【Security Hub修復手順】[ELB.5] アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります。

こんにちは！AWS事業本部のスマンガラです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[ELB.5] アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります

[ELB.5] Application and Classic Load Balancers logging should be enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、Application Load BalancerおよびClassic Load Balancer でログ記録が有効になっているかをチェックして、access_logs.s3.enabledの値が falseに設定されている場合、失敗します。

アクセス ログは、クライアントの IP アドレス、リクエストを受け取った時刻、レイテンシー、リクエストのパスなど、ロードバランサーに送信されるリクエストに関する詳細情報が含まれています。アクセスログは S3 に保存され、問題のトラブルシューティングやトラフィックパターンの分析に使用できます。

そのため、Security Hub では、Application Load BalancerおよびClassic Load Balancerのログ記録を有効することを推奨します。

これについては、以下記事がわかりやすかったため参照ください。

修復手順

対象のロードバランサーを特定

まずAWS Security HubのコンソールからELB.5のチェック結果を確認し、是正対象のロードバランサーを特定します。

 

ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

• ロードバランサーのログ記録を有効にしても問題ありませんか?

 

ログ記録を有効する

• Amazon EC2 コンソール のナビゲーションペイン で 「ロードバランサー」 を選択します。

 

• 是正対象のロードバランサーを選択します。

 

• 「属性」 タブで、「編集」 を選択します。

 

• モニタリングで「アクセスログ」を有効にし、S3 のロケーションを入力し、「変更内容を保存」をクリックします。プレフィックスを指定しない場合、ログは S3 バケットのルートに保存されます。

 

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、スマンガラでした！