翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Auto Scaling の Security Hub CSPM コントロール
これらの Security Hub CSPM コントロールは、Amazon EC2 Auto Scaling サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。
## [AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある
**関連する要件:** PCI DSS v3.2.1/2.2、NIST.800-53.r5 CA-7、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 SI-2
**カテゴリ:** 識別 > インベントリ
**重要度:** 低
**リソースタイプ :** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、ロードバランサーに関連付けられた Amazon EC2 Auto Scaling グループで、Elastic Load Balancing (ELB) のヘルスチェックが使用されているかどうかをチェックします。Auto Scaling グループが ELB ヘルスチェックを使用しない場合、コントロールは失敗します。
ELB ヘルスチェックにより、ロードバランサーによって提供される追加のテストに基づいて、Auto Scaling グループはインスタンスのヘルスを確実に判断できるようになります。Elastic Load Balancing ヘルスチェックを使用すると、EC2 Auto Scaling グループを使用するアプリケーションの可用性もサポートできます。
### 修正
Elastic Load Balancing ヘルスチェックを追加するには、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[Add Elastic Load Balancing health checks](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console)」を参照してください。
## [AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります
**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
**カテゴリ:** リカバリ > 耐障害性 > 高可用性
**重要度:** 中
**リソースタイプ :** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)
**スケジュールタイプ :** 変更がトリガーされた場合
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | アベイラビリティーゾーンの最小数 | 列挙型 | `2, 3, 4, 5, 6` | `2` |
このコントロールは、Amazon EC2 Auto Scaling グループが少なくとも指定された数のアベイラビリティーゾーン (AZ) にまたがっているかどうかをチェックします。Auto Scaling グループが少なくとも指定された数の AZ にまたがっていない場合、コントロールは失敗します。AZs の最小数にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 2 つの AZs を使用します。
複数の AZ にまたがらない Auto Scaling グループは、設定された単一の AZ が使用できなくなった場合、埋め合わせとなる別の AZ ではインスタンスを起動できません。ただし、バッチジョブや AZ 内の転送コストを最小限に抑える必要がある場合など、一部のユースケースでは、単一のアベイラビリティーゾーンを持つ Auto Scaling グループが推奨されることがあります。このような場合は、このコントロールを無効にしたり、検出結果を抑制したりすることができます。
### 修正
既存の Auto Scaling グループに AZ を追加するには、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[Add and remove Availability Zones](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html)」を参照してください。
## [AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります
**関連する要件:** NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.6
**カテゴリ:** 保護 > セキュアなネットワーク設定
**重要度:** 高
**リソースタイプ :** `AWS::AutoScaling::LaunchConfiguration`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、Amazon EC2 Auto Scaling グループが起動するすべてのインスタンスで IMDSv2 が有効になっているかどうかをチェックします。インスタンスメタデータサービス (IMDS) バージョンが起動設定に含まれていない場合、または IMDSv1 または IMDSv2 を許可する設定である `token optional` として設定されている場合、コントロールは失敗します。
IMDS は、インスタンスに関するデータで、実行中のインスタンスを設定または管理するために使用します。
IMDS のバージョン 2 では、EC2 インスタンスの保護を強化するために、IMDSv1 では利用できなかった新しい保護が追加されています。
### 修正
Auto Scaling グループは、一度に 1 つの起動設定に関連付けられます。起動設定は、作成後に変更することはできません。Auto Scaling グループの起動設定を変更するには、新しい起動設定のベースとして、既存の起動設定を IMDSv2 を有効にした上で使用します。詳細については、「*Amazon EC2 ユーザーガイド*」の「[新規インスタンスのインスタンスメタデータオプションの設定](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html)」を参照してください。
## [AutoScaling.4] Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を超えることはできません
**重要**
Security Hub CSPM は、2024 年 4 月にこのコントロールを廃止しました。詳細については、「[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)」を参照してください。
**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
**カテゴリ:** 保護 > セキュアなネットワーク設定
**重要度:** 高
**リソースタイプ :** `AWS::AutoScaling::LaunchConfiguration`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
これにより、メタデータトークンが移動できる、ネットワークホップの数をチェックします。メタデータの応答ホップ制限が `1` を越えるとコントロールは失敗します。
Instance Metadata Service (IMDS) は、Amazon EC2 インスタンスに関するメタデータ情報を提供するものであり、アプリケーションの設定に役立ちます。メタデータサービスの HTTP `PUT` 応答を EC2 インスタンスのみに制限することで、IMDS を不正使用から保護します。
IP パケットの Time To Live (TTL) フィールドは、ホップごとに 1 ずつ削減されます。この削減により、パケットを EC2 外に移動させないようにすることができます。IMDSv2 は、オープンルーター、レイヤー 3 ファイアウォール、VPN、トンネル、または NAT デバイスとして誤って構成された可能性のある EC2 インスタンスを保護し、権限のないユーザーがメタデータを取得できないようにします。IMDSv2 では、デフォルトのメタデータ応答ホップ制限が `1` に設定されているため、シークレットトークンを含む `PUT` 応答は、インスタンスの外に移動することができません。ただし、この値が `1` より大きい場合、トークンは EC2 インスタンスから移動することができます。
### 修正
既存の起動設定のメタデータ応答ホップ制限を変更する方法については、「*Amazon EC2 ユーザーガイド*」の「[既存インスタンスのインスタンスメタデータオプションの変更](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances)」を参照してください。
## [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません
**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v4.0.1/1.4.4
**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース
**重要度:** 高
**リソースタイプ :** `AWS::AutoScaling::LaunchConfiguration`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、Auto Scaling グループに関連付けられた起動設定が、グループのインスタンスに[パブリック IP アドレス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses)を割り当てるかどうかをチェックします。関連付けられた起動設定が、パブリック IP アドレスを割り当てている場合に、このコントロールは失敗します。
Auto Scaling グループの起動設定の Amazon EC2 インスタンスには、限定されたエッジケースを除き、パブリック IP アドレスを関連付けないでください。Amazon EC2 インスタンスは、インターネットに直接公開されるのではなく、ロードバランサーを介した場合のみアクセスできるようにする必要があります。
### 修正
Auto Scaling グループは、一度に 1 つの起動設定に関連付けられます。起動設定は、作成後に変更することはできません。Auto Scaling グループの起動設定を変更するには、新しい起動設定のベースとして既存の起動設定を使用します。次に、Auto Scaling グループを新しい起動設定を使用するように更新します。手順については、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[Auto Scaling グループの起動設定を変更する](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html)」を参照してください。新しい起動設定を作成する際、**[追加設定]** にある **[高度な詳細] の [IP アドレスタイプ]** で、**[どのインスタンスにもパブリック IP アドレスを割り当てない]** を選択します。
起動設定を変更すると、Auto Scaling は、新しいインスタンスを新しい設定オプションで起動します。既存のインスタンスは影響を受けません。既存のインスタンスを更新するには、インスタンスの更新を行うか、終了ポリシーに基づいて自動スケーリングで古いインスタンスを新しいインスタンスに徐々に置き換えるようにすることをお勧めします。Auto Scaling インスタンスの更新についての詳細は、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[Auto Scaling インスタンスの更新](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances)」を参照してください。
## [AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります
**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
**カテゴリ:** リカバリ > 耐障害性 > 高可用性
**重要度:** 中
**リソースタイプ :** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、Amazon EC2 Auto Scaling グループが複数のインスタンスタイプを使用しているかどうかをチェックします。Auto Scaling グループで 1 つのインスタンスタイプしか定義されていない場合、そのコントロールは失敗します。
複数のアベイラビリティーゾーンで実行されている複数のインスタンスタイプ間でアプリケーションをデプロイすることで、可用性を向上させることができます。Security Hub CSPM では、選択したアベイラビリティーゾーンに十分なインスタンス容量がない場合に Auto Scaling グループが別のインスタンスタイプを起動できるように、複数のインスタンスタイプを使用することをお勧めします。
### 修正
複数のインスタンスタイプで Auto Scaling グループを作成するには、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[複数のインスタンスタイプと購入オプションを使用する Auto Scaling グループ](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html)」を参照してください。
## [AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります
**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
**カテゴリ:** 識別 > リソース設定
**重要度:** 中
**リソースタイプ :** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、Amazon EC2 Auto Scaling グループが、EC2 起動テンプレートから作成されたものかどうかを確認します。Amazon EC2 Auto Scaling グループが起動テンプレートを使用して作成されていない場合、または混合インスタンスポリシーで起動テンプレートが指定されていない場合、このコントロールは失敗します。
EC2 Auto Scaling グループは、EC2 起動テンプレートまたは起動設定のいずれかから作成できます。ただし、起動テンプレートを使用して Auto Scaling グループを作成することで、最新の機能や改善点に確実にアクセスできます。
### 修正
EC2 起動テンプレートを使用して Auto Scaling グループを作成するには、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[起動テンプレートを使用して Auto Scaling グループを作成する](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html)」を参照してください。起動設定を起動テンプレートに置き換える方法については、「*Amazon EC2 ユーザーガイド*」の「[起動設定を起動テンプレートに置き換える](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html)」を参照してください。
## [AutoScaling.10] EC2 Auto Scaling グループにタグを付ける必要があります
**カテゴリ:** 識別 > インベントリ > タグ付け
**重要度:** 低
**リソースタイプ :** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config rule:** `tagged-autoscaling-autoscalinggroup` (カスタム Security Hub CSPM ルール)
**スケジュールタイプ :** 変更がトリガーされた場合
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1~6 個のタグキー。 | デフォルト値なし |
このコントロールは、Amazon EC2 Auto Scaling グループにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。Auto Scaling グループにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、Auto Scaling グループがキーでタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
**注記**
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。
### 修正
Auto Scaling グループにタグを追加するには、「*Amazon EC2 Auto Scaling ユーザーガイド*」の「[Auto Scaling グループとインスタンスにタグを付ける](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html)」を参照してください。