暗号化されていないEBSボリュームへの暗号化手順について

2025.05.30

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、「どうやって直すのか?」 という具体的な修復手順(コンソール、AWS CLI、Terraformなど)まで、分かりやすく解説します。

この記事では、Security Hubで検出された「[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします」というセキュリティ課題の修正方法について解説します。

ポリシーの説明

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

Amazon EC2 の Security Hub コントロール – AWS Security Hub

このコントロールは、Amazon Elastic Block Store (Amazon EBS) ボリュームでアカウントレベルの暗号化がデフォルトで有効になっているかどうかをチェックします。EBS ボリュームでアカウントレベルの暗号化が有効になっていない場合、コントロールは失敗します。

Amazon EBSのデフォルト暗号化を有効にすると、そのAWSリージョンおよびアカウント内で新規に作成されるすべてのEBSボリュームと、それらのボリュームから作成されるスナップショットが自動的に暗号化されます。これにより、ボリューム作成時に個別に暗号化設定を行う手間が省け、暗号化忘れによるセキュリティリスクを低減できます。

修復方法

AWSコンソールでの修正手順

  1. EC2 > インスタンスに移動します
  2. インスタンスを起動を選択後、ストレージの設定項目までスクロールし、「アドバンスト」を選択します
  3. 暗号化済みの設定項目で「暗号済み」で設定します。
  4. 設定確認後、インスタンスを起動し作成します。

Terraformでの修復手順

EBSボリュームの暗号化を有効にするためのTerraformコードと、重要な修正ポイントを説明します。

############################################
# 1. アカウントのデフォルト暗号化
############################################
resource "aws_ebs_encryption_by_default" "this" {
  enabled = true          # ★必須
}

############################################
# 2. 既定 KMS キー (任意:CMK を使う場合)
############################################
resource "aws_kms_key" "ebs" {
  description         = "CMK for EBS default encryption"
  enable_key_rotation = true
}

resource "aws_ebs_default_kms_key" "this" {
  key_arn = aws_kms_key.ebs.arn
}

############################################
# 3. 以降に作成するボリューム例
############################################
resource "aws_ebs_volume" "example" {
  availability_zone = "ap-northeast-1a"
  size              = 50
  type              = "gp3"
  # encrypted, kms_key_id を省略しても
  # デフォルト暗号化が適用される
}

Terraform の注意点

  • aws_ebs_encryption_by_default はリージョン/アカウント単位の設定です。各リージョンで実行してください。
  • 既存の非暗号化ボリュームを encrypted = true に更新すると「強制再作成」となるため、移行はスナップショット → 暗号化コピー → 新規ボリューム作成が安全です。

AWS CLI

# 暗号化をデフォルトで有効化
aws ec2 enable-ebs-encryption-by-default --region ap-northeast-1

# 既定 KMS キーをカスタム CMK に変更
aws ec2 modify-ebs-default-kms-key-id \\
  --kms-key-id arn:aws:kms:ap-northeast-1:111122223333:key/abcd-1234 \\
  --region ap-northeast-1

最後に

今回は、AWSアカウントでEBSのデフォルト暗号化を有効にする方法についてご紹介しました。デフォルト暗号化を有効にすることで、新しいEBSボリュームとスナップショットのセキュリティを簡単に向上させることができます。特に機密データを扱う環境では、デフォルト暗号化を有効にすることを強く推奨します。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。

運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。

最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです

この記事をシェアする

クラウドセキュリティ対策実践集一覧へ戻る

貴社の利用状況に合わせた見積もりを作成します。

見積もりを希望する
資料ダウンロード

料金プランを詳しく見る