新たに4個のチェック項目が追加されました(2024/12/17)

[アップデート]Security Hub のセキュリティ標準に新たに4個のチェック項目が追加されました(2024/12/17)

User avatar
吉田 岳史
2025.01.28
[アップデート] Security HubにVPC ブロックパブリックアクセス (BPA) の有効化をチェックするコントロール(EC2.172)が追加されました

[アップデート] Security HubにVPC ブロックパブリックアクセス (BPA) の有効化をチェックするコントロール(EC2.172)が追加されました

User avatar
あしざわ
2025.01.27
AWS CDK で Security Hub のコントロールを個別に無効化してみた

AWS CDK で Security Hub のコントロールを個別に無効化してみた

User avatar
若槻龍太
2025.01.25
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.