【アップデート】AWS Security Hub のセキュリティ標準に新たに15個のチェック項目が追加されました(2023/12/18)

【アップデート】AWS Security Hub のセキュリティ標準に新たに15個のチェック項目が追加されました(2023/12/18)

Clock Icon2023.12.30

あしざわです。

みなさん、Security Hubの運用やっていますか?

AWS Security Hubのセキュリティ標準に新たに 15個のチェック項目(コントロール)が 追加されました。

AWS公式ブログでのアナウンスは以下です。

本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。

各コントロール毎に以下の情報をまとめていきます。

項目 概要
重要度 Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。
概要  コントロールでチェックされる内容を簡単にまとめています。
参考ドキュメント    コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめています。

AWS Backup

[Backup.1] AWS Backup recovery points should be encrypted at rest

重要度

Medium

概要

AWS Backupの復旧ポイントに対して、保管時の暗号化が有効されているかチェックします。

AWS Backupは復旧ポイントを管理しているコンテナであるバックアップボールト単位で暗号化設定を行います。

検知された場合は、復旧ポイントを管理しているバックアップボールトの暗号化設定を確認してください。

また、バックアップ対象のリソースによってAWS Backupによる暗号化が対応していないリソースがあります。それぞれリソースの暗号化対応状況は以下ドキュメントをご確認ください。

参考ドキュメント

Amazon DynamoDB

[DynamoDB.6] DynamoDB tables should have deletion protection enabled

重要度

Medium

概要

DynamoDBテーブルの削除保護が有効になっているかチェックします。

削除保護を有効化することでテーブルの誤削除を防止できます。

コンソールから簡単に保護できるため、未実施のリソースがあればぜひ有効化しておきましょう。

参考ドキュメント

Amazon EC2

[EC2.51] EC2 Client VPN endpoints should have client connection logging enabled

重要度

Low

概要

AWS Client VPNのVPNエンドポイントで接続ログが取得されているかチェックします。

接続ログはCloudWatch Logsに出力されます。

出力されるログのサンプルとして、こちらのブログが参考になります。

参考ドキュメント

Amazon EKS

[EKS.8] EKS clusters should have audit logging enabled

重要度

Medium

概要

EKSクラスターで監査ログが有効になっているかチェックします。

ログを有効化すると、EKSコントロールプレーンの監査ログや診断ログがCloudWatch Logsに出力されます。

参考ドキュメント

Amazon EMR

[EMR.2] Amazon EMR block public access setting should be enabled

重要度

Critical

概要

EMRのブロックパブリックアクセス設定がアカウント単位で有効になっているかチェックします。

有効化されている場合、ポート上のパブリックIPアドレス許可設定がされたEMRクラスターをパブリックサブネットで起動できなくなります。

アカウント単位のブロックパブリックアクセス設定のデフォルトは有効化状態です。検知した場合は意図した設定か確認ください。

参考ドキュメント

Amazon FSx

[FSx.1] FSx for OpenZFS file systems should be configured to copy tags to backups and volumes

重要度

Low

概要

Amazon FSx for OpenZFS ファイルシステムがタグをバックアップとボリュームにコピーするように設定されているかチェックします。

タグに基づいたリソースの識別が素早くできるようになるため、IT資産の識別とガバナンスの観点から設定が推奨されています。

参考ドキュメント

Amazon Macie

[Macie.1] Macie should be enabled

重要度

Medium

概要

Macieがアカウントで有効になっているかチェックします。

MacieはS3バケットのオブジェクトを自動かつ継続的にチェックし、セキュリティ・プライバシーに関する問題を検知します。

Macieの活用はWell-Architecetd Frameworkでも推奨されています。

しかし、日本語や日本の制度に対応していないなど懸念すべき点がいくつもあり一律で有効化できるサービスではない認識です。

以下のブログなどの情報を確認し、有効化の検討を行ってください。

参考ドキュメント

Amazon Managed Streaming for Apache Kafka (MSK)

[MSK.2] MSK clusters should have enhanced monitoring configured

重要度

Low

概要

MSKクラスターの拡張モニタリングが少なくともPER_TOPIC_PER_BROKERのログレベルで有効になっているかチェックします。

MSKクラスターの拡張モニタリングは以下のログレベルを指定できます。

  1. DEFAULT
  2. PER_BROKER
  3. PER_TOPIC_PER_BROKER
  4. PER_TOPIC_PER_PARTITION

それぞれのログレベルで利用できるCloudWatchメトリクスが定義されています。

数値が高いログレベルを指定すればその下位のログレベルのメトリクスすべてが利用できます。

  • 例)
    • PER_BROKE = DEFAULT + PER_BROKER のメトリクスが利用可能
    • PER_TOPIC_PER_BROKER = PER_TOPIC_PER_BROKER + DEFAULT + PER_BROKER のメトリクスが利用可能

参考ドキュメント

Amazon Neptune

[Neptune.9] Neptune DB clusters should be deployed across multiple Availability Zones

重要度

Medium

概要

Neptune DBクラスターにリードレプリカインスタンスが複数のAZで配置されているかチェックします。

リードレプリカはプライマリインスタンスに障害が発生したとき、プライマリインスタンスに昇格できるフェールオーバーターゲットとして機能します。

リードレプリカをマルチAZ配置することでAZ障害にも対応できます。

参考ドキュメント

AWS Network Firewall

[NetworkFirewall.1] Network Firewall firewalls should be deployed across multiple Availability Zones

重要度

Medium

概要

Network Firewallで管理するファイアウォールがマルチAZにデプロイされているかチェックします。

ファイアウォールをマルチAZにデプロイすることで、AZ間のトラフィックのバランスが取れた可用性の高いソリューションに設計できます。

参考ドキュメント

[NetworkFirewall.2] Network Firewall logging should be enabled

重要度

Medium

概要

Network Firewallのファイアウォールログが有効になっているかチェックします。

ファイアウォールログはS3、CloudWatch Logs、Kinesis Data Firehoseに出力できます。

以下の条件を満たしていれば準拠となります。

  • 少なくとも1つの宛先で有効化されている
  • ログ出力先が存在している

参考ドキュメント

Amazon OpenSearch Service

[OpenSearch.10] OpenSearch domains should have the latest software update installed

重要度

Low

概要

OpenSearch Serviceドメインに最新のソフトウェアアップデートがインストールされているかをチェックします。

ソフトウェアアップデートは即時更新・オフピーク更新・特定日時の中から選択できます。

アップデートのために発生するダウンタイムはシステムの負荷によって長期化することもあるため、なるべくオフピーク更新(もしくは特定日時)を指定した方が良さそうです。

参考ドキュメント

AWS PCA

[PCA.1] AWS Private CA root certificate authority should be disabled

重要度

Low

概要

Private CAに有効なルートCAがあるかチェックします。

Private CAはルートCAと下位CAを含むCA階層を作成できますが、日常的なタスクではルートCAの利用は最小限に抑えるべきです。

ルートCAの利用は中間証明書の発行のみの用途で利用することが推奨されています。

参考ドキュメント

Amazon S3

[S3.19] S3 access points should have block public access settings enabled

重要度

Critical

概要

S3アクセスポイントでブロックパブリックアクセス設定が有効になっているかチェックします。

S3のブロックパブリックアクセス設定は 現在以下のレベル別に設定できます。

  • アカウント
  • バケット
  • アクセスポイント

参考: Amazon S3 ストレージへのパブリックアクセスのブロック - Amazon Simple Storage Service

2023年12月現在、S3アクセスポイントのブロックパブリックアクセス設定はアクセスポイントの作成後の変更がサポートされていません。デフォルトは有効なので特定の設定を無効にする必要があると事前にわかっている場合を除いて、有効のままにしておきましょう。

参考ドキュメント

[S3.20] S3 general purpose buckets should have MFA delete enabled

重要度

Low

概要

S3バケットでMFA Deleteが有効になっているかチェックします。

バージョニングが有効なS3バケットで MFA Deleteを有効にすることで、S3バケットやバケット内のオブジェクト削除に対して別のセキュリティ層を追加できます。

参考ドキュメント

最後に

以上、今回Security Hubに新規追加された15の新規コントロールについて確認してみました。

Security Hubのセキュリティ標準の『AWS基礎セキュリティベストプラクティス(AFSBP)』に追加されたコントロールは内 11個でした(⭐️マークをつけたもの)

⭐️ [Backup.1] AWS Backup recovery points should be encrypted at rest
⭐️ [DynamoDB.6] DynamoDB tables should have deletion protection enabled
⭐️ [EC2.51] EC2 Client VPN endpoints should have client connection logging enabled
⭐️ [EKS.8] EKS clusters should have audit logging enabled
⭐️ [EMR.2] Amazon EMR block public access setting should be enabled
⭐️ [FSx.1] FSx for OpenZFS file systems should be configured to copy tags to backups and volumes
⭐️ [Macie.1] Macie should be enabled
[MSK.2] MSK clusters should have enhanced monitoring configured
[Neptune.9] Neptune DB clusters should be deployed across multiple Availability Zones
[NetworkFirewall.1] Network Firewall firewalls should be deployed across multiple Availability Zones
⭐️ [NetworkFirewall.2] Network Firewall logging should be enabled
⭐️ [OpenSearch.10] OpenSearch domains should have the latest software update installed
⭐️ [PCA.1] AWS Private CA root certificate authority should be disabled
⭐️ [S3.19] S3 access points should have block public access settings enabled
[S3.20] S3 general purpose buckets should have MFA delete enabled

個人的に気になったものを取り上げるとすれば、「[Macie.1] Macie should be enabled」でしょう。

記事内でも取り上げているようにAmazon Macieは日本語や日本の制度に対応していないことから、現状日本国内利用においては一律の有効化を推奨しづらいサービスになっています。

そんな中AFSBPに追加されてしまったがために、Security Hubでセキュリティ対策をしている各社にとっては、今まで検討しなければいけないサービスの1つに入ってしまったなと思いました。

しばらくは「日本語に対応していないので無効化」といった方向性になることが多いかと思いますが、今後のアップデートによってどう変わってくるのか楽しみです。予定はわかりませんが、日本対応・日本語対応に期待したいですね。

以上です。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.