セキュリティチェックのルールを自システム向けに変更「Security Hubコントロールのカスタマイズ」
最後は「Security Hub」のアップデートを紹介します。昨今のシステムではAWSリソースの設定誤りに気づくために、Security Hubを利用してリスクのある設定が存在しないかをチェックすることは多いかと思います。ですが、Security Hubが用意してくれているコントロール(チェックルール)は、ほぼカスタマイズが不可でした。例えば、Security Hubで用意されているコントロールであるEC2.18は、セキュリティグループで許可されているルールにリスクのある設定がないかを確認してくれるものですが、インターネットからの通信がされていても問題ないと判断されるポートはTCP80および443のみと固定されていました。
今回のSecurity Hubのアップデートにより、このコントールのパラメーターを変更することが可能になり、自システムにあったチェックルールにカスタマイズすることが可能となりました。
パラメーターによるカスタマイズが可能になったコントロールは30以上あり、より自システムにあったセキュリティチェックルールを作りやすくなったと思います。Security Hubは導入は簡単なのですが、運用フェーズでの対応工数が増えやすいものでもありました。このアップデートは無用なアラートを減らし、運用時の負荷を減らすことができるうれしいものだと感じています。
おわりに
AWS re:Invent 2023では数多くのアップデートがありましたが、その中でも筆者がこれは多くの人が待ち望んでいた機能では、と思う3つのアップデートを紹介させていただきました。re:Invent後も続々とアップデートが発表されておりますので、引き続きこの連載で紹介させていただきたいと思います。