翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub コントロールの変更ログ
次の変更ログは、既存の AWS Security Hub セキュリティコントロールへの重大な変更を追跡します。これにより、コントロールの全体的なステータスとその検出結果のコンプライアンスステータスが変更される可能性があります。Security Hub がコントロールステータスをどのように評価するかは、「Security Hub でのコンプライアンスステータスとコントロールステータスの評価」を参照してください。このログへの入力後、コントロール AWS リージョン が利用可能なすべての に影響するまで、変更に数日かかる場合があります。
このログは、2023 年 4 月以降に発生した変更を追跡します。
コントロールを選択すると、そのコントロールの詳細が表示されます。タイトルの変更は、各コントロールの 90 日間の詳細な説明に記載されています。
| 変更日 | コントロール ID とタイトル | 変更点の説明 |
|---|---|---|
| 2024 年 10 月 11 日 | ElastiCache コントロール | ElastiCache.3、 ElastiCache.4、 ElastiCache.5、.7 のコントロールタイトルを変更 ElastiCacheしました。コントロールは for ElastiCache Valkey にも適用されるOSSため、タイトルは Redis に言及しなくなりました。 |
| 2024 年 9 月 27 日 | 〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります | Application Load Balancer から変更されたコントロールタイトルは、http ヘッダーを Application Load Balancer にドロップするように設定する必要があります。無効な http ヘッダーをドロップするように設定する必要があります Application Load Balancer。 |
| 2024 年 8 月 19 日 | DMS.12 および ElastiCache コントロールのタイトル変更 | DMS.12 および .1 から ElastiCache.7 のコントロールタイトルを変更 ElastiCacheしました。Amazon ElastiCache (Redis OSS) サービスの名前変更を反映するように、これらのタイトルを変更しました。 |
| 2024 年 8 月 15 日 | [Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります | このコントロール AWS Config は、 が有効になっているかどうかをチェックし、サービスにリンクされたロールを使用し、有効なコントロールのリソースを記録します。Security Hub は、 という名前のカスタムコントロールパラメータを追加しましたincludeConfigServiceLinkedRoleCheck。このパラメータを に設定することでfalse、 がサービスにリンクされたロール AWS Config を使用するかどうかの確認をオプトアウトできます。 |
| 2024 年 7 月 31 日 | [IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります | AWS IoT Core セキュリティプロファイルから変更されたコントロールタイトルは、セキュリティプロファイルAWS IoT Device Defender にタグ付けする必要があります。 |
| 2024 年 7 月 29 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された期待値と一致するかどうかを確認します。Security Hub では、パラメータとして nodejs16.x がサポートされなくなりました。 |
| 2024 年 7 月 29 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターがサポートされている Kubernetes バージョンで実行されているかどうかを確認します。サポートされている最も古いバージョンは です1.28。 |
| 2024 年 6 月 25 日 | [Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります | このコントロール AWS Config は、 が有効になっているかどうかをチェックし、サービスにリンクされたロールを使用し、有効なコントロールのリソースを記録します。Security Hub は、コントロールの評価を反映するようにコントロールタイトルを更新しました。 |
| 2024 年 6 月 14 日 | 〔RDS.34] Aurora MySQL DB クラスターは監査ログを CloudWatch Logs に発行する必要があります | このコントロールは、Amazon Aurora MySQL DB クラスターが監査ログを Amazon CloudWatch Logs に発行するように設定されているかどうかを確認します。Security Hub は、Aurora Serverless v1 DB クラスターの検出結果を生成しないようにコントロールを更新しました。 |
| 2024 年 6 月 11 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターがサポートされている Kubernetes バージョンで実行されているかどうかを確認します。サポートされている最も古いバージョンは です1.27。 |
| 2024 年 6 月 10 日 | [Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります | このコントロール AWS Config は、 が有効で、 AWS Config リソース記録が有効になっているかどうかを確認します。以前は、コントロールは、すべてのリソースの録画を設定した場合のみ、PASSED検出結果を生成していました。Security Hub は、有効なコントロールに必要なリソースの記録が有効になっているときに検出PASSED結果を生成するようにコントロールを更新しました。コントロールも更新され、サービスにリンクされたロールが使用されているかどうか AWS Config が確認されました。これにより、必要なリソースを記録するアクセス許可が付与されます。 |
| 2024 年 5 月 8 日 | [S3.20] S3 汎用バケットでMFA削除が有効になっている必要があります | このコントロールは、Amazon S3 汎用バージョニングバケットで多要素認証 (MFA) 削除が有効になっているかどうかを確認します。以前は、コントロールはライフサイクル設定を持つバケットの検出FAILED結果を生成していました。ただし、ライフサイクル設定を持つバケットでは、バージョニングによるMFA削除を有効にすることはできません。Security Hub は、ライフサイクル設定を持つバケットの検出結果を生成しないようにコントロールを更新しました。コントロールの説明が更新され、現在の動作が反映されました。 |
| 2024 年 5 月 2 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | Security Hub は、Amazon EKSクラスターが実行して合格した検出結果を生成できる、サポートされている最も古いバージョンの Kubernetes を更新しました。現在サポートされている最も古いバージョンは Kubernetes 1.26 です。 |
| 2024 年 4 月 30 日 | 〔CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります | 変更したコントロールタイトルを から CloudTrail に有効にする必要があります。少なくとも 1 つの CloudTrail 証跡を有効にする必要があります。このコントロールは現在、 AWS アカウント で少なくとも 1 つの CloudTrail 証跡が有効になっている場合にPASSED検出結果を生成します。現在の動作を正確に反映するように、タイトルと説明が変更されました。 |
| 2024 年 4 月 29 日 | 〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります | Classic Load Balancer に関連付けられた Auto Scaling グループからコントロールタイトルを変更した場合は、ロードバランサーのヘルスチェックを使用し、ロードバランサーに関連付けられた Auto Scaling グループにはELBヘルスチェックを使用する必要があります。このコントロールは現在、Application、Gateway、Network、Classic Load Balancer を評価します。現在の動作を正確に反映するように、タイトルと説明が変更されました。 |
| 2024 年 4 月 19 日 | 〔CloudTrail.1]読み取りと書き込みの管理イベントを含む少なくとも 1 つのマルチリージョン証跡で有効化および設定 CloudTrail する必要があります | コントロール AWS CloudTrail は、読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡で が有効で設定されているかどうかを確認します。以前は、証跡がキャプチャされた読み取りおよび書き込み管理イベントがない場合でも、アカウントが少なくとも 1 つのマルチリージョン証跡 CloudTrail を有効にして設定したときに、コントロールが誤ってPASSED検出結果を生成していました。コントロールは、 CloudTrail が有効で、読み取りおよび書き込み管理イベントをキャプチャする少なくとも 1 つのマルチリージョン証跡で設定されている場合にのみPASSED結果を生成するようになりました。 |
| 2024 年 4 月 10 日 | [Athena.1] Athena ワークグループは保管時に暗号化する必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。Athena ワークグループは、Amazon Simple Storage Service (Amazon S3) バケットにログを送信します。Amazon S3 は、新規および既存の S3 バケットで S3 マネージドキー (SS3-S3) によるデフォルトの暗号化を提供するようになりました。 |
| 2024 年 4 月 10 日 | 〔AutoScaling.4] Auto Scaling グループの起動設定では、メタデータレスポンスホップの制限が 1 を超えることはできません | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのメタデータレスポンスホップ制限はワークロードによって異なります。 |
| 2024 年 4 月 10 日 | 〔CloudFormation.1] CloudFormation スタックは Simple Notification Service と統合する必要があります (SNS) | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。 AWS CloudFormation スタックを Amazon SNSトピックと統合することは、もはやセキュリティのベストプラクティスではありません。重要な CloudFormation スタックをSNSトピックと統合することは便利ですが、すべてのスタックに必須ではありません。 |
| 2024 年 4 月 10 日 | 〔CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。プロジェクトで CodeBuild 特権モードを有効にしても、顧客環境に追加のリスクは課されません。 |
| 2024 年 4 月 10 日 | 〔IAM.20] ルートユーザーの使用を避ける | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。このコントロールの目的は、別のコントロール によってカバーされています〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります。 |
| 2024 年 4 月 10 日 | 〔SNS.2] トピックに送信される通知メッセージの配信ステータスのログ記録を有効にする必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。SNS トピックの配信ステータスのログ記録は、セキュリティのベストプラクティスではなくなりました。重要なSNSトピックの配信ステータスのログ記録は便利ですが、すべてのトピックで必須ではありません。 |
| 2024 年 4 月 10 日 | [S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | Security Hub はこのコントロールを AWS Foundational Security Best Practices v1.0.0 および Service-Managed Standard: から削除しました AWS Control Tower。このコントロールの目的は、 [S3.13] S3 汎用バケットにはライフサイクル設定が必要ですと の 2 つの他のコントロールでカバーされています[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります。このコントロールは SP NIST 800-53 Rev. 5 の一部です。 |
| 2024 年 4 月 10 日 | [S3.11] S3 汎用バケットでは、イベント通知が有効になっている必要があります | Security Hub はこのコントロールを AWS Foundational Security Best Practices v1.0.0 および Service-Managed Standard: から削除しました AWS Control Tower。S3 バケットのイベント通知が役立つ場合もありますが、これは一般的なセキュリティのベストプラクティスではありません。このコントロールは SP NIST 800-53 Rev. 5 の一部です。 |
| 2024 年 4 月 10 日 | 〔SNS.1] SNSトピックは、保管時に を使用して暗号化する必要があります AWS KMS | Security Hub はこのコントロールを AWS Foundational Security Best Practices v1.0.0 および Service-Managed Standard: から削除しました AWS Control Tower。デフォルトでは、 SNS はディスク暗号化を使用して保管中のトピックを暗号化します。詳細については、「データの暗号化」を参照してください。 AWS KMS を使用してトピックを暗号化することは、セキュリティのベストプラクティスとして推奨されなくなりました。このコントロールは SP NIST 800-53 Rev. 5 の一部です。 |
| 2024 年 4 月 8 日 | 〔ELB.6] Application、Gateway、Network Load Balancer では、削除保護が有効になっている必要があります | Application Load Balancer の削除保護から、Application、Gateway、Network Load Balancer の削除保護が有効になっている に変更したコントロールタイトル。このコントロールは現在、Application、Gateway、Network Load Balancer を評価します。現在の動作を正確に反映するように、タイトルと説明が変更されました。 |
| 2024 年 3 月 22 日 | [Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります | コントロールタイトルを Connections から OpenSearch ドメインに変更した場合は、1.2 TLS を使用して暗号化し、 OpenSearch ドメインへの接続の場合は最新のTLSセキュリティポリシー を使用して暗号化する必要があります。以前は、コントロールは OpenSearch ドメインへの接続で TLS 1.2 が使用されたかどうかのみを確認していました。コントロールは、 OpenSearch ドメインが最新のTLSセキュリティポリシーを使用して暗号化されている場合に検出PASSED結果を生成するようになりました。コントロールタイトルと説明が更新され、現在の動作が反映されました。 |
| 2024 年 3 月 22 日 | [ES.8] Elasticsearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります。 | コントロールタイトルを Connections から Elasticsearch ドメインに変更した場合、1.2 TLS を使用して暗号化し、Elasticsearch ドメインへの接続は最新のTLSセキュリティポリシー を使用して暗号化する必要があります。以前は、コントロールは Elasticsearch ドメインへの接続で TLS 1.2 が使用されたかどうかのみを確認していました。Elasticsearch ドメインが最新のTLSセキュリティポリシーを使用して暗号化されている場合、コントロールはPASSED検出結果を生成するようになりました。コントロールタイトルと説明が更新され、現在の動作が反映されました。 |
| 2024 年 3 月 12 日 | [S3.1] S3 汎用バケットでは、パブリックアクセスのブロック設定が有効になっている必要があります | タイトルを S3 パブリックアクセスブロック設定から S3 汎用バケットに変更すると、パブリックアクセスブロック設定が有効になりますS3。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります | S3 バケットからタイトルを変更した場合、S3 汎用バケットへのパブリック読み取りアクセスが禁止され、パブリック読み取りアクセスがブロックS3されます。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.3] S3 汎用バケットはパブリック書き込みアクセスをブロックする必要があります | S3 バケットからタイトルを変更した場合、S3 汎用バケットへのパブリック書き込みアクセスが禁止され、パブリック書き込みアクセスがブロックS3されます。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.5] S3 汎用バケットには を使用するためのリクエストが必要です SSL | タイトルを S3 バケットに変更するには、Secure Socket Layer を使用するリクエストが必要です。また、S3 汎用バケットには、 を使用するリクエストが必要ですSSL。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります。 AWS アカウント | バケットポリシー AWS アカウント で他の に付与された S3 アクセス許可からタイトルを変更した場合は、S3 汎用バケットポリシーで他の へのアクセスを制限S3 AWS アカウントする必要があります。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.7] S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります | S3 バケットからタイトルを変更した場合は、クロスリージョンレプリケーションを有効にして、S3 汎用バケットではクロスリージョンレプリケーション を使用する必要があります。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.7] S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります | S3 バケットからタイトルを変更した場合は、クロスリージョンレプリケーションを有効にして、S3 汎用バケットではクロスリージョンレプリケーション を使用する必要があります。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります | タイトルを S3 パブリックアクセスブロック設定から S3 汎用バケットはパブリックアクセスをブロックする必要があります。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.9] S3 汎用バケットでは、サーバーアクセスログ記録が有効になっている必要があります | S3 バケットサーバーアクセスログ記録からタイトルを変更し、S3 汎用バケット でサーバーアクセスログ記録を有効にする必要があります。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | バージョニングが有効になっている S3 バケットからタイトルを変更した場合、ライフサイクルポリシーがバージョニングが有効になっている S3 汎用バケットに設定されている必要がありますS3。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.11] S3 汎用バケットでは、イベント通知が有効になっている必要があります | タイトルを S3 バケットに変更すると、イベント通知が S3 汎用バケットに有効になり、イベント通知が に有効になります。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.12] ACLs は、S3 汎用バケットへのユーザーアクセスを管理するために使用しないでください。 | S3 アクセスコントロールリスト (ACLs) から変更されたタイトルは、バケットへのユーザーアクセスを管理するために使用すべきではなく、ACLsS3 汎用バケット へのユーザーアクセスを管理するために使用すべきではありません。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.13] S3 汎用バケットにはライフサイクル設定が必要です | S3 バケットからタイトルを変更した場合は、ライフサイクルポリシーを S3 汎用バケットに構成し、ライフサイクル設定 を設定S3する必要があります。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります | タイトルを S3 バケットから変更した場合は、バージョニングを S3 汎用バケットでバージョニングが有効になっている必要があります。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.15] S3 汎用バケットでは、オブジェクトロックが有効になっている必要があります | タイトルを S3 バケットに変更した場合、オブジェクトロックを使用するように設定し、S3汎用バケットではオブジェクトロックを有効にする必要があります。Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 12 日 | [S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys | タイトルを S3 バケットから S3 汎用バケットに変更した場合は、保管時に で暗号化する必要があります AWS KMS keys。 S3 AWS KMS keys Security Hub は、新しい S3 バケットタイプのタイトルを アカウントに変更しました。 |
| 2024 年 3 月 7 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された期待値と一致するかどうかを確認します。Security Hub が nodejs20.x および をパラメータruby3.3としてサポートするようになりました。 |
| 2024 年 2 月 22 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された期待値と一致するかどうかを確認します。Security Hub では、パラメータとして dotnet8 がサポートされるようになりました。 |
| 2024 年 2 月 5 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | Security Hub は、Amazon EKSクラスターが実行して合格した検出結果を生成できる、サポートされている最も古いバージョンの Kubernetes を更新しました。現在サポートされている最も古いバージョンは Kubernetes 1.25 です。 |
| 2024 年 1 月 10 日 | 〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください | タイトルを CodeBuild GitHub または Bitbucket ソースリポジトリ から Bitbucket ソースリポジトリ URLs OAuth に変更した場合、機密情報 を含めないでください。 CodeBuild URLs Security Hub は、他の接続方法も安全OAuthであるため、 への言及を削除しました。Security Hub は、 GitHub ソースリポジトリ に個人用アクセストークンまたはユーザー名とパスワードを持つことができなくなった GitHub ため、 への言及を削除しましたURLs。 |
| 2024 年 1 月 8 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された期待値と一致するかどうかを確認します。廃止されたランタイムであるため、Security Hub ではパラメータとして go1.x および java8 がサポートされなくなりました。 |
| 2023 年 12 月 29 日 | 〔RDS.8] RDS DB インスタンスは削除保護が有効になっている必要があります | RDS.8 は、サポートされているデータベースエンジンのいずれかを使用する Amazon RDS DB インスタンスで削除保護が有効になっているかどうかを確認します。Security Hub では custom-oracle-ee、oracle-ee-cdb、および oracle-se2-cdb がデータベースエンジンとしてサポートされるようになりました。 |
| 2023 年 12 月 22 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された期待値と一致するかどうかを確認します。Security Hub では、パラメータとして java21 および python3.12 がサポートされるようになりました。Security Hub では、パラメータとして ruby2.7 がサポートされなくなりました。 |
| 2023 年 12 月 15 日 | 〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります | CloudFront.1 は、Amazon CloudFront ディストリビューションにデフォルトのルートオブジェクトが設定されているかどうかを確認します。Security Hub は、デフォルトのルートオブジェクトの追加がユーザーのアプリケーションと特定の要件に依存する推奨事項HIGHであるため、このコントロールの重要度を から CRITICAL に下げました。 |
| 2023 年 12 月 5 日 | 〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください | コントロールタイトルが「セキュリティグループでは 0.0.0.0/0 からポート 22 へのイングレスは許可しない必要があります」から「セキュリティグループでは 0.0.0.0/0 または ::/0 からポート 22 へのイングレスは許可しない必要があります」に変更されました。 |
| 2023 年 12 月 5 日 | 〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください | コントロールタイトルが「セキュリティグループでは 0.0.0.0/0 からポート 3389 へのイングレスは許可されないことを確認します」から「セキュリティグループでは 0.0.0.0/0 または ::/0 からポート 3389 へのイングレスは許可しない必要があります」に変更されました。 |
| 2023 年 12 月 5 日 | 〔RDS.9] RDS DB インスタンスはログを CloudWatch ログに発行する必要があります | データベースログ記録から変更されたコントロールタイトルは、DB インスタンスがログ にログを発行するように有効にする必要があります。 RDS CloudWatch Security Hub は、このコントロールがログが Amazon CloudWatch Logs に発行されているかどうかのみをチェックし、RDSログが有効になっているかどうかをチェックしないことを特定しました。コントロールは、RDSDB インスタンスが CloudWatch ログにログを発行するように設定されている場合、PASSED結果を生成します。コントロールタイトルは、現在の動作を反映して更新されました。 |
| 2023 年 12 月 5 日 | 〔EKS.8] EKSクラスターでは、監査ログ記録を有効にする必要があります | このコントロールは、Amazon EKSクラスターで監査ログ記録が有効になっているかどうかを確認します。Security Hub がこのコントロールを評価するために使用する AWS Config ルールが から eks-cluster-logging-enabledに変更されましたeks-cluster-log-enabled。 |
| 2023 年 11 月 17 日 | 〔EC2.19] セキュリティグループは、高リスクのポートへの無制限のアクセスを許可しないでください | EC2.19 は、セキュリティグループの無制限の受信トラフィックが、高リスクと見なされる指定されたポートにアクセスできるかどうかを確認します。Security Hub では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 11 月 16 日 | 〔CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります | コントロールタイトルCloudWatch をアラームから変更した場合、 ALARM状態に対して アクションが設定されている必要があります。また、 CloudWatch アラームには アクションが指定されている必要があります。 |
| 2023 年 11 月 16 日 | 〔CloudWatch.16] CloudWatch ロググループは、指定された期間保持する必要があります | CloudWatch ロググループから変更されたコントロールタイトルは少なくとも 1 年間保持し、 CloudWatch ロググループは指定された期間保持する必要があります。 |
| 2023 年 11 月 16 日 | [Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります | VPC Lambda 関数から変更されたコントロールタイトルは、複数のアベイラビリティーゾーンで動作し、VPCLambda 関数は複数のアベイラビリティーゾーン で動作する必要があります。 |
| 2023 年 11 月 16 日 | 〔AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります | コントロールタイトルが「AWS AppSync は、リクエストレベルとフィールドレベルのログ記録をオンにする必要があります」から「AWS AppSync はフィールドレベルのログ記録を有効にする必要があります」に変更されました。 |
| 2023 年 11 月 16 日 | 〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください | Amazon Elastic MapReduce クラスターマスターノードから変更されたコントロールタイトルは、パブリック IP アドレスを Amazon EMRクラスタープライマリノードに持つべきではありません。 |
| 2023 年 11 月 16 日 | [Opensearch.2] OpenSearch ドメインはパブリックアクセス可能であってはなりません | ドメインからOpenSearch ドメインに変更したコントロールタイトルは、 からVPCOpenSearchドメインにパブリックにアクセスすることはできません。 |
| 2023 年 11 月 16 日 | [ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります | Elasticsearch ドメインから Elasticsearch ドメインに変更したコントロールタイトルは、 内にVPCあってから、パブリックにアクセス可能な にすることはできません。 |
| 2023 年 10 月 31 日 | [ES.4] CloudWatch ログへの Elasticsearch ドメインエラーログ記録を有効にする必要があります | ES.4 は、Elasticsearch ドメインが Amazon CloudWatch Logs にエラーログを送信するように設定されているかどうかを確認します。コントロールは以前に、 CloudWatch ログに送信するように設定されたログを持つ Elasticsearch ドメインの検出PASSED結果を生成しました。Security Hub は、エラーログを CloudWatch Logs に送信するように設定された Elasticsearch ドメインにのみPASSED結果を生成するようにコントロールを更新しました。コントロールも更新され、エラーログをサポートしない Elasticsearch バージョンを評価から除外するようになりました。 |
| 2023 年 10 月 16 日 | 〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください | EC2.13 は、セキュリティグループがポート 22 への無制限の進入アクセスを許可するかどうかを確認します。Security Hub では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 10 月 16 日 | 〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください | EC2.14 は、セキュリティグループがポート 3389 への無制限の進入アクセスを許可するかどうかを確認します。Security Hub では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 10 月 16 日 | 〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります | EC2.18 は、使用中のセキュリティグループが無制限の受信トラフィックを許可するかどうかを確認します。Security Hub では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 10 月 16 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された期待値と一致するかどうかを確認します。Security Hub では、パラメータとして python3.11 がサポートされるようになりました。 |
| 2023 年 10 月 4 日 | [S3.7] S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります | Security Hub は、S3 CROSS-REGION バケットで同じリージョンのレプリケーションではなくクロスリージョンレプリケーションを有効にするために、ReplicationType という値を持つパラメータが追加されました。 |
| 2023 年 9 月 27 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | Security Hub は、Amazon EKSクラスターが実行して合格した検出結果を生成できる、サポートされている最も古いバージョンの Kubernetes を更新しました。現在サポートされている最も古いバージョンは Kubernetes 1.24 です。 |
| 2023 年 9 月 20 日 | CloudFront.2 – CloudFront ディストリビューションではオリジンアクセスアイデンティティが有効になっている必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。代わりに、「〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります」を参照してください。オリジンのアクセスコントロールは、現在のセキュリティのベストプラクティスです。このコントロールは 90 日後にドキュメントから削除されます。 |
| 2023 年 9 月 20 日 | 〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります | Security Hub は、このコントロールを AWS Foundational Security Best Practices (FSBP) および National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 から削除しました。これは、サービス管理標準: の一部です AWS Control Tower。このコントロールは、セキュリティグループがEC2インスタンスまたはエラスティックネットワークインターフェイスにアタッチされている場合に、合格した検出結果を生成します。ただし、特定のユースケースでは、セキュリティグループがアタッチされていなくてもセキュリティ上のリスクはありません。EC2.2、EC2.13、EC2.14、EC2.18、EC2.19 などの他のEC2コントロールを使用して、セキュリティグループをモニタリングできます。 |
| 2023 年 9 月 20 日 | EC2.29 – EC2インスタンスは で起動する必要があります VPC | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。Amazon EC2は EC2-Classic インスタンスを に移行しましたVPC。このコントロールは 90 日後にドキュメントから削除されます。 |
| 2023 年 9 月 20 日 | S3.4 - S3 バケットでは、サーバー側の暗号化を有効にする必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。Amazon S3 は、新規および既存の S3 バケットで S3 マネージドキー (SS3-S3) によるデフォルトの暗号化を提供するようになりました。暗号化設定は、SS3-S3 または SS3サーバーKMS側の暗号化で暗号化された既存のバケットでは変更されません。このコントロールは 90 日後にドキュメントから削除されます。 |
| 2023 年 9 月 14 日 | 〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください | コントロールタイトルを から変更しました。VPCデフォルトのセキュリティグループでは、デフォルトのセキュリティグループへのインバウンドトラフィックとアウトバウンドトラフィックを許可しないでください。 VPC |
| 2023 年 9 月 14 日 | ルートユーザーに対して [IAM.9] を有効にするMFA必要があります | コントロールタイトルを Virtual から に変更した場合、ルートユーザーは を有効にし、ルートユーザー は を有効にするMFAMFA必要があります。 |
|
2023 年 9 月 14 日 |
〔RDS.19] 既存のRDSイベント通知サブスクリプションは、重要なクラスターイベント用に設定する必要があります | コントロールタイトルを に変更しましたRDS。イベント通知サブスクリプションは重要なクラスターイベント用に設定する必要があります。既存のRDSイベント通知サブスクリプションは重要なクラスターイベント用に設定する必要があります。 |
| 2023 年 9 月 14 日 | 〔RDS.20] 既存のRDSイベント通知サブスクリプションは、重要なデータベースインスタンスイベント用に設定する必要があります | コントロールタイトルを に変更しましたRDS。イベント通知サブスクリプションは重要なデータベースインスタンスイベント用に設定する必要があります。既存のRDSイベント通知サブスクリプションは重要なデータベースインスタンスイベント用に設定する必要があります。 |
| 2023 年 9 月 14 日 | 〔WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です | コントロールタイトルをWAFリージョンルールから変更した場合、少なくとも 1 つの条件がAWS WAF 、Classic リージョンルールには少なくとも 1 つの条件がなければなりません。 |
| 2023 年 9 月 14 日 | 〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です | WAF リージョンルールグループから変更したコントロールタイトルには、少なくとも 1 つのルールを AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です。 |
| 2023 年 9 月 14 日 | 〔WAF.4] AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です | WAF リージョンウェブからコントロールタイトルを変更した場合ACL、少なくとも 1 つのルールまたはルールグループがAWS WAF 、Classic リージョンウェブには少なくとも 1 つのルールまたはルールグループ ACLs が必要です。 |
| 2023 年 9 月 14 日 | 〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です | コントロールタイトルをWAFグローバルルールに変更した場合、少なくとも 1 つの条件を AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です。 |
| 2023 年 9 月 14 日 | 〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です | コントロールタイトルをWAFグローバルルールグループから Classic グローバルルールグループには少なくとも 1 つのルールAWS WAF が必要です。 |
| 2023 年 9 月 14 日 | 〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です | コントロールタイトルをWAFグローバルウェブに変更するとACL、少なくとも 1 つのルールまたはルールグループ が AWS WAF Classic グローバルウェブには少なくとも 1 つのルールまたはルールグループ ACLsがなければなりません。 |
| 2023 年 9 月 14 日 | 〔WAF0.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です | コントロールタイトルをWAFv2ウェブから変更した場合ACL、少なくとも 1 つのルールまたはルールグループをAWS WAF ウェブに変更ACLsするには、少なくとも 1 つのルールまたはルールグループ が必要です。 |
| 2023 年 9 月 14 日 | 〔WAF0.11] AWS WAF ウェブACLログ記録を有効にする必要があります | コントロールタイトルを AWS WAF v2 ウェブACLログ記録からウェブログ記録を有効にする必要があります。 AWS WAF ACL |
|
2023 年 7 月 20 日 |
S3.4 - S3 バケットでは、サーバー側の暗号化を有効にする必要があります | S3.4 は、Amazon S3 バケットでサーバー側の暗号化が有効になっているか、または S3 バケットポリシーでサーバー側の暗号化なしの PutObject リクエストを明示的に拒否しているかどうかをチェックします。Security Hub はこのコントロールを更新して、KMSキー (DSSE-) によるデュアルレイヤーサーバー側の暗号化を追加しましたKMS。コントロールは、S3 バケットが SSE-S3、SSE-、または DSSE- で暗号化されるとKMS、渡された検出結果を生成しますKMS。 |
| 2023 年 7 月 17 日 | [S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys | S3.17 は Amazon S3 バケットが AWS KMS keyで暗号化されているかどうかをチェックします。Security Hub はこのコントロールを更新して、KMSキー (DSSE-) によるデュアルレイヤーサーバー側の暗号化を追加しましたKMS。コントロールは、S3 バケットが SSE-KMS または DSSE- で暗号化されると、渡された検出結果を生成しますKMS。 |
| 2023 年 6 月 9 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | EKS.2 は、Amazon EKSクラスターがサポートされている Kubernetes バージョンで実行されているかどうかを確認します。サポートされている最も古いバージョンは になりました1.23。 |
| 2023 年 6 月 9 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された期待値と一致するかどうかを確認します。Security Hub では、パラメータとして ruby3.2 がサポートされるようになりました。 |
| 2023 年 6 月 5 日 | 〔APIGateway.5] API ゲートウェイRESTAPIキャッシュデータは保管時に暗号化する必要があります | APIGateway.5. は、Amazon API Gateway RESTAPIステージのすべてのメソッドが保管時に暗号化されているかどうかを確認します。Security Hub を更新し、特定のメソッドのキャッシュが有効になっている場合にのみ、そのメソッドの暗号化を評価するようにしました。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された期待値と一致するかどうかを確認します。Security Hub では、パラメータとして java17 がサポートされるようになりました。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された期待値と一致するかどうかを確認します。Security Hub では、パラメータとして nodejs12.x がサポートされなくなりました。 |
| 2023 年 4 月 23 日 | 〔ECS.10] ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります | ECS.10 は、Amazon ECS Fargate サービスが最新の Fargate プラットフォームバージョンを実行しているかどうかをチェックします。お客様は、 ECS ECSから直接、または を使用して Amazon をデプロイできます CodeDeploy。Security Hub は、ECSFargate サービスのデプロイに を使用すると、合格結果を生成する CodeDeploy ようにこのコントロールを更新しました。 |
| 2023 年 4 月 20 日 | [S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります。 AWS アカウント | S3.6 は、Amazon Simple Storage Service (Amazon S3) バケットポリシーによって、プリンシパルが S3 バケット内のリソースに対して AWS アカウント 拒否されたアクションを実行できないかどうかを確認します。Security Hub では、このコントロールが更新され、バケットポリシーの条件を考慮するようになりました。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された期待値と一致するかどうかを確認します。Security Hub では、パラメータとして python3.10 がサポートされるようになりました。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された期待値と一致するかどうかを確認します。Security Hub では、パラメータとして dotnetcore3.1 がサポートされなくなりました。 |
| 2023 年 4 月 17 日 | 〔RDS.11] RDSインスタンスでは自動バックアップが有効になっている必要があります | RDS.11 は、Amazon RDSインスタンスで自動バックアップが有効になっているかどうか、およびバックアップ保持期間が 7 日以上であるかどうかを確認します。Security Hub では、このコントロールが更新され、リードレプリカを評価から除外するようになりました。すべてのエンジンがリードレプリカの自動バックアップをサポートしているわけではないためです。さらに、 RDS には、リードレプリカの作成時にバックアップ保持期間を指定するオプションはありません。リードレプリカは、デフォルトでバックアップ保持期間 0 で作成されます。 |
