【Security Hub修復手順】[ Transfer.3 ] Transfer Family コネクタではログ記録が有効になっている必要があります

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Transfer.3] Transfer Family コネクタではログ記録が有効になっている必要があります

[Transfer.3] Transfer Family connectors should have logging enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、AWS Transfer Family コネクタに対して Amazon CloudWatch ログ記録が有効になっているかを確認します。

Transfer Family コネクタイベントを CloudWatch に自動的にログ記録できます。これを行うには、コネクタのログ記録用 IAM ロールを指定するだけです。

ログを有効にすると CloudWatch Logs に出力されるため、追加費用を考慮した上で有効化してください。

以下の場合に応じて対応を検討してください。

• 本番環境など：セキュリティ要件でログの取得が必須とされる場合は有効化してください
• 検証環境など：ログの取得が必須でない場合は、無効でも問題ありません

https://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/configure-sftp-connector.html

修復手順

1 コントロールの確認方法

1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「Transfer.3」を検索し、タイトルを選択します。
   
2. リソースの欄から失敗が確認できます。
   

2 ステークホルダーに確認

ステークホルダー（リソースの作成者や管理している部署などの関係者）に以下の点を確認します。

• ログの有効化をしてよいか
  • 対応しない場合は、その理由を確認し、Security Hubで当該コントロールを「抑制済み」に設定します。

3 ログを有効化する

1. IAMロールを事前に作成しておきます。IAMポリシーは以下の権限を設定します。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "SFTPConnectorPermissions",
        "Effect": "Allow",
        "Action": [
            "logs:CreateLogStream",
            "logs:DescribeLogStreams",
            "logs:CreateLogGroup",
            "logs:PutLogEvents"
        ],
        "Resource": [
            "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        ]
    }]
}

2. 対象のコネクタを選択します。
   
3. 編集します。
   
4. 先ほど作成したIAMロールをログ記録ロールに指定します。
   

これでログが有効化されました。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。