翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub コントロールの変更ログ
次の変更ログは、既存の AWS Security Hub セキュリティコントロールの重要な変更を追跡します。これにより、コントロールの全体的なステータスとその検出結果のコンプライアンスステータスが変更される可能性があります。Security Hub がコントロールステータスをどのように評価するかは、「Security Hub でのコンプライアンスステータスとコントロールステータスの評価」を参照してください。 AWS リージョン コントロールが利用可能なすべての に影響するには、このログにエントリしてから数日かかる場合があります。
このログは、2023 年 4 月以降に発生した変更を追跡します。
コントロールを選択すると、そのコントロールの詳細が表示されます。タイトルの変更は、各コントロールの 90 日間の詳細な説明に記載されています。
| 変更日 | コントロール ID とタイトル | 変更点の説明 |
|---|---|---|
| 2025 年 1 月 10 日 | [Glue.2] AWS Glue ジョブではログ記録を有効にする必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。 |
| 2024 年 12 月 20 日 | EC2.61~EC2.169 | Security Hub は、EC2.61 から EC2.169 のリリースをロールバックしました。 |
| 2024 年 12 月 12 日 | 〔RDS.23] RDSインスタンスはデータベースエンジンのデフォルトポートを使用しないでください | RDS.23 は、Amazon Relational Database Service (Amazon RDS) クラスターまたはインスタンスがデータベースエンジンのデフォルトポート以外のポートを使用しているかどうかを確認します。クラスターの一部であるRDSインスタンスNOT_APPLICABLEについて、基盤となる AWS Config ルールが の結果を返すようにコントロールを更新しました。 |
| 2024 年 12 月 2 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして nodejs22.x がサポートされるようになりました。 |
| 2024 年 11 月 26 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターがサポートされている Kubernetes バージョンで実行されているかどうかを確認します。サポートされている最も古いバージョンは 1.29 です。 |
| 2024 年 11 月 20 日 | [Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります | Config.1 AWS Config は、 が有効になっているかどうかをチェックし、サービスにリンクされたロールを使用して、有効なコントロールのリソースを記録します。Security Hub は、このコントロールの重要度を から Config.1 |
| 2024 年 11 月 12 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして python3.13 がサポートされるようになりました。 |
| 2024 年 10 月 11 日 | ElastiCache コントロール | .3、 ElastiCache.4、 ElastiCache.5、. ElastiCache7 ElastiCacheのコントロールタイトルを変更しました。コントロールは ElastiCache for Valkey にも適用されるOSSため、タイトルは Redis について言及しなくなりました。 |
| 2024 年 9 月 27 日 | 〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります | タイトルを「Application Load Balancer は、httpヘッダーを削除するように設定する必要があります」から「Application Load Balancer は無効な http ヘッダーを削除するように設定する必要があります」に変更しました。 |
| 2024 年 8 月 19 日 | DMS.12 および ElastiCache コントロールのタイトル変更 | DMS.12 および .1 から ElastiCache. ElastiCache7 のコントロールタイトルを変更しました。Amazon ElastiCache (Redis OSS) サービスの名前変更を反映するために、これらのタイトルを変更しました。 |
| 2024 年 8 月 15 日 | [Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります | Config.1 AWS Config は、 が有効になっているかどうかをチェックし、サービスにリンクされたロールを使用して、有効なコントロールのリソースを記録します。Security Hub は、includeConfigServiceLinkedRoleCheck という名前のカスタムコントロールパラメータを追加しました。このパラメータを に設定することでfalse、 がサービスにリンクされたロール AWS Config を使用するかどうかの確認をオプトアウトできます。 |
| 2024 年 7 月 31 日 | [IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります | コントロールのタイトルを「AWS IoT Core セキュリティプロファイルにタグ付けする必要があります」から「AWS IoT Device Defender セキュリティプロファイルにタグ付けする必要があります」に変更しました。 |
| 2024 年 7 月 29 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして nodejs16.x がサポートされなくなりました。 |
| 2024 年 7 月 29 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターがサポートされている Kubernetes バージョンで実行されているかどうかを確認します。サポートされている最も古いバージョンは 1.28 です。 |
| 2024 年 6 月 25 日 | [Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります | このコントロール AWS Config は、 が有効になっているかどうかをチェックし、サービスにリンクされたロールを使用して、有効なコントロールのリソースを記録します。Security Hub は、コントロールの評価を反映するようにコントロールのタイトルを更新しました。 |
| 2024 年 6 月 14 日 | 〔RDS.34] AuroraSQL DB クラスターは監査ログを CloudWatch ログに発行する必要があります | このコントロールは、Amazon Aurora MySQL DB クラスターが監査ログを Amazon CloudWatch Logs に発行するように設定されているかどうかを確認します。Security Hub は、Aurora Serverless v1 DB クラスターの検出結果を生成しないようにコントロールを更新しました。 |
| 2024 年 6 月 11 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターがサポートされている Kubernetes バージョンで実行されているかどうかを確認します。サポートされている最も古いバージョンは 1.27 です。 |
| 2024 年 6 月 10 日 | [Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります | このコントロール AWS Config は、 が有効で、 AWS Config リソース記録が有効になっているかどうかを確認します。以前は、コントロールは、すべてのリソースに対して記録を設定した場合のみ PASSED 検出結果を生成していました。Security Hub は、有効なコントロールに必要なリソースの記録が有効になっているときに PASSED 検出結果を生成するようにコントロールを更新しました。コントロールも更新され、 AWS Config サービスにリンクされたロールが使用されているかどうかが確認されました。これにより、必要なリソースを記録するアクセス許可が付与されます。 |
| 2024 年 5 月 8 日 | [S3.20] S3 汎用バケットではMFA、削除を有効にする必要があります | このコントロールは、Amazon S3 汎用バージョニングバケットで多要素認証 (MFA) 削除が有効になっているかどうかを確認します。以前は、コントロールはライフサイクル設定を持つバケットの FAILED 検出結果を生成していました。ただし、ライフサイクル設定を持つバケットでは、バージョニングを使用したMFA削除を有効にすることはできません。Security Hub は、ライフサイクル設定を持つバケットの検出結果を生成しないようにコントロールを更新しました。コントロールの説明は、現在の動作を反映して更新されました。 |
| 2024 年 5 月 2 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | Security Hub は、Amazon EKSクラスターが実行できる最も古いサポートされているバージョンの Kubernetes を更新し、合格した検出結果を生成しました。現在サポートされている最も古いバージョンは Kubernetes 1.26 です。 |
| 2024 年 4 月 30 日 | 〔CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります | コントロールタイトルCloudTrail を から に変更しました。少なくとも 1 つの CloudTrail 証跡を有効にする必要があります。このコントロールは現在、 AWS アカウント で少なくとも 1 つの CloudTrail 証跡が有効になっている場合にPASSED検出結果を生成します。現在の動作を正確に反映するように、タイトルと説明が変更されました。 |
| 2024 年 4 月 29 日 | 〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります | コントロールタイトルを「Classic Load Balancer に関連付けられた Auto Scaling グループがロードバランサーのヘルスチェックを使用する」から「ロードバランサーに関連付けられた Auto Scaling グループがELBヘルスチェックを使用する」に変更しました。このコントロールは現在、アプリケーション、ゲートウェイ、ネットワーク、Classic Load Balancer を評価します。現在の動作を正確に反映するように、タイトルと説明が変更されました。 |
| 2024 年 4 月 19 日 | 〔CloudTrail.1] CloudTrail 読み取りと書き込みの管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります | コントロール AWS CloudTrail は、 が有効で、読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡で設定されているかどうかを確認します。以前は、証跡が読み取りおよび書き込み管理イベントをキャプチャしていない場合でも、アカウントが少なくとも 1 つのマルチリージョン証跡 CloudTrail を有効にして設定したときに、コントロールが誤ってPASSED検出結果を生成していました。コントロールは、 CloudTrail が有効で、読み取りおよび書き込み管理イベントをキャプチャする少なくとも 1 つのマルチリージョン証跡が設定されている場合にのみPASSED検出結果を生成するようになりました。 |
| 2024 年 4 月 10 日 | [Athena.1] Athena ワークグループは、保管中に暗号化する必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。Athena ワークグループは、Amazon Simple Storage Service (Amazon S3) バケットにログを送信します。Amazon S3 は、新規および既存の S3 バケットで S3 マネージドキー (SS3-S3) によるデフォルトの暗号化を提供するようになりました。 |
| 2024 年 4 月 10 日 | 〔AutoScaling.4] Auto Scaling グループの起動設定では、メタデータレスポンスホップ制限を 1 より大きくすることはできません | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのメタデータレスポンスホップ制限は、ワークロードによって異なります。 |
| 2024 年 4 月 10 日 | 〔CloudFormation.1] CloudFormation スタックは Simple Notification Service (SNS) と統合する必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。 AWS CloudFormation スタックを Amazon SNSトピックと統合することは、もはやセキュリティのベストプラクティスではありません。重要な CloudFormation スタックを SNS トピックと統合することは便利ですが、すべてのスタックに必要というわけではありません。 |
| 2024 年 4 月 10 日 | 〔CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。プロジェクトで CodeBuild 特権モードを有効にしても、顧客環境に追加のリスクが及ぶことはありません。 |
| 2024 年 4 月 10 日 | 〔IAM.20] ルートユーザーの使用を避ける | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。このコントロールの目的は、別のコントロール [CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります でカバーされています。 |
| 2024 年 4 月 10 日 | 〔SNS.2] トピックに送信される通知メッセージの配信ステータスのログ記録を有効にする必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。SNS トピックの配信ステータスのログ記録は、セキュリティのベストプラクティスではなくなりました。重要なSNSトピックの配信ステータスのログ記録は便利ですが、すべてのトピックで必要というわけではありません。 |
| 2024 年 4 月 10 日 | [S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | Security Hub は AWS 、 Foundational Security Best Practices v1.0.0 およびサービスマネージドスタンダード: からこのコントロールを削除しました AWS Control Tower。このコントロールの目的は、[S3.13] S3 汎用バケットにはライフサイクル設定が必要です と [S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります の 2 つの他のコントロールでカバーされています。このコントロールは SP NIST 800-53 Rev. 5 にまだ含まれています。 |
| 2024 年 4 月 10 日 | [S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります | Security Hub は AWS 、 Foundational Security Best Practices v1.0.0 およびサービスマネージドスタンダード: からこのコントロールを削除しました AWS Control Tower。S3 バケットのイベント通知が役立つ場合もありますが、これは一般的なセキュリティのベストプラクティスではありません。このコントロールは SP NIST 800-53 Rev. 5 にまだ含まれています。 |
| 2024 年 4 月 10 日 | 〔SNS.1] SNSトピックは、 を使用して保管時に暗号化する必要があります AWS KMS | Security Hub は AWS 、 Foundational Security Best Practices v1.0.0 およびサービスマネージドスタンダード: からこのコントロールを削除しました AWS Control Tower。デフォルトでは、 SNS はディスク暗号化を使用して保管中のトピックを暗号化します。詳細については、「データの暗号化」を参照してください。 AWS KMS を使用してトピックを暗号化することは、セキュリティのベストプラクティスとしては推奨されなくなりました。このコントロールは SP NIST 800-53 Rev. 5 にまだ含まれています。 |
| 2024 年 4 月 8 日 | 〔ELB.6] Application、Gateway、Network Load Balancer では、削除保護を有効にする必要があります | コントロールのタイトルを「Application Load Balancer の削除保護を有効化する必要があります」から「アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護が有効になっている必要があります」に変更しました。このコントロールは現在、アプリケーション、ゲートウェイ、Network Load Balancer を評価します。現在の動作を正確に反映するように、タイトルと説明が変更されました。 |
| 2024 年 3 月 22 日 | [Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります | コントロールタイトルを「Connections to OpenSearch domain should be encrypted using TLS 1.2」から「Connections to OpenSearch domain should be encrypted using the latest TLS security policy」に変更しました。以前は、コントロールは OpenSearch ドメインへの接続で 1.2 TLS が使用されたかどうかのみを確認していました。 OpenSearch ドメインが最新のTLSセキュリティポリシーを使用して暗号化されている場合、コントロールは検出PASSED結果を生成するようになりました。コントロールのタイトルと説明は、現在の動作を反映して更新されました。 |
| 2024 年 3 月 22 日 | [ES.8] Elasticsearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります | コントロールタイトルを「Connections to Elasticsearch domains should be encrypted using TLS 1.2」から「Connections to Elasticsearch domains should be encrypted using the latest TLS security policy」に変更しました。以前は、コントロールは Elasticsearch ドメインへの接続が 1.2 TLS を使用しているかどうかのみをチェックしていました。Elasticsearch ドメインが最新のTLSセキュリティポリシーを使用して暗号化されている場合、コントロールは検出PASSED結果を生成するようになりました。コントロールのタイトルと説明は、現在の動作を反映して更新されました。 |
| 2024 年 3 月 12 日 | [S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。 | タイトルを「S3 パブリックアクセスブロック設定を有効にする必要があります」から「S3 汎用バケットではパブリックアクセスブロック設定を有効にする必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります | タイトルを「S3 バケットはパブリック読み取りアクセスを禁止する必要があります」から「S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。 | タイトルを「S3 バケットではパブリック書き込みアクセスを禁止する必要があります」から「S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.5] S3 汎用バケットでは、 を使用するためのリクエストが必要です SSL | タイトルをS3 バケットでは Secure Socket Layer を使用するリクエストが必要」からS3 汎用バケットでは を使用するリクエストが必要SSL」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.6] S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント | タイトルを「バケットポリシー AWS アカウント で他の に付与される S3 アクセス許可」に変更しました。これは、S3 汎用バケットポリシーで他の へのアクセスを制限する必要がありますS3 AWS アカウント。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります | タイトルを「S3 バケットではクロスリージョンレプリケーションが有効になっている必要があります」から「S3 汎用バケットではクロスリージョンレプリケーションを使用する必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります | タイトルを「S3 バケットではクロスリージョンレプリケーションが有効になっている必要があります」から「S3 汎用バケットではクロスリージョンレプリケーションを使用する必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります | タイトルを「S3 パブリックアクセスブロック設定はバケットレベルで有効にする必要があります」から「S3 汎用バケットはパブリックアクセスをブロックする必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります | タイトルを「S3 バケットサーバーのアクセスログ記録を有効にする必要があります」から「S3 汎用バケット のサーバーアクセスログ記録を有効にする必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | タイトルを「バージョニングが有効になっている S3 バケットはライフサイクルポリシーを設定する必要があります」から「バージョニングが有効になっている S3 汎用バケットはライフサイクルポリシーを設定する必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります | タイトルを「S3 バケットではイベント通知が有効になっている必要があります」から「S3 汎用バケットではイベント通知が有効になっている必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.12] ACLs は、S3 汎用バケットへのユーザーアクセスを管理するために使用しないでください | タイトルをS3 アクセスコントロールリスト (ACLs) を使用してバケットへのユーザーアクセスを管理するべきではない」からACLsS3 汎用バケットへのユーザーアクセスを管理するべきではない」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.13] S3 汎用バケットにはライフサイクル設定が必要です | タイトルを「S3 バケットはライフサイクルポリシーをから設定する必要があります」から「S3 汎用バケットはライフサイクル設定する必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります | タイトルを「S3 バケットはバージョニングを使用する必要があります」から「S3 汎用バケットでバージョニングが有効になっている必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります | タイトルを「S3 バケットは Object Lock を使用するように設定する必要があります」から「S3 汎用バケットでは Object Lock が有効になっている必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys | タイトルを「S3 バケットを保管時に AWS KMS keysで暗号化する必要があります」から「S3 汎用バケットを保管時に AWS KMS keysで暗号化する必要があります」に変更しました。Security Hub は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 7 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして nodejs20.x および ruby3.3 がサポートされるようになりました。 |
| 2024 年 2 月 22 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして dotnet8 がサポートされるようになりました。 |
| 2024 年 2 月 5 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | Security Hub は、Amazon EKSクラスターが実行できる最も古いサポートされているバージョンの Kubernetes を更新し、合格した検出結果を生成しました。現在サポートされている最も古いバージョンは Kubernetes 1.25 です。 |
| 2024 年 1 月 10 日 | 〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください | タイトルを「」またはCodeBuild GitHub 「Bitbucket ソースリポジトリが を使用するURLs必要があるOAuth」からCodeBuild 「Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください」に変更しました。Security Hub では、他の接続方法も安全OAuthである可能性があるため、 への言及を削除しました。Security Hub は、 GitHub ソースリポジトリ に個人用アクセストークンまたはユーザー名とパスワードを持つことができなくなっ GitHub たため、 への言及を削除しましたURLs。 |
| 2024 年 1 月 8 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。廃止されたランタイムであるため、Security Hub ではパラメータとして go1.x および java8 がサポートされなくなりました。 |
| 2023 年 12 月 29 日 | 〔RDS.8] RDS DB インスタンスでは、削除保護を有効にする必要があります | RDS.8 は、サポートされているデータベースエンジンのいずれかを使用する Amazon RDS DB インスタンスで削除保護が有効になっているかどうかを確認します。Security Hub では custom-oracle-ee、oracle-ee-cdb、および oracle-se2-cdb がデータベースエンジンとしてサポートされるようになりました。 |
| 2023 年 12 月 22 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして java21 および python3.12 がサポートされるようになりました。Security Hub では、パラメータとして ruby2.7 がサポートされなくなりました。 |
| 2023 年 12 月 15 日 | 〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります | CloudFront.1 は、Amazon CloudFront ディストリビューションにデフォルトのルートオブジェクトが設定されているかどうかを確認します。Security Hub は、デフォルトのルートオブジェクトの追加がユーザーのアプリケーションと特定の要件に依存する推奨事項HIGHであるため、このコントロールの重要度を から CRITICALに下げました。 |
| 2023 年 12 月 5 日 | 〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください | コントロールタイトルが「セキュリティグループでは 0.0.0.0/0 からポート 22 へのイングレスは許可しない必要があります」から「セキュリティグループでは 0.0.0.0/0 または ::/0 からポート 22 へのイングレスは許可しない必要があります」に変更されました。 |
| 2023 年 12 月 5 日 | 〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください | コントロールタイトルが「セキュリティグループでは 0.0.0.0/0 からポート 3389 へのイングレスは許可されないことを確認します」から「セキュリティグループでは 0.0.0.0/0 または ::/0 からポート 3389 へのイングレスは許可しない必要があります」に変更されました。 |
| 2023 年 12 月 5 日 | 〔RDS.9] RDS DB インスタンスは ログに CloudWatch ログを発行する必要があります | コントロールタイトルを「データベースログ記録を有効にする必要があります」からRDS「DB インスタンスはログを CloudWatch ログに発行する必要があります」に変更しました。Security Hub は、このコントロールがログが Amazon CloudWatch Logs に発行されているかどうかのみをチェックし、RDSログが有効になっているかどうかをチェックしないことを特定しました。DB RDSインスタンスがログにログを発行するように設定されている場合、コントロールはPASSED結果を生成します CloudWatch 。コントロールタイトルは、現在の動作を反映して更新されました。 |
| 2023 年 12 月 5 日 | 〔EKS.8] EKSクラスターでは、監査ログ記録を有効にする必要があります | このコントロールは、Amazon EKSクラスターで監査ログ記録が有効になっているかどうかをチェックします。Security Hub がこのコントロールを評価するために使用する AWS Config ルールが から eks-cluster-logging-enabledに変更されましたeks-cluster-log-enabled。 |
| 2023 年 11 月 17 日 | 〔EC2.19] セキュリティグループは、高リスクのポートへの無制限アクセスを許可しないでください | EC2.19 は、セキュリティグループの無制限の受信トラフィックが、高リスクと見なされる指定されたポートにアクセスできるかどうかを確認します。Security Hub では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 11 月 16 日 | [CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります | コントロールタイトルをCloudWatch 「アラームには ALARM状態に対して設定されたアクションが必要です」から CloudWatch 「アラームには指定されたアクションが設定されている必要があります」に変更しました。 |
| 2023 年 11 月 16 日 | [CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります | コントロールタイトルをCloudWatch 「ロググループは少なくとも 1 年間保持する必要があります」から CloudWatch 「ロググループは指定された期間保持する必要があります」に変更しました。 |
| 2023 年 11 月 16 日 | [Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります | コントロールタイトルをVPC「Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります」からVPC「Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります」に変更しました。 |
| 2023 年 11 月 16 日 | 〔AppSync.2] フィールドレベルのログ記録を有効にする AWS AppSync 必要があります | コントロールタイトルが「AWS AppSync は、リクエストレベルとフィールドレベルのログ記録をオンにする必要があります」から「AWS AppSync はフィールドレベルのログ記録を有効にする必要があります」に変更されました。 |
| 2023 年 11 月 16 日 | 〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください | コントロールタイトルを「Amazon Elastic MapReduce クラスターマスターノードにパブリック IP アドレスがあってはなりません」から「Amazon EMRクラスタープライマリノードにパブリック IP アドレスがあってはなりません」に変更しました。 |
| 2023 年 11 月 16 日 | [Opensearch.2] OpenSearch ドメインはパブリックにアクセスできません | コントロールタイトルをOpenSearch 「」からVPC「」に変更OpenSearchしました。ドメインはパブリックにアクセスできません。 |
| 2023 年 11 月 16 日 | [ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります | コントロールタイトルを「Elasticsearch ドメインは 内にある必要がありますVPC」から「Elasticsearch ドメインはパブリックにアクセスできないようにする必要があります」に変更しました。 |
| 2023 年 10 月 31 日 | [ES.4] CloudWatch Logs への Elasticsearch ドメインエラーのログ記録を有効にする必要があります | ES.4 は、Elasticsearch ドメインが Amazon CloudWatch Logs にエラーログを送信するように設定されているかどうかを確認します。コントロールは、以前に ログに送信するようにログが設定された Elasticsearch ドメインの検出PASSED結果を生成 CloudWatch しました。Security Hub は、エラーログを CloudWatch Logs に送信するように設定された Elasticsearch ドメインPASSEDの結果のみを生成するようにコントロールを更新しました。コントロールも更新され、エラーログをサポートしない Elasticsearch バージョンを評価から除外するようになりました。 |
| 2023 年 10 月 16 日 | 〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください | EC2.13 は、セキュリティグループがポート 22 への無制限の進入アクセスを許可しているかどうかをチェックします。Security Hub では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 10 月 16 日 | 〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください | EC2.14 は、セキュリティグループがポート 3389 への無制限の進入アクセスを許可しているかどうかをチェックします。Security Hub では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 10 月 16 日 | 〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります | EC2.18 は、使用中のセキュリティグループが無制限の受信トラフィックを許可しているかどうかをチェックします。Security Hub では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 10 月 16 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして python3.11 がサポートされるようになりました。 |
| 2023 年 10 月 4 日 | [S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります | Security Hub は、S3 CROSS-REGION バケットで同じリージョンのレプリケーションではなくクロスリージョンレプリケーションを有効にするために、ReplicationType という値を持つパラメータが追加されました。 |
| 2023 年 9 月 27 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | Security Hub は、Amazon EKSクラスターが実行できる最も古いサポートされているバージョンの Kubernetes を更新して、合格した検出結果を生成しました。現在サポートされている最も古いバージョンは Kubernetes 1.24 です。 |
| 2023 年 9 月 20 日 | CloudFront.2 – CloudFront ディストリビューションではオリジンアクセスアイデンティティを有効にする必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。代わりに、「〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります」を参照してください。オリジンのアクセスコントロールは、現在のセキュリティのベストプラクティスです。このコントロールは 90 日後にドキュメントから削除されます。 |
| 2023 年 9 月 20 日 | 〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります | Security Hub は AWS 、 Foundational Security Best Practices (FSBP) および National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 からこのコントロールを削除しました。これは、サービスマネージドスタンダード: の一部です AWS Control Tower。このコントロールは、セキュリティグループがEC2インスタンスまたは Elastic Network Interface にアタッチされている場合に、合格の検出結果を生成します。ただし、特定のユースケースでは、セキュリティグループがアタッチされていなくてもセキュリティ上のリスクはありません。EC2.2、.EC213、.14、EC2.18、EC2.EC219 などの他のEC2コントロールを使用して、セキュリティグループをモニタリングできます。 |
| 2023 年 9 月 20 日 | EC2.29 – EC2インスタンスは で起動する必要があります VPC | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。Amazon EC2は EC2-Classic インスタンスを に移行しましたVPC。このコントロールは 90 日後にドキュメントから削除されます。 |
| 2023 年 9 月 20 日 | S3.4 - S3 バケットでは、サーバー側の暗号化を有効にする必要があります | Security Hub はこのコントロールを廃止し、すべての標準から削除しました。Amazon S3 は、新規および既存の S3 バケットで S3 マネージドキー (SS3-S3) によるデフォルトの暗号化を提供するようになりました。暗号化設定は、SS3-S3 または SS3-KMS サーバー側の暗号化で暗号化された既存のバケットでは変更されません。このコントロールは 90 日後にドキュメントから削除されます。 |
| 2023 年 9 月 14 日 | 〔EC2.2] VPCデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください | コントロールタイトルを「 VPCデフォルトセキュリティグループはインバウンドトラフィックとアウトバウンドトラフィックを許可しない」からVPC「 デフォルトセキュリティグループはインバウンドトラフィックとアウトバウンドトラフィックを許可しない」に変更しました。 |
| 2023 年 9 月 14 日 | ルートユーザーに対して [IAM.9] を有効にするMFA必要があります | コントロールタイトルを「Virtual MFA should be enabled for the root user to MFA be enabled」に変更しました。 |
|
2023 年 9 月 14 日 |
〔RDS.19] 既存のRDSイベント通知サブスクリプションは、重要なクラスターイベント用に設定する必要があります | コントロールタイトルを「重要なクラスターRDSイベントにはイベント通知サブスクリプションを設定する必要があります」から「重要なクラスターイベントには既存のRDSイベント通知サブスクリプションを設定する必要があります」に変更しました。 |
| 2023 年 9 月 14 日 | 〔RDS.20] 既存のRDSイベント通知サブスクリプションは、重要なデータベースインスタンスイベント用に設定する必要があります | コントロールタイトルを「重要なデータベースインスタンスイベントにはRDSイベント通知サブスクリプションを設定する必要があります」から「重要なデータベースインスタンスイベントには既存のRDSイベント通知サブスクリプションを設定する必要があります」に変更しました。 |
| 2023 年 9 月 14 日 | 〔WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です | コントロールタイトルをWAF「リージョンルールには少なくとも 1 つの条件が必要です」からAWS WAF 「 Classic リージョンルールには少なくとも 1 つの条件が必要です」に変更しました。 |
| 2023 年 9 月 14 日 | 〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です | コントロールタイトルをWAF「リージョンルールグループには少なくとも 1 つのルールが必要です」からAWS WAF 「Classic Regional ルールグループには少なくとも 1 つのルールが必要です」に変更しました。 |
| 2023 年 9 月 14 日 | 〔WAF.4] AWS WAF Classic Regional Web には、少なくとも 1 つのルールまたはルールグループACLsが必要です | コントロールタイトルをWAF「リージョンウェブACLには少なくとも 1 つのルールまたはルールグループが必要です」からAWS WAF 「Classic Regional Web ACLs には少なくとも 1 つのルールまたはルールグループが必要です」に変更しました。 |
| 2023 年 9 月 14 日 | 〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です | コントロールタイトルをWAF「グローバルルールには少なくとも 1 つの条件が必要です」からAWS WAF 「 Classic グローバルルールには少なくとも 1 つの条件が必要です」に変更しました。 |
| 2023 年 9 月 14 日 | 〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です | コントロールタイトルをWAF「グローバルルールグループには少なくとも 1 つのルールが必要です」からAWS WAF 「 Classic グローバルルールグループには少なくとも 1 つのルールが必要です」に変更しました。 |
| 2023 年 9 月 14 日 | 〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です | コントロールタイトルをWAF「グローバルウェブACLには少なくとも 1 つのルールまたはルールグループが必要です」からAWS WAF 「 Classic グローバルウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です」に変更しました。 |
| 2023 年 9 月 14 日 | 〔WAF.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です | コントロールタイトルをWAFv2「ウェブACLには少なくとも 1 つのルールまたはルールグループが必要です」からAWS WAF 「ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です」に変更しました。 |
| 2023 年 9 月 14 日 | 〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります | コントロールタイトルをAWS WAF「v2 ウェブACLログを有効にする必要があります」からAWS WAF 「ウェブACLログを有効にする必要があります」に変更しました。 |
|
2023 年 7 月 20 日 |
S3.4 - S3 バケットでは、サーバー側の暗号化を有効にする必要があります | S3.4 は、Amazon S3 バケットでサーバー側の暗号化が有効になっているか、または S3 バケットポリシーでサーバー側の暗号化なしの PutObject リクエストを明示的に拒否しているかどうかをチェックします。Security Hub は、KMSキーによる二層式サーバー側の暗号化 (DSSE-) を含めるようにこのコントロールを更新しましたKMS。コントロールは、S3 バケットが SSE-S3、-、または SSE- で暗号化されている場合KMSに、渡された検出結果を生成しますDSSEKMS。 |
| 2023 年 7 月 17 日 | [S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys | S3.17 は Amazon S3 バケットが AWS KMS keyで暗号化されているかどうかをチェックします。Security Hub は、KMSキーによる二層式サーバー側の暗号化 (DSSE-) を含めるようにこのコントロールを更新しましたKMS。コントロールは、S3 バケットが SSE-KMS または DSSE- で暗号化されている場合に、渡された検出結果を生成しますKMS。 |
| 2023 年 6 月 9 日 | 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります | EKS.2 は、Amazon EKSクラスターがサポートされている Kubernetes バージョンで実行されているかどうかを確認します。現在、サポートされている最も古いバージョンは です1.23。 |
| 2023 年 6 月 9 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして ruby3.2 がサポートされるようになりました。 |
| 2023 年 6 月 5 日 | 〔APIGateway.5] APIゲートウェイRESTAPIキャッシュデータは保管時に暗号化する必要があります | APIGateway.5. は、Amazon API Gateway RESTAPIステージのすべてのメソッドが保管時に暗号化されているかどうかを確認します。Security Hub を更新し、特定のメソッドのキャッシュが有効になっている場合にのみ、そのメソッドの暗号化を評価するようにしました。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして java17 がサポートされるようになりました。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして nodejs12.x がサポートされなくなりました。 |
| 2023 年 4 月 23 日 | 〔ECS.10] ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります | ECS.10 は、Amazon ECS Fargate サービスが最新の Fargate プラットフォームバージョンを実行しているかどうかをチェックします。お客様は、 ECS ECSから直接、または を使用して Amazon をデプロイできます CodeDeploy。Security Hub は、 を使用して ECS Fargate サービスをデプロイするときに、合格の検出結果を生成する CodeDeploy ようにこのコントロールを更新しました。 |
| 2023 年 4 月 20 日 | [S3.6] S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント | S3.6 は、Amazon Simple Storage Service (Amazon S3) バケットポリシーによって、他の のプリンシパル AWS アカウント が S3 バケット内のリソースに対して拒否されたアクションを実行できないかどうかを確認します。Security Hub では、このコントロールが更新され、バケットポリシーの条件を考慮するようになりました。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして python3.10 がサポートされるようになりました。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語でサポートされているランタイムに設定された想定値と一致するかどうかを確認します。Security Hub では、パラメータとして dotnetcore3.1 がサポートされなくなりました。 |
| 2023 年 4 月 17 日 | 〔RDS.11] RDSインスタンスでは、自動バックアップが有効になっている必要があります | RDS.11 は、Amazon RDSインスタンスで自動バックアップが有効になっていて、バックアップ保持期間が 7 日以上であるかどうかを確認します。Security Hub では、このコントロールが更新され、リードレプリカを評価から除外するようになりました。すべてのエンジンがリードレプリカの自動バックアップをサポートしているわけではないためです。さらに、 RDSには、リードレプリカの作成時にバックアップ保持期間を指定するオプションはありません。リードレプリカは、デフォルトでバックアップ保持期間 0 で作成されます。 |
