S3へのログ出力が暗号化されていないAWS CodeBuild プロジェクトの修正手順
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、「どうやって直すのか?」 という具体的な修復手順(コンソール、AWS CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、S3 ログが暗号化されていないAWS CodeBuild プロジェクトの状態について、解説します。
ポリシーの説明
CloudTrail の Security Hub コントロール – AWS Security Hub
このコントロールは、CloudTrail がサーバー側の暗号化 (SSE) AWS KMS key 暗号化を使用するよう設定されているかどうかをチェックします。
KmsKeyIdが定義されていない場合、コントロールは失敗します。
リスクとしては、AWS CloudTrail のログファイルが保存時に暗号化されていない場合、機密性の高いログデータが不正アクセスやデータ漏洩のリスクにさらされる可能性があります。
このリスクを回避するために、CloudTrail ログファイルの保存時暗号化を有効にし、AWS KMS キー(SSE-KMS)を使用することが望ましいです。
修復方法
AWSコンソールでの修正手順
- 対象のAWS CodeBuildプロジェクトを開き、「編集」をクリックします。
2. ログのセクションまで下にスクロールし、S3のオプション設定でチェックボックス「S3ログの暗号化を無効にする」をチェックオフします。
3. 「プロジェクトを更新する」をクリックし、設定を保存する。
最後に
今回は、CloudTrail ログファイルの保存時暗号化が無効になっている場合のリスクとその対策についてご紹介しました。保存時暗号化が適切に設定されていないと、機密性の高いログデータが不正アクセスやデータ漏洩のリスクにさらされます。設定を確認し、必要に応じて本記事を参考に修正してみてください。
この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。
運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。
最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。
