SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

これだけは押さえておきたい! AWSサービス最新アップデート

AWSセキュリティ強化を実現!「AWS Security Hub」でチェック可能な新しいセキュリティベストプラクティス

第9回 AWS Security Hubの「AWS Foundational Security Best Practices 標準」アップデート

  • X ポスト
  • このエントリーをはてなブックマークに追加

AWSアカウントに関するルール

  • [Account.1]:AWSアカウントのセキュリティ連絡先情報を提供してください

 このルールは新設されたAWSアカウントに関するルールです。AWSアカウントには、アカウントの新規払い出し時のプライマリ連絡先に加えて、代替連絡先を設定することが可能です。ここで設定された代替連絡先は、そのカテゴリに応じて、AWSからさまざまな通知がメール送付されるようになります。

 今回追加されたルールは3つあるカテゴリのうち、セキュリティカテゴリの代替連絡先を設定しているかをチェックする内容となっています。これを設定することにより、たとえばIAMユーザの乗っ取りなどの理由でAWSアカウントを不正に利用されていることの通知メールを、設定先のメールアドレスから受け取ることができ、迅速にセキュリティインシデントに反応できる可能性が高まります。

 ただし一部のAWSリセラーでは、本設定を開放していない場合もありますので、設定可能かは確認しておくとよいでしょう。

API Gatewayに関するルール

  • [APIGateway.8]:WebsocketとHTTPのAPIゲートウェイルートに認証タイプを指定してください
  • [APIGateway.9]:API Gateway V2ステージのアクセスログを有効にしてください

 API Gatewayは、RESTful APIなどのAPIをAWSに構築・ホストをしてくれるマネージドサービスです。AWSでAPIを構築する際には、第一候補となることが多く、昨今のマイクロサービスアーキテクチャのシステムでは採用されることが多いサービスかと思います。下記3種類のAPIを構築できます。

API Gatewayで構築できる3種類のAPI
タイプ 説明
REST RESTful API。AWS WAFとの連携など高機能
HTTP RESTful API。RESTタイプよりも機能を限定することで低価格で利用可能
WebSocket WebSocketプロトコルによるクライアントとサーバ間の双方向通信を実現するAPI

 今回追加されたルールは、上記のHTTPおよびWebSocketのタイプのAPIに認証とログ設定がされているかを確認します。

 もし誤って誰からでも呼び出されるAPIとなっていると、不正利用が想定されることから、設定可能ないずれかの認証設定が実施されているかを確認しています。

 またログがなければ、有事の際の確認ができなくなることから、ログ設定が行われていることも確認するルールが追加されています。なお、RESTタイプおよびWebSocketのAPIに関しては、ログ設定をチェックするルールはすでに用意されており、今回追加されたルールと一部内容が重複しています。

CloudFrontに関するルール

  • [CloudFront.12]:CloudFrontディストリビューションが存在しないS3オリジンをポイントしないようにしてください

 CloudFrontはAWSが提供するマネージドなCDNサービスです。CloudFrontを利用するシーンとしては、S3上に配置されている静的コンテンツの低レイテンシーでの配信が挙げられると思います。

 今回追加されたルールは、CloudFrontの背後に存在しないS3を指定しないことを確認します。もしこのようになっていれば、おそらくは誤設定またはS3バケットの誤削除をしてしまった可能性が高いと考えられます。また加えてAWSからは悪意ある第三者がS3バケットを作ってしまうことで、CloudFrontによるコンテンツ配信を悪用される可能性もある旨も言及されています。

次のページ
CodeBuildに関するルール

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
これだけは押さえておきたい! AWSサービス最新アップデート連載記事一覧

もっと読む

この記事の著者

奥村 康晃(株式会社NTTデータ)(オクムラ ヤスアキ)

 NTTデータ入社以来、クラウドサービスのAPIを連携させることで効率的な管理を可能とするクラウド管理プラットフォームの開発に従事。現在では、クラウド導入の技術コンサルや組織での技術戦略立案にも携わる。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/17834 2023/05/31 11:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング