AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約

Security Hubの検出結果にCRITICAL とHIGH が記録されている件への対応をお教えください。

0

お世話になっております。 現在自治体窓口DXSaaSの開発を行うために。AWSの環境を利用するために環境の整備を行っているところですが、デジタル庁様より環境の払出を受け、環境の構築を開始した頃から「AWS Notification Message」の件名でメールが多数送付されたり、時折「ALARM: "SC-390844745045-pp-svkp3lk75meqe-DigitalSecurityAlarmConstructUn..." in Asia Pacific (Tokyo)」といったアラームのメールも届いております。

状況を確認するために、Security Hub の検出結果の画面を確認すると、 3件のCRITICAL と 11件のHIGHが記録として残っていました。

どちらもできるだけ早めに解消を行う必要はあると思われるのですが、対応方法がよくわからないために、そのままの状態をなっております。各エラーに対してどのように対応を行えばよいかをお教えいただけますようお願いいたします。

CRITICAL の内容について(リージョンは、すべてアジアパシフィック (東京) [現在のリージョン]です。) ①Hardware MFA should be enabled for the root user  This AWS control checks whether your AWS account is enabled to use a hardware multi-factor  authentication (MFA) device to sign in with root user credentials.

➁MFA should be enabled for the root user  This AWS control checks whether users of your AWS account require a multi-factor   authentication (MFA) device to sign in with root user credentials.

③AWS KMS keys should not be deleted unintentionally  This control checks whether AWS Key Management Service (KMS) customer managed keys   (CMK) are scheduled for deletion. The control fails if a KMS CMK is scheduled for deletion.

まずは、CRITICALから解消したいと思いますので、対応方法をご教授いただきますようお願いいたします。

アカウントは、lg-kurate_dxsaas_prd-1e7 アカウントIDは、390844745045 です。

以上 よろしくお願いいたします。

1回答
0
承認された回答

①Hardware MFA should be enabled for the root user  This AWS control checks whether your AWS account is enabled to use a hardware multi-factor  authentication (MFA) device to sign in with root user credentials.
➁MFA should be enabled for the root user  This AWS control checks whether users of your AWS account require a multi-factor   authentication (MFA) device to sign in with root user credentials.

AWSアカウントのルートユーザーにハードウェアMFAや仮想MFAが設定されていないために出ています。
ハードウェアMFAをルートユーザーに設定すれば解決できると思います。
https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-iam-6/
https://dev.classmethod.jp/articles/root-account-hardware-mfa-enabled-modify/

③AWS KMS keys should not be deleted unintentionally  This control checks whether AWS Key Management Service (KMS) customer managed keys   (CMK) are scheduled for deletion. The control fails if a KMS CMK is scheduled for deletion.

KMSキーの削除をスケジュ ールしている場合に発生するコントロールです。
以下のブログにある通り、KMSキーの削除が意図したものであれば問題無いので抑制済みにしてよいと思います。
https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-kms-3/

profile picture
エキスパート
回答済み 2ヶ月前
  • 早速の回答ありがとうございます。初めて利用する環境で、対応がわからずようやくここにたどり着いて問い合わせをさせていただいています。提供いただきました対応方法にて、エラーが解消できるかを確認したいと思います。確認が完了するまで今しばらくお待ちください。

  • お示しいただきました手順に従って、処理(コントロールを無効化する)を行ってみましたが、 「サーバーに問題があるため、Security Hub はリクエストを処理できません。後でもう一度試してください。: This account is currently associated with a central configuration policy, so only the administrator can access this operation.」のメッセージが表示されてしまい、設定の変更を反映させることができませんでした。rootユーザについては、国が管理しているユーザであるためMFA設定を行うことは難しいと思われます。 エラーの状況をデジタル庁に報告して、対応を確認してみたいと思います。

  • 「サーバーに問題があるため、Security Hub はリクエストを処理できません。後でもう一度試してください。: This account is currently associated with a central configuration policy, so only the administrator can access this operation.」のメッセージが表示されてしまい、設定の変更を反映させることができませんでした。

    こちらはSecurity Hubを一括管理しているAWSアカウント以外で操作を行ったときに出るメッセージなので、管理元で作業が必要です。 https://dev.classmethod.jp/articles/aws-sh-organization-customize-standards-controls/

  • ご連絡ありがとうございます。管理元に状況を伝え、作業依頼をしてみたいと思います。

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン

関連するコンテンツ