AWS Security Hubの新コントロール「DocumentDB.6」でAuroraクラスターもチェック対象になっていたので調べてみた

AWS Security Hubの新コントロール「DocumentDB.6」でAuroraクラスターもチェック対象になっていたので調べてみた

#AWS Security Hub
小林翔馬

小林翔馬

facebook logohatena logotwitter logo
Clock Icon2025.05.11

こんにちは!製造ビジネステクノロジー部の小林です。

2025年5月7日に、AWS Security Hubに新たなコントロール「DocumentDB.6」が追加されました。このコントロールは Amazon DocumentDBクラスターの転送中データの暗号化をチェックするものですが、実際には Amazon Auroraクラスターもチェック対象となっています。

DocumentDBに関するコントロールなのに、なぜAuroraクラスターも含まれているのだろう?と疑問に思ったので調べてみました。

AWS Security Hubユーザーガイドの更新内容はこちらから確認できます。
https://docs.aws.amazon.com/securityhub/latest/userguide/doc-history.html

DocumentDB.6 コントロールの概要

このコントロールの目的は、Amazon DocumentDBクラスターが転送中に暗号化を使用しているかどうかを確認することです。公式ドキュメントによると、このコントロールは以下のように定義されています。

DocumentDB.6 Amazon DocumentDB クラスターは転送中に暗号化される必要がある

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重大度: 中

リソースタイプ: AWS::RDS::DBCluster

AWS Config ルール: docdb-cluster-encrypted-in-transit

このコントロールは、Amazon DocumentDB クラスターへの接続に TLS が必要かどうかをチェックします。

AWS Security Hub コントロールリファレンス - DocumentDB.6

リソースタイプが AWS::RDS::DBClusterと指定されていることがわかります。

AWS Configルールとリソースタイプ

このコントロールの背景にある AWS Config ルール「docdb-cluster-encrypted-in-transit」の詳細は以下の通りです。

Amazon DocumentDB クラスターへの接続が転送中の暗号化を使用するように設定されているかどうかを確認します。
識別子: DOCDB_CLUSTER_ENCRYPTED_IN_TRANSIT

リソースタイプ: AWS::RDS::DBCluster

トリガータイプ: 定期的

AWS Config ルール: docdb-cluster-encrypted-in-transit

こちらもリソースタイプがAWS::RDS::DBClusterに指定されていることがわかります。

注目すべき点:Auroraクラスターもアラート対象に含まれる

このコントロールを有効化した環境では、Amazon DocumentDBクラスターだけでなく、Amazon Auroraクラスターに対してもアラートが生成されることが確認されました。私の環境ではAurora Postgresクラスターがこのアラートの対象に含まれていました。

この動作は、リソースタイプ「AWS::RDS::DBCluster」を評価対象としているためです。このリソースタイプには、DocumentDB クラスターだけでなくAuroraクラスターも含まれているようです。

リソースタイプAWS::RDS::DBClusterについて

AWS::RDS::DBClusterは、AWS CloudFormationやAWS ConfigなどのAWSサービスで使用されるリソースタイプの識別子です。そして、AWS Configでサポートされているリソースタイプのリストを見ると、DocumentDB専用のリソースタイプ(例:AWS::DocDB::DBCluster)は記載されていません。これはAWS ConfigがDocumentDBリソースを評価する際に、RDSのリソースタイプを使用していることを示唆しています。

実際に確認してみた

AuroraクラスターとDocumentDBクラスターのSSL/TLSを無効化した状態で、DocumentDB.6のアラートが両方のリソースを検出するかを確認してみました。

Auroraクラスターはこちらです。
スクリーンショット 2025-05-11 10.47.12

DocumentDBはこちらです。今回初めて触りました。
スクリーンショット 2025-05-11 10.49.33

Security Hubのコンソールからコントロールを選択し、フィルタリングでIDのDocumentDB.6を検索します。
スクリーンショット 2025-05-11 10.41.36

AuroraクラスターとDocumentDBが検出されていることが確認できました!
スクリーンショット 2025-05-11 10.43.44

まとめ

今回は、コントロール「DocumentDB.6」の詳細について確認してみました。
SSL/TLSによる転送中データの暗号化は、データ保護において重要なセキュリティ対策です。このコントロールをきっかけに、暗号化設定を見直し、より強固なセキュリティ体制を構築できそうです!

また、今回の調査で、DocumentDB.6以外のコントロール(DocumentDB.1、2、4、5)もリソースタイプがAWS::RDS::DBClusterであることを初めて知りました。AWS ConfigではDocumentDBのリソースがRDSのリソースタイプとして扱われているという興味深い事実が分かりました。

この記事がSecurity Hubを運用されている方々のお役に立てば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

AWS Security Hubのコントロール状態をCLIで確認してみた

AWS Security Hubのコントロール状態をCLIで確認してみた

User avatar
小林翔馬
2025.05.11
AWS Organizations管理下の各EC2インスタンスで使用されているAmazon提供以外のAMIの一覧を出してみた

AWS Organizations管理下の各EC2インスタンスで使用されているAmazon提供以外のAMIの一覧を出してみた

User avatar
とーち
2025.05.02
【Security Hub修復手順】[DynamoDB.7] DynamoDB Accelerator クラスターは転送中に暗号化する必要があります

【Security Hub修復手順】[DynamoDB.7] DynamoDB Accelerator クラスターは転送中に暗号化する必要があります

User avatar
平井裕二
2025.04.30
【Security Hub修復手順】[ Connect.2 ] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります

【Security Hub修復手順】[ Connect.2 ] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります

User avatar
平井裕二
2025.04.28
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.