【Security Hub修復手順】[DynamoDB.7] DynamoDB Accelerator クラスターは転送中に暗号化する必要があります
2025.04.30皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[DynamoDB.7] DynamoDB Accelerator クラスターは転送中に暗号化する必要があります
[DynamoDB.7] DynamoDB Accelerator clusters should be encrypted in transit
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
本コントロールは、Amazon DynamoDB Accelerator (DAX) クラスターが転送中に暗号化され、エンドポイント暗号化タイプが TLS に設定されているかどうかを確認します。
DAX クラスターが転送中に暗号化されていない場合、コントロールは失敗します。
TLS を用いることで通信内容の盗聴や改ざん(中間者攻撃など)のリスクを低減できます。
特にインターネット経由やクロスアカウントでのアクセスが想定される場合は必須です。
通信がプライベートに閉じている場合など攻撃のリスクが低い場合、必須ではありません。
暗号化を有効にすると若干のパフォーマンス低下が生じる可能性があります。
導入前に十分な性能テストを行うことを推奨します。
なお、転送時の暗号化は既存クラスターに後付けできず、クラスターの再作成が必要となりますのでご注意ください。
修復手順
1 コントロールの確認方法
- AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「DynamoDB.7」を検索し、タイトルを選択します。
2. リソースの欄から失敗が確認できます。
2 ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の点を確認します。
- DAX クラスターを再作成して転送時の暗号化を有効化してよいか
- 再作成に伴うダウンタイムや作業タイミングも調整しましょう。
- 対応しない場合は、その理由を確認し、Security Hubで当該コントロールを「抑制済み」に設定します。
3 暗号化を有効化し再作成する
- DynamoDBのダッシュボードから[DAX]から、[クラスターの作成]をクリックします。
- 適切なクラスターノードやネットワーク構成を選択後、[セキュリティを設定]のステップで、[暗号化]2つにチェックを加えます。今回のコントロール対象は、転送時の暗号化を有効化ですが、[DynamoDB.3]のコントロールでは、保管時の暗号化を有効化しているかチェックされているため、こちらも有効化チェックします。
- クラスター作成後、詳細画面で「転送時の暗号化:有効」と表示されることを確認します。
以上で、DAX クラスターの転送時暗号化が有効になりました。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
