目次
はじめに
こんにちは、運用サービス課の栩野です。
Security Hub CSPMを利用して運用している環境にて、以下の新しいコントロールを検知しました。
| 項目 | 内容 |
|---|---|
| 重大度 | High |
| タイトル | Amazon EBS Snapshots should not be publicly accessible (Amazon EBS スナップショットはパブリックアクセス可能であってはなりません) |
| 説明文 | The control checks whether block public access is enabled to block all sharing of Amazon EBS snapshots. The control fails if block public access is not enabled to block all sharing for all Amazon EBS snapshots.
(このコントロールは、Amazon EBS スナップショットの共有をすべてブロックするための「パブリックアクセスをブロックする設定」が有効になっているかどうかを確認します。もしこの設定が全スナップショットの共有をブロックするように有効化されていない場合、このコントロールは失敗となります。) |
以下はドキュメントのURLになりますが、2025/12/9 現在ではまだドキュメントに記載のないコントロールになります。(恐らくそのうち追加されるかと)
https://docs.aws.amazon.com/console/securityhub/EC2.182/remediation
EC2.182 への対応が必要な理由
EBSスナップショットが意図せずパブリック共有されてしまうと、第三者にスナップショットからEBSを復元され、情報漏洩に繋がるリスクがあります。
なので、EBSスナップショットを外部公開する必要のない環境では、パブリックアクセスブロックを有効化し、誤公開を防止することが推奨されます。
必要な対応
AWSマネジメントコンソールのEC2ダッシュボードから、EBSスナップショットのパブリックアクセスブロックの有効化が可能です。
意図的にEBSスナップショットをパブリック公開するような環境でなければ、以下の対応を行ってください。
-
EC2のダッシュボードにある「データ保護とセキュリティ」をクリック
-
下部にある「EBS スナップショットのパブリックアクセスをブロック」の設定状態を確認
-
パブリックアクセスブロックが無効の場合は、有効化して更新
以上の設定により、「意図しないスナップショット公開」を防ぐことができます。
さいごに
[EC2.182]に関するAWSのドキュメントが見つからず、対応に困っている方がいれば是非参考になると嬉しいです。
運用サービス課 課長
運用・監視の設計から導入まで、運用サービスを担当してます。
運用監視やセキュリティ関連の話題に興味があるので、そのあたりのブログを多めで投稿していきたいと思ってます。
LINK
クラウドベリージャム:プロフィールページ