Amazon Simple Notification Service コントロール - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Simple Notification Service コントロール

これらのコントロールは Amazon SNS リソースに関連しています。

これらのコントロールは、 AWS リージョン一部では使用できない場合があります。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[SNS.1] SNS トピックは、以下を使用して保存時に暗号化する必要があります AWS KMS

重要

Security Hub は、2024 年 3 AWS 月にこのコントロールを基本セキュリティベストプラクティス標準から削除しますが、NIST SP 800-53 Rev. 5 標準には引き続き含まれます。詳細については、「Security Hub コントロールの変更ログ」を参照してください。

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度:

リソースタイプ: AWS::SNS::Topic

AWS Config ルール : sns-encrypted-kms

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon SNS トピックが AWS Key Management Service (AWS KMS) で管理されているキーを使用して保存時に暗号化されているかどうかを確認します。SNS トピックがサーバー側の暗号化 (SSE) に KMS キーを使用していない場合、コントロールは失敗します。デフォルトでは、SNS はディスク暗号化を使用してメッセージとファイルを保存します。この制御を渡すには、代わりに KMS キーを暗号化に使用することを選択する必要があります。これにより、セキュリティがさらに強化され、アクセス制御の柔軟性が高まります。

保存中のデータを暗号化することで、認証されていないユーザーがディスクに保存されているデータにアクセスするリスクが軽減されます。 AWSデータを読み取る前にデータを復号化するには API 権限が必要です。セキュリティを強化するために、SNS トピックを KMS キーで暗号化することをおすすめします。

修正

SNS トピックの SSE を有効にするには、『Amazon 簡易通知サービス開発者ガイド』の「Amazon SNS トピックのサーバー側暗号化 (SSE) の有効化」を参照してください。SSE を使用する前に、 AWS KMS key トピックの暗号化とメッセージの暗号化と復号化を許可するポリシーを設定する必要もあります。詳細については、『Amazon 簡易通知サービス開発者ガイド』の「AWS KMS アクセス権限の設定」を参照してください。

[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

重要

Security Hub は 2024 年 3 月にこのコントロールを削除します。詳細については、「Security Hub コントロールの変更ログ」を参照してください。

関連する要件: NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ: AWS::SNS::Topic

AWS Config ルール : sns-topic-message-delivery-notification-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、エンドポイントの Amazon SNS トピックに送信される通知メッセージの配信ステータスで、ログ記録が有効になっているかどうかをチェックします。メッセージの配信ステータス通知が有効になっていない場合、このコントロールは失敗します。

ログ記録は、サービスの信頼性、可用性、パフォーマンスを維持するための重要な要素です。メッセージの配信ステータスをログ記録することで、以下のようなオペレーション上のインサイトを得ることができます。

  • メッセージが Amazon SNS エンドポイントに配信されたかどうかを知ることができます。

  • Amazon SNS エンドポイントから Amazon SNS に送信された応答を識別します。

  • メッセージの滞留時間 (メッセージの発行から Amazon SNS エンドポイントに渡されるまでの時間) を決定する。

修正

トピックの配信ステータスロギングを設定する方法については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS メッセージ配信ステータス」を参照してください。