Security Hub のAWS 基礎セキュリティのベストプラクティス [EC2.22] で EC2 に付与しているセキュリティグループが FAILED に検知された時の対処方法

困っていた内容

Security Hub の AWS 基礎セキュリティのベストプラクティス v1.0.0 の検出結果を調査しています。
その中で、[EC2.22] 未使用の EC2 セキュリティグループを削除する必要があります の項目で EC2 に付与しているセキュリティグループが FAILED に検知されました。
原因と対処方法を教えてください。

どう対応すればいいの?

[EC2.22] 未使用の EC2 セキュリティグループを削除する必要があります は、セキュリティクループが EC2 インスタンス または Elastic Network Interface(ENI) に付与されているかをチェックしています。

EC2.22 は検知の際に AWS Config のマネージドルール ec2-security-group-attached-to-eni-periodic [1] を使用しており、
このルールでは、リソースタイプ AWS:: EC2::SecurityGroupAWS::EC2::NetworkInterface が記録されている必要がございます。[2]

AWS Config で 上記のリソースが設定されていない場合は、Security Hub が正常に動作しない可能性があります。
そのため、EC2 に付与しているセキュリティグループが FAILED に検知された場合は、AWS Config の設定で以下のリソースを追加してください。

  • AWS:: EC2::SecurityGroup
  • AWS::EC2::NetworkInterface

参考情報