はじめに
昨今、AWSをはじめとしたクラウドサービスの誤設定が原因となった情報漏洩インシデントや設定不備をつくサイバー攻撃が増えているため、クラウドサービスの設定が適切な状態であるかをチェックする機構が重要視されています。このような仕組みはCloud Security Posture Management(CSPM)と呼ばれ、AWSではSecurity Hubを利用することでCSPMを実現できます。
AWS Security Hubでは、いくつかのルールセットに基づいて適切な設定をされているかを継続的にチェックすることが可能です。今回はその中でもカバー範囲が広く、アップデート頻度が高いことから、筆者が最も重要視している「AWS Foundational Security Best Practices 標準」に関するアップデートを紹介します。
Security Hubのアップデート
先日、前述のAWS Foundational Security Best Practices 標準に対して、9つの新たなルールが追加されました。追加されたルールは下記です。
- [Account.1]:AWSアカウントのセキュリティ連絡先情報を提供してください
- [APIGateway.8]:WebsocketとHTTPのAPIゲートウェイルートに認証タイプを指定してください
- [APIGateway.9]:API Gateway V2ステージのアクセスログを有効にしてください
- [CloudFront.12]:CloudFrontディストリビューションが存在しないS3オリジンをポイントしないようにしてください
- [CodeBuild.3]:CodeBuild S3ログは暗号化してください
- [EC2.25]:EC2起動テンプレートがネットワークインターフェイスにパブリックIPを割り当てないようにしてください
- [SageMaker.2]:SageMakerノートブックインスタンスはカスタムVPCで起動してください
- [SageMaker.3]:ユーザーにSageMakerノートブックインスタンスへのルートアクセス権を付与しないようにしてください
- [WAF.10]:AWS WAFv2ウェブACLに少なくとも1つのルールまたはルールグループを用意してください
これらのルールの対象となっているAWSサービスやそのルールが必要とされる背景について説明をしていこうと思います。
