翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub コントロールの変更ログ
次の変更ログは、既存の AWS Security Hub セキュリティコントロールへの重要な変更を追跡します。これにより、コントロールの全体的なステータスとその検出結果のコンプライアンスステータスが変更される可能性があります。Security Hub がコントロールステータスをどのように評価するかは、「コンプライアンスステータスとコントロールステータス」を参照してください。 AWS リージョン コントロールが利用可能なすべての に影響を与えるには、このログへの入力から数日かかる場合があります。
このログは、2023 年 4 月以降に発生した変更を追跡します。
コントロールを選択すると、その詳細が表示されます。タイトルの変更は、各コントロールの 90 日間の詳細な説明に記載されています。
| 変更日 | コントロール ID とタイトル | 変更点の説明 |
|---|---|---|
| 2024 年 5 月 8 日 | [S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります | このコントロールは、Amazon S3 汎用バージョニングバケットで多要素認証 (MFA) 削除が有効になっているかどうかをチェックします。以前は、コントロールはライフサイクル設定を持つバケットFAILEDの結果を生成していました。ただし、ライフサイクル設定を持つバケットでは、バージョニングによる MFA 削除を有効にすることはできません。Security Hub は、ライフサイクル設定を持つバケットの検出結果を生成しないようにコントロールを更新しました。コントロールの説明が更新され、現在の動作が反映されました。 |
| 2024 年 5 月 2 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | Security Hub は、Amazon EKS クラスターを実行できる、サポートされている最も古いバージョンの Kubernetes を更新し、検出結果を生成しました。現在サポートされている最も古いバージョンは Kubernetes 1.26 です。 |
| 2024 年 4 月 30 日 | 〔CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります | コントロールタイトルを から CloudTrail に変更しました。少なくとも 1 つの CloudTrail 証跡を有効にする必要があります。このコントロールは、 で少なくとも 1 つの CloudTrail 証跡が有効になっている場合 AWS アカウント 、現在PASSED検出結果を生成します。タイトルと説明は、現在の動作を正確に反映するように変更されました。 |
| 2024 年 4 月 29 日 | 〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要があります | Classic Load Balancer に関連付けられた Auto Scaling グループがロードバランサーのヘルスチェックを使用するようにコントロールタイトルを変更し、ロードバランサーに関連付けられた Auto Scaling グループが ELB ヘルスチェックを使用するように変更しました。このコントロールは現在、Application、Gateway、Network、Classic Load Balancer を評価します。タイトルと説明は、現在の動作を正確に反映するように変更されました。 |
| 2024 年 4 月 19 日 | 〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります | コントロール AWS CloudTrail は、読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡が有効で設定されているかどうかをチェックします。以前は、証跡が読み取り/書き込み管理イベントをキャプチャしていない場合でも、アカウントが少なくとも 1 つのマルチリージョン証跡 CloudTrail を有効にして設定したときに、コントロールが誤ってPASSED検出結果を生成していました。コントロールは、 CloudTrail が有効で、読み取りおよび書き込み管理イベントをキャプチャする少なくとも 1 つのマルチリージョン証跡で設定されている場合にのみ、PASSED結果を生成するようになりました。 |
| 2024 年 4 月 10 日 | [Athena.1] Athena ワークグループは保管時に暗号化する必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。Athena ワークグループは、Amazon Simple Storage Service (Amazon S3) バケットにログを送信します。Amazon S3 では、新規および既存の S3 バケットで S3 マネージドキー (SS3-S3) によるデフォルトの暗号化を提供するようになりました。 |
| 2024 年 4 月 10 日 | 〔AutoScaling.4] Auto Scaling グループの起動設定には、メタデータレスポンスホップ制限が 1 より大きくないようにしてください | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのメタデータレスポンスホップ制限は、ワークロードによって異なります。 |
| 2024 年 4 月 10 日 | 〔CloudFormation.1] CloudFormation スタックは Simple Notification Service (SNS) と統合する必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。 AWS CloudFormation スタックと Amazon SNS トピックの統合は、セキュリティのベストプラクティスではなくなりました。重要な CloudFormation スタックを SNS トピックと統合することは便利ですが、すべてのスタックに必須ではありません。 |
| 2024 年 4 月 10 日 | 〔CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。プロジェクトで CodeBuild 特権モードを有効にしても、顧客環境に追加のリスクが及ぶことはありません。 |
| 2024 年 4 月 10 日 | [IAM.20] ルートユーザーの使用を避ける | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。このコントロールの目的は、別のコントロール でカバーされています〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります。 |
| 2024 年 4 月 10 日 | [SNS.2] トピックに送信される通知メッセージの配信ステータスのログ記録を有効にする必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。SNS トピックの配信ステータスのログ記録は、セキュリティのベストプラクティスではなくなりました。重要な SNS トピックの配信ステータスのログ記録は便利ですが、すべてのトピックで必須ではありません。 |
| 2024 年 4 月 10 日 | [S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | Security Hub は AWS 、 Foundational Security Best Practices と Service-Managed Standard: からこのコントロールを削除しました AWS Control Tower。このコントロールの目的は、 [S3.13] S3 汎用バケットにはライフサイクル設定が必要ですと の 2 つの他のコントロールでカバーされています[S3.14] S3 汎用バケットではバージョニングを有効にする必要があります。このコントロールは、NIST SP 800-53 Rev. 5 の一部です。 |
| 2024 年 4 月 10 日 | [S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります | Security Hub は AWS 、 Foundational Security Best Practices と Service-Managed Standard: からこのコントロールを削除しました AWS Control Tower。S3 バケットのイベント通知が役立つ場合もありますが、これは一般的なセキュリティのベストプラクティスではありません。このコントロールは、NIST SP 800-53 Rev. 5 の一部です。 |
| 2024 年 4 月 10 日 | [SNS.1] SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS | Security Hub は AWS 、 Foundational Security Best Practices と Service-Managed Standard: からこのコントロールを削除しました AWS Control Tower。SNS はすでにデフォルトでトピックを暗号化しているため、 を使用してトピック AWS KMS を暗号化することは、セキュリティのベストプラクティスとして推奨されなくなりました。このコントロールは、NIST SP 800-53 Rev. 5 の一部です。 |
| 2024 年 4 月 8 日 | [ELB.6] Application、Gateway、Network Load Balancer では、削除保護を有効にする必要があります | Application Application Load Balancerの削除保護を有効にする必要があるコントロールタイトルを Application、Gateway、Network Load Balancer で削除保護を有効にする必要があるコントロールタイトルに変更しました。このコントロールは現在、Application、Gateway、Network Load Balancer を評価します。タイトルと説明は、現在の動作を正確に反映するように変更されました。 |
| 2024 年 3 月 22 日 | [Opensearch.8] OpenSearch ドメインへの接続は、最新の TLS セキュリティポリシーを使用して暗号化する必要があります | コントロールタイトルを「接続」から OpenSearch 「ドメインへの暗号化」から OpenSearch 「ドメインへの接続」に変更しました。以前は、コントロールは OpenSearch ドメインへの接続が TLS 1.2 を使用しているかどうかのみを確認していました。 OpenSearch ドメインが最新の TLS セキュリティポリシーを使用して暗号化されている場合、コントロールは検出PASSED結果を生成するようになりました。コントロールタイトルと説明が更新され、現在の動作が反映されました。 |
| 2024 年 3 月 22 日 | [ES.8] Elasticsearch ドメインへの接続は、最新の TLS セキュリティポリシーを使用して暗号化する必要があります | コントロールタイトルを Connections から Elasticsearch ドメインに変更しました。TLS 1.2 を使用して暗号化する必要があります。Elasticsearch ドメインへの接続は、最新の TLS セキュリティポリシー を使用して暗号化する必要があります。以前は、コントロールは Elasticsearch ドメインへの接続が TLS 1.2 を使用しているかどうかのみを確認していました。このコントロールは、Elasticsearch ドメインが最新の TLS セキュリティポリシーを使用して暗号化されている場合に検出PASSED結果を生成するようになりました。コントロールタイトルと説明が更新され、現在の動作が反映されました。 |
| 2024 年 3 月 12 日 | [S3.1] S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります | タイトルをS3 パブリックアクセスブロック設定を有効にする」からS3 汎用バケットではパブリックアクセスブロック設定を有効にする必要があります」に変更しました。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります | タイトルを S3 バケットから変更した場合、S3 汎用バケットへのパブリック読み取りアクセスを禁止する必要があります。パブリック読み取りアクセスをブロックする必要がありますS3。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.3] S3 汎用バケットはパブリック書き込みアクセスをブロックする必要があります | タイトルを S3 バケットから変更した場合、S3 汎用バケットへのパブリック書き込みアクセスを禁止する必要があります。パブリック書き込みアクセスをブロックする必要がありますS3。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.5] S3 汎用バケットでは、SSL を使用するリクエストが必要です | タイトルを S3 バケットから変更した場合、Secure Socket Layer を使用するリクエストを S3 汎用バケットに要求する場合は、SSL を使用するリクエストが必要です。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.6] S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント | バケットポリシー AWS アカウント で他の に付与される S3 アクセス許可のタイトルを変更した場合は、S3 汎用バケットポリシーで他の へのアクセスを制限する必要がありますS3 AWS アカウント。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.7] S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります | タイトルをS3 バケットではクロスリージョンレプリケーションを有効にする必要があります」からS3 汎用バケットではクロスリージョンレプリケーションを使用する必要があります」に変更しました。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.7] S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります | タイトルをS3 バケットではクロスリージョンレプリケーションを有効にする必要があります」からS3 汎用バケットではクロスリージョンレプリケーション を使用する必要があります」に変更しました。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります | タイトルをS3 パブリックアクセスブロック」設定からS3 汎用バケットはパブリックアクセスをブロックする」に変更しました。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.9] S3 汎用バケットでは、サーバーアクセスのログ記録を有効にする必要があります | タイトルをS3 バケットサーバーのアクセスログ記録を有効にする必要があります」からS3 汎用バケットのサーバーアクセスログ記録を有効にする必要があります」に変更しました。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | タイトルをバージョニングが有効になっている S3 バケットに変更しました。ライフサイクルポリシーは、バージョニングが有効になっている S3 汎用バケットに設定されている必要があります。ライフサイクル設定は です。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります | タイトルをS3 バケットではイベント通知が有効になっている必要があります」からS3 汎用バケットではイベント通知が有効になっている必要があります」に変更しました。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.12] ACLs を使用しないでください S3 | タイトルをS3 アクセスコントロールリスト (ACL )」から「ACL へのユーザーアクセスの管理 ACLsACLsS3 汎用バケット へのユーザーアクセスの管理」に変更しました。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.13] S3 汎用バケットにはライフサイクル設定が必要です | タイトルを S3 バケットに変更しました。ライフサイクルポリシーは S3 汎用バケットにはライフサイクル設定 が設定されている必要があります。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.14] S3 汎用バケットではバージョニングを有効にする必要があります | タイトルをS3 バケットはバージョニングを使用する」からS3 汎用バケットではバージョニングが有効になっている必要があります」に変更しました。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.15] S3 汎用バケットでは、オブジェクトロックを有効にする必要があります | タイトルを S3 バケットから S3 汎用バケットにオブジェクトロックを使用するように設定し、オブジェクトロックを有効にする必要がありますS3。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 12 日 | [S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys | タイトルをS3 バケットは保管時に で暗号化 AWS KMS keysする必要があります」からS3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys」に変更しました。Security Hub は、タイトルを新しい S3 バケットタイプを考慮して変更しました。 |
| 2024 年 3 月 7 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub がパラメータruby3.3として nodejs20.xおよび をサポートするようになりました。 |
| 2024 年 2 月 22 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして dotnet8 がサポートされるようになりました。 |
| 2024 年 2 月 5 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | Security Hub は、Amazon EKS クラスターを実行できる、サポートされている最も古いバージョンの Kubernetes を更新し、検出結果を生成しました。現在サポートされている最も古いバージョンは Kubernetes 1.25 です。 |
| 2024 年 1 月 10 日 | 〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリ URLsには機密認証情報を含めないでください | タイトルを CodeBuild GitHub または Bitbucket ソースリポジトリ URLs から変更した場合、OAuth を CodeBuild Bitbucket ソースリポジトリ URLs に機密認証情報 を含めないでください。Security Hub では、他の接続方法も安全である可能性があるため、OAuth に関する言及を削除しました。Security Hub では、 GitHub ソースリポジトリ URL に個人用アクセストークンまたはユーザー名とパスワードを持つことができなくなる GitHub ため、 への言及を削除しました。 URLs |
| 2024 年 1 月 8 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。廃止されたランタイムであるため、Security Hub ではパラメータとして go1.x および java8 がサポートされなくなりました。 |
| 2023 年 12 月 29 日 | [RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります | RDS.8 は、サポートされているデータベースエンジンのいずれかを使用する Amazon RDS DB インスタンスで削除保護が有効になっているかどうかをチェックします。Security Hub では custom-oracle-ee、oracle-ee-cdb、および oracle-se2-cdb がデータベースエンジンとしてサポートされるようになりました。 |
| 2023 年 12 月 22 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして java21 および python3.12 がサポートされるようになりました。Security Hub では、パラメータとして ruby2.7 がサポートされなくなりました。 |
| 2023 年 12 月 15 日 | 〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります | CloudFront.1 は、Amazon CloudFront ディストリビューションにデフォルトのルートオブジェクトが設定されているかどうかを確認します。Security Hub では、このコントロールの重大度が CRITICAL から HIGH に下げられました。これは、デフォルトルートオブジェクトを追加することがユーザーのアプリケーションと特定の要件に依存する推奨事項であるためです。 |
| 2023 年 12 月 5 日 | [EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります | コントロールタイトルが「セキュリティグループでは 0.0.0.0/0 からポート 22 へのイングレスは許可しない必要があります」から「セキュリティグループでは 0.0.0.0/0 または ::/0 からポート 22 へのイングレスは許可しない必要があります」に変更されました。 |
| 2023 年 12 月 5 日 | [EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります | コントロールタイトルが「セキュリティグループでは 0.0.0.0/0 からポート 3389 へのイングレスは許可されないことを確認します」から「セキュリティグループでは 0.0.0.0/0 または ::/0 からポート 3389 へのイングレスは許可しない必要があります」に変更されました。 |
| 2023 年 12 月 5 日 | [RDS.9] RDS DB インスタンスはログを CloudWatch Logs に発行する必要があります | コントロールタイトルを「データベースログ記録を有効にする必要があります」から「RDS DB インスタンスはログを CloudWatch に発行する必要があります」に変更しました。Security Hub は、このコントロールがログが Amazon CloudWatch Logs に発行されているかどうかのみをチェックし、RDS ログが有効になっているかどうかをチェックしないことを特定しました。このコントロールは、RDS DB インスタンスがログを CloudWatch Logs に発行するように設定されている場合、PASSED結果を生成します。コントロールタイトルは、現在の動作を反映して更新されました。 |
| 2023 年 11 月 17 日 | [EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません | EC2.19 は、指定した高リスクと見なされるポートにセキュリティグループの無制限の受信トラフィックがアクセス可能かどうかをチェックします。Security Hub では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 11 月 16 日 | 〔CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります | コントロールタイトルが、CloudWatch アラームには ALARM 状態用に設定されたアクションが必要から、 CloudWatch アラームには指定されたアクションが設定されている必要があります。 |
| 2023 年 11 月 16 日 | 〔CloudWatch.16] CloudWatch ロググループは、指定された期間保持する必要があります | CloudWatch ロググループのコントロールタイトルを少なくとも 1 年間保持し、 CloudWatch ロググループを指定された期間 にわたって保持するように変更しました。 |
| 2023 年 11 月 16 日 | [Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります | コントロールタイトルが「VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります」から「VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります」に変更されました。 |
| 2023 年 11 月 16 日 | 〔AppSync.2] フィールドレベルのログ記録を有効にする AWS AppSync 必要があります | コントロールタイトルが「AWS AppSync は、リクエストレベルとフィールドレベルのログ記録をオンにする必要があります」から「AWS AppSync はフィールドレベルのログ記録を有効にする必要があります」に変更されました。 |
| 2023 年 11 月 16 日 | [EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります | コントロールタイトルが Amazon Elastic MapReduce クラスターマスターノードにパブリック IP アドレスがあってはなりません。Amazon EMR クラスタープライマリノードにパブリック IP アドレスがあってはなりません。 |
| 2023 年 11 月 16 日 | [Opensearch.2] OpenSearch ドメインはパブリックアクセス可能であってはなりません | コントロールタイトルをOpenSearch ドメインから VPC に変更し、OpenSearchドメインをパブリックアクセス可能な にすることはできません。 |
| 2023 年 11 月 16 日 | [ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります | コントロールタイトルが「Elasticsearch ドメインは VPC 内に含まれている必要があります」から「Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります」に変更されました。 |
| 2023 年 10 月 31 日 | [ES.4] Logs への Elasticsearch CloudWatch ドメインエラーのログ記録を有効にする必要があります | ES.4 は、Elasticsearch ドメインが Amazon CloudWatch Logs にエラーログを送信するように設定されているかどうかを確認します。コントロールは、以前に、ログに送信するようにログが設定された Elasticsearch CloudWatch ドメインPASSEDの結果を生成しました。Security Hub は、エラーログを CloudWatch Logs に送信するように設定された Elasticsearch ドメインPASSEDのみの結果を生成するようにコントロールを更新しました。コントロールも更新され、エラーログをサポートしない Elasticsearch バージョンを評価から除外するようになりました。 |
| 2023 年 10 月 16 日 | [EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります | EC2.13 は、セキュリティグループがポート 22 への無制限のイングレスアクセスを許可しているかどうかをチェックします。Security Hub では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 10 月 16 日 | [EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります | EC2.14 は、セキュリティグループがポート 3389 への無制限のイングレスアクセスを許可しているかどうかをチェックします。Security Hub では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 10 月 16 日 | [EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします | EC2.18 は、使用中のセキュリティグループが、無制限の受信トラフィックを許可しているかどうかをチェックします。Security Hub では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 10 月 16 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして python3.11 がサポートされるようになりました。 |
| 2023 年 10 月 4 日 | [S3.7] S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります | Security Hub は、S3 CROSS-REGION バケットで同じリージョンのレプリケーションではなくクロスリージョンレプリケーションを有効にするために、ReplicationType という値を持つパラメータが追加されました。 |
| 2023 年 9 月 27 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | Security Hub は、Amazon EKS クラスターを実行できる、サポートされている最も古いバージョンの Kubernetes を更新し、検出結果を生成しました。現在サポートされている最も古いバージョンは Kubernetes 1.24 です。 |
| 2023 年 9 月 20 日 | CloudFront.2 – CloudFront ディストリビューションではオリジンアクセスアイデンティティを有効にする必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。代わりに、「〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります」を参照してください。オリジンのアクセスコントロールは、現在のセキュリティのベストプラクティスです。このコントロールは 90 日後にドキュメントから削除されます。 |
| 2023 年 9 月 20 日 | [EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします | Security Hub は AWS 、 Foundational Security Best Practices (FSBP) および米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5 からこのコントロールを削除しました。これはまだサービスマネージドスタンダードの一部です AWS Control Tower。この コントロールでは、セキュリティグループが EC2 インスタンス、または Elastic Network Interface にアタッチされている場合に、合格の検出結果を生成します。ただし、特定のユースケースでは、セキュリティグループがアタッチされていなくてもセキュリティ上のリスクはありません。他の EC2 コントロール (EC2.2、EC2.13、EC2.14、EC2.18、EC2.19 など) を使用すると、セキュリティグループをモニタリングできます。 |
| 2023 年 9 月 20 日 | EC2.29 — EC2 インスタンスは VPC で起動することをお勧めします | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。Amazon EC2 では、EC2-Classic インスタンスが VPC に移行されました。このコントロールは 90 日後にドキュメントから削除されます。 |
| 2023 年 9 月 20 日 | S3.4 - S3 バケットでは、サーバー側の暗号化を有効にする必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。Amazon S3 では、新規および既存の S3 バケットで S3 マネージドキー (SS3-S3) によるデフォルトの暗号化を提供するようになりました。SS3-S3 または SS3-KMS のサーバー側の暗号化を使用して暗号化された既存のバケットの場合、暗号化設定は変更されません。このコントロールは 90 日後にドキュメントから削除されます。 |
| 2023 年 9 月 14 日 | [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします | コントロールタイトルを「VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックとアウトバウンドトラフィックを許可しないようにする必要があります」から「VPC のデフォルトのセキュリティグループ (複数可) では、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにする必要があります」に変更しました。 |
| 2023 年 9 月 14 日 | [IAM.9] ルートユーザーに対して MFA を有効にする必要があります | コントロールタイトルを「ルートユーザーに対して仮想 MFA を有効にする必要があります」から「ルートユーザーに対して MFA を有効にする必要があります」に変更しました。 |
|
2023 年 9 月 14 日 |
[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります | コントロールタイトルを「重大なクラスターイベントについて、RDS イベント通知のサブスクリプションを設定する必要があります」から「重大なクラスターイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります」に変更しました。 |
| 2023 年 9 月 14 日 | [RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります | コントロールタイトルを「重大なデータベースインスタンスイベントに対して RDS イベント通知サブスクリプションを設定する必要があります」から「重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.2] AWS WAF クラシックリージョンルールには少なくとも 1 つの条件が必要です | コントロールタイトルを「WAF リージョンルールには、1 つ以上の条件が必要です」から「AWS WAF Classic リージョンルールには、1 つ以上の条件が必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.3] AWS WAF クラシックリージョンルールグループには、少なくとも 1 つのルールが必要です | コントロールタイトルを「WAF リージョンルールグループには、1 つ以上の条件が必要です」から「AWS WAF Classic リージョンルールグループには、1 つ以上の条件が必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.4] AWS WAF クラシックリージョンウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です | コントロールタイトルを「WAF リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」から「AWS WAF Classic リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.6] AWS WAF クラシックグローバルルールには少なくとも 1 つの条件が必要です | コントロールタイトルを「WAF グローバルルールには、1 つ以上の条件が必要です」から「AWS WAF Classic グローバルルールには、1 つ以上の条件が必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.7] AWS WAF クラシックグローバルルールグループには、少なくとも 1 つのルールが必要です | コントロールタイトルを「WAF グローバルルールグループには、1 つ以上の条件が必要です」から「AWS WAF Classic グローバルルールグループには、1 つ以上の条件が必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.8] AWS WAF クラシックグローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です | コントロールタイトルを「WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」から「AWS WAF Classic グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.10] AWS WAF ウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です | コントロールタイトルを「WAFv2 ウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」から「AWS WAF ウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります | コントロールタイトルを「AWS WAF v2 ウェブ ACL ログ記録を有効にする必要があります」から「AWS WAF ウェブ ACL ログ記録を有効にする必要があります」に変更しました。 |
|
2023 年 7 月 20 日 |
S3.4 - S3 バケットでは、サーバー側の暗号化を有効にする必要があります | S3.4 は、Amazon S3 バケットでサーバー側の暗号化が有効になっているか、または S3 バケットポリシーでサーバー側の暗号化なしの PutObject リクエストを明示的に拒否しているかどうかをチェックします。Security Hub はこのコントロールを更新し、KMS キーによる二層式サーバー側の暗号化 (DSSE-KMS) を追加しました。S3 バケットが SSE-S3、SSE-KMS、または DSSE-KMS で暗号化されている場合、このコントロールは合格の検出結果を生成します。 |
| 2023 年 7 月 17 日 | [S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys | S3.17 は Amazon S3 バケットが AWS KMS keyで暗号化されているかどうかをチェックします。Security Hub はこのコントロールを更新し、KMS キーによる二層式サーバー側の暗号化 (DSSE-KMS) を追加しました。S3 バケットが SSE-KMS または DSSE-KMS で暗号化されている場合、このコントロールは合格の検出結果を生成します。 |
| 2023 年 6 月 9 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | EKS.2 は、Amazon EKS クラスターがサポートされている Kubernetes バージョンで実行されているかどうかをチェックします。サポートされている最も古いバージョンは現在のところ、1.23 です。 |
| 2023 年 6 月 9 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして ruby3.2 がサポートされるようになりました。 |
| 2023 年 6 月 5 日 | [APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります | APIGateway.5.は、Amazon API Gateway REST API ステージのすべてのメソッドが保存時に暗号化されているかどうかをチェックします。Security Hub を更新し、特定のメソッドのキャッシュが有効になっている場合にのみ、そのメソッドの暗号化を評価するようにしました。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして java17 がサポートされるようになりました。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして nodejs12.x がサポートされなくなりました。 |
| 2023 年 4 月 23 日 | [ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。 | ECS.10 は、Amazon ECS Fargate サービスが最新の Fargate プラットフォームバージョンで実行されているかどうかをチェックします。お客様は、ECS から直接、または を使用して Amazon ECS をデプロイできます CodeDeploy。Security Hub は、 を使用して ECS Fargate サービスをデプロイするときに、合格の検出結果を生成するようにこのコントロールを更新しました。 CodeDeploy |
| 2023 年 4 月 20 日 | [S3.6] S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント | S3.6 は、Amazon Simple Storage Service (Amazon S3) バケットポリシーによって、プリンシパルが S3 バケット内のリソースに対して拒否されたアクションを実行 AWS アカウント できないかどうかを確認します。Security Hub では、このコントロールが更新され、バケットポリシーの条件を考慮するようになりました。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして python3.10 がサポートされるようになりました。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして dotnetcore3.1 がサポートされなくなりました。 |
| 2023 年 4 月 17 日 | [RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります | RDS.11 は、Amazon RDS インスタンスで自動バックアップが有効になっているかどうか、およびバックアップ保持期間が 7 日以上であるかどうかをチェックします。Security Hub では、このコントロールが更新され、リードレプリカを評価から除外するようになりました。すべてのエンジンがリードレプリカの自動バックアップをサポートしているわけではないためです。また、RDS には、リードレプリカの作成時にバックアップ保持期間を指定するオプションはありません。リードレプリカは、デフォルトでバックアップ保持期間 0 で作成されます。 |
