![【Security Hub修復手順】[WorkSpaces.2] WorkSpacesルートボリュームは保管時に暗号化する必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
【Security Hub修復手順】[WorkSpaces.2] WorkSpacesルートボリュームは保管時に暗号化する必要があります
2025.05.12こんにちは!クラウド事業本部の吉田です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります
[WorkSpaces.2] WorkSpaces root volumes should be encrypted at rest
前提条件
本記事は、AWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、Amazon WorkSpaces のルートボリュームが保管時に暗号化されているかチェックします。
WorkSpaces のルートボリュームとは、Windows の場合は C ドライブ、Linux の場合は /のことを指します。
データ管理はユーザー側の責任であるため、保管時の暗号化は必須です。
対応しない場合、データ管理の責任を放棄することになります。
一方、重要データを扱わない本番環境以外であれば必須ではありません。
Amazon WorkSpacesの暗号化の設定は作成時のみ設定できるため、対応する場合はAmazon WorkSpacesを再作成する必要があります。
他にも、WorkSpaces の暗号化には現状以下のような制約があることに留意ください。
- 暗号化された WorkSpaces からカスタム イメージを作成することは、現在サポートされていない
- 暗号化されている WorkSpaces の暗号化の無効化は、現在サポートされていない
修復手順
- WorkSpacesのページで、「WorkSpacesの作成」をクリックする
-
ステップ4「カスタマイズ」のページまで、既存のWorkSpacesと同等の設定を行う
-
ステップ4「カスタマイズ」のページで、以下の設定を行った後、「WorkSpacesの作成」をクリック
- 暗号化キー: AWS KMS のAWSマネージドキーとカスタマーマネージドキーのどちらかを選択
- 「ルートボリュームを暗号化」ボックス: チェックする
- コントロールWorkSpaces.1でユーザーボリュームが暗号化されているかチェックされるため、併せて「ユーザーボリュームを暗号化」ボックスをチェックすることを推奨
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
