SEC04-BP04 非準拠リソースの修正を開始する

発見的統制は、構成要件に準拠していないリソースについて警告する場合があります。プログラムで定義された修復を手動または自動で開始して、該当するリソースを修正し、潜在的な影響を最小限に抑えることができます。プログラムで修復手順を定義しておくと、迅速に一貫した対応をすることができます。

自動化によってセキュリティの運用を強化できますが、自動化の実装と管理は慎重に行う必要があります。 適切な監視と統制のメカニズムを導入して、自動対応が効果的かつ正確であり、組織の方針やリスクアペタイトに合致していることを検証します。

期待される成果: リソース構成の標準を定義し、リソースが非準拠であることが検出された場合の修復手順も定義します。可能な場合は、修復手順をプログラムで定義して、手動または自動で開始できるようにしておきます。検知システムが導入されていて、このシステムが非準拠リソースを検知して、セキュリティ担当者が監視している一元管理ツールにアラートを発行します。これらのツールは、プログラムによる修復の手動実行または自動実行に対応しています。自動修復については、適切な監視と統制のメカニズムが導入され、その使用が管理されています。

一般的なアンチパターン:

• 自動化を実装しているが、修復アクションを徹底的にテストおよび検証できていない。正当な事業運営が中断されたり、システムが不安定になったりといった、意図しない結果が生じる可能性があります。

• 自動化によって応答時間と手続きは改善されたが、適切な監視や、必要に応じて人間が介入して判断できるメカニズムが欠如している。

• 修復だけに頼り、インシデント対応および復旧プログラムという広い枠組みの中に修復を組み込んでいない。

このベストプラクティスを活用するメリット: 自動修復は、手動プロセスよりも迅速に構成ミスに対応できるため、潜在的なビジネスへの影響が最小限に抑えられ、意図しない使用の可能性が低くなります。修復をプログラムで定義しておけば、一貫して適用されるため、人為的ミスのリスクが軽減されます。また、自動化により大量のアラートを同時に処理することもできます。これは、大規模な運用環境では特に重要です。 

このベストプラクティスを活用しない場合のリスクレベル: 中

実装のガイダンス

「SEC01-BP03 コントロール目標の特定と検証」で説明したように、AWS Config などのサービスは、アカウント内のリソースの構成が要件に準拠しているかどうかを監視するのに役立ちます。 非準拠のリソースが検出された場合は、修復に役立つAWS Security Hubように、 などのクラウドセキュリティ体制管理 (CSPM) ソリューションへのアラートの送信を設定することをお勧めします。これらのソリューションは、セキュリティ調査員が問題を監視して是正措置を講じるための中心的な場所となります。

非準拠リソースの中には、状況が独特で修復には人間の判断が必要となる場合がありますが、プログラムで定義できる標準的な対応で間に合う状況もあります。例えば、設定ミスのあるVPCセキュリティグループに対する標準的なレスポンスは、許可されていないルールを削除して所有者に通知することです。応答は、AWS Lambda 関数や AWS Systems Manager Automation ドキュメントで定義するか、任意の他のコード環境で定義できます。環境が、是正措置の実行に必要なアクセス許可が最小限に抑えられたIAMロール AWS を使用して を認証できることを確認します。

必要な修復を定義したら、それを開始するための任意の方法を決定できます。 AWS Config は修復を開始できます。Security Hub を使用している場合は、カスタムアクション を使用してこれを実行できます。カスタムアクション は、検出結果を Amazon EventBridgeに発行します。その後、 EventBridge ルールは修復を開始できます。Security Hub でカスタムアクションを自動または手動で実行するように設定できます。 

プログラムによる修復では、実行されたアクションとその結果について包括的なログ記録と監査を行うことをお勧めします。 これらのログを確認および分析して、自動化プロセスの有効性を評価し、改善すべき部分を特定します。Security Hub の検出結果ノートとして、Amazon CloudWatch Logs のログと修復結果をキャプチャします。

開始点として、 での自動セキュリティレスポンス AWSを検討してください。これには、一般的なセキュリティ設定ミスを解決するための修復が事前に構築されています。

実装手順

1. アラートを分析して優先順位を付けます。

   1. さまざまな AWS サービスのセキュリティアラートを Security Hub に統合して、一元的な可視性、優先順位付け、修復を実現します。

2. 修復手順を考案します。

   1. Systems Manager や などのサービス AWS Lambda を使用して、プログラムによる修復を実行します。

3. 修復の開始方法を設定します。

   1. Systems Manager を使用して、検出結果を に発行するカスタムアクションを定義します EventBridge。これらのアクションを手動または自動で開始するように設定します。

   2. Amazon Simple Notification Service (SNS） を使用して、必要に応じて、手動での介入やエスカレーションのために、関連する利害関係者 (セキュリティチームやインシデント対応チームなど) に通知やアラートを送信することもできます。

4. 修復ログを確認して分析し、有効性と改善点を検討します。

   1. ログ出力を CloudWatch ログに送信します。結果を Security Hub に検出結果メモとして記録します。

リソース

関連するベストプラクティス:

• SEC06-BP03 手動管理とインタラクティブアクセスの削減

関連ドキュメント:

• AWS Security Incident Response Guide - Detection

関連する例:

• での自動セキュリティレスポンス AWS

• を使用してEC2インスタンスキーペアをモニタリングする AWS Config

• Create AWS Config custom rules by using AWS CloudFormation Guard policies

• 暗号化されていない Amazon RDS DB インスタンスとクラスターを自動的に修正する

関連ツール:

• AWS Systems Manager の自動化

• での自動セキュリティレスポンス AWS