developersIO
【Security Hub修復手順】[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります

【Security Hub修復手順】[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順
AWS Security HubAmazon SES
2026.06.05

こんにちは!スライマンです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

本記事では、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります

[SES.3] SES configuration sets should have TLS enabled for sending emails

https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/ses-controls.html#ses-3

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、Amazon SESの設定セットに対してTLSポリシーが REQUIRED(必須)に設定されているかチェックします。
設定セットのTLSポリシーを REQUIRED にすることで、このコントロールは成功します。

Amazon SESはデフォルトでは日和見的TLS(Opportunistic TLS)を使用します。
この設定では、受信側メールサーバーがTLS接続を確立できない場合、メールが平文で送信されてしまいます。
TLSポリシーを REQUIRED に設定することで、TLS接続が確立できない相手先へのメール送信をブロックし、通信経路上での盗聴と中間者攻撃を防止します。

メールの内容には個人情報や機密情報が含まれる場合があり、転送中の通信を暗号化することは必須の対応です。
なお、TLSポリシーを REQUIRED に設定すると、TLS接続を確立できない受信サーバーへのメールは送信されません。
事前に送信先の対応状況を確認してください。

修復手順

コントロールの確認方法

  1. AWS Security Hubコンソールを開く
  2. 左メニューから「検出結果」を選択
  3. フィルターで コンプライアンスセキュリティコントロールIDSES.3 を指定し、コンプライアンスのステータスが FAILED の検出結果を確認する

Blog_SES3_1

  1. 検出されたリソース(設定セット名)を確認し、対応が必要な設定セットを特定する

Blog_SES3_2

ステークホルダーに確認

修復を行う前に、以下の点をステークホルダーに確認してください。

  • TLSポリシーを REQUIRED に設定すると、TLS非対応の受信サーバーへのメール送信がブロックされるため、送信先に影響がないか確認する
  • メール送信に関わるシステムやアプリケーションの担当者に変更内容を共有する
  • 必要に応じてメンテナンスウィンドウを設けて対応する

修復手順

  1. Amazon SESコンソールを開く
  2. 左メニューから「設定」→「設定セット」を選択する

Blog_SES3_3

  1. 対象の設定セット名をクリックする
  2. 「概要」の「全般的な詳細」タブを選択する

Blog_SES3_4

  1. 「全般的な詳細」セクションの「編集」ボタンをクリックし、「TLSポリシー」を「必須」に変更する

Blog_SES3_5

  1. 「変更を保存」をクリックする

Blog_SES3_6

修復確認

本コントロールは設定セットの設定変更時に評価されるため、TLSポリシーを必須に変更後に比較的早く結果が PASSED に切り替わります。
ただし、反映されるまで数分〜数十分かかる場合があります。
まず、AWS CLIでsesv2 のget-configuration-setを実行し、TlsPolicyが REQUIREであることを確認します。

aws sesv2 get-configuration-set \
  --configuration-set-name <YOUR_CONFIGURATION_SET_NAME> \
  --query 'DeliveryOptions' \
  --output json

実行結果の例:

{
    "TlsPolicy": "REQUIRE"
}

その後、修復後に Security Hubで検出結果が「PASSED」になることを確認します。

Blog_SES3_7

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、スライマンでした!

AWS Security Hub 「基礎セキュリティのベストプラクティス」シリーズをご覧のあなたに特報!

本シリーズで紹介している各チェック項目(コントロール)について、推奨される対応方法や見解のまとめは、クラスメソッド経由でAWSをご活用されているお客様向けに特別公開しております。この機会にぜひ併せてご検討ください。

クラスメソッドのAWS総合支援を見る

何が提供されるの?

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事

【Security Hub修復手順】[DynamoDB.7] DynamoDB Accelerator クラスターは転送中に暗号化する必要があります
平井裕二
2025.04.30
【Security Hub修復手順】[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。
フニ
2026.03.30
【Security Hub修復手順】[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります
あかいけ
2025.03.10
【Security Hub修復手順】[ECS.18] ECS タスク定義ではEFS ボリュームの転送時の暗号化を使用する必要があります
asano haruki
2026.05.30