【Security Hub修復手順】[CodeBuild.4] CodeBuild プロジェクト環境にはログ記録の設定が必要です

【Security Hub修復手順】[CodeBuild.4] CodeBuild プロジェクト環境にはログ記録の設定が必要です

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
Clock Icon2023.02.13

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちはAWS事業本部コンサルティング部のこーへいです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[CodeBuild.4] CodeBuild プロジェクト環境にはログ記録の設定が必要です

[CodeBuild.4] CodeBuild project environments should have a logging configuration

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、CodeBuildプロジェクト環境でS3またはCloudWatchログが有効になっているログオプションが、少なくとも1つあるかどうかをチェックします。CodeBuildプロジェクト環境で少なくとも1つのログオプションが有効になっていない場合は、このコントロールは失敗します

修復手順

Security Hubでは、S3かCloudWatchの少なくともどちらか1つにログ出力することを推奨しています。

そのため今回は既に作成済みのCodeBuildを対象に(CodeBuildを新規作成する場合も、途中以下と同様の設定箇所があります)、S3とCloudWatch両方を設定する手順を紹介します。

  1. マネジメントコンソール画面より、CodeBuild > ビルドプロジェクト > 対象ビルドプロジェクトの選択 > ビルドの詳細 > ログの順に遷移してください。
  2. 「ログを編集」にて下記の通り設定し、ログの更新を行う。
フィールド名 設定値 備考
CloudWatch Logs 有効化※ 有効化にした場合、CloudWatch LogsにCodeBuildのログが出力されます
※Security Hubの修復の為にはS3かどちらかのみの有効化で修復されます
グループ名 任意 CloudWatch Logsに出力するロググループ名を設定
ストリーム名 任意 CloudWatch Logsに出力するログストリーム名を設定
S3 ログ 有効化※ 有効化にした場合、S3にCodeBuildのログが出力されます
※Security Hubの修復の為にはCloudWatch Logsかどちらかのみの有効化で修復されます
バケット 任意 ログを出力するS3バケットを選択
パスのプレフィックス 任意 出力するS3バケットへのパスのプレフィックスを設定
S3 ログの暗号化を無効にする 任意 S3ログの暗号化を無効にする場合に選択
AWS CodeBuild にこのサービスロールの編集を許可し、このビルドプロジェクトでの使用を可能にする 任意 現在使用中のIAMロールにCloudWatchやS3にログを出力する為に必要なポリシーを付与する

以上で完了です。今回の手順ではS3とCloudWatchの両方を有効化しましたが、片方のみでもSecurity Hubの修正は行えます。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、こーへいでした!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.