SNSトピックにおけるCMKでの暗号化について

2025.08.15

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、「どうやって直すのか?」 という具体的な修復手順(コンソール、AWS CLI、Terraformなど)まで、分かりやすく解説します。

今回は、Amazon SNS (Simple Notification Service) のトピックデータのカスタマー管理キー (CMK) 暗号化について、そのリスクと対策を解説します。

リスク

Amazon SNSは、フルマネージド型のメッセージングサービスで、アプリケーション間またはアプリケーションから個人へのプッシュ通知を可能にします。SNSトピックは、メッセージのハブとして機能し、メッセージを購読者(Lambda関数、SQSキュー、HTTP/Sエンドポイント、Eメール、SMSなど)に配信します。SNSトピックは保管時の暗号化オプションを提供していますが、デフォルトではAWS管理キー(AWS managed key)が使用されます。コンプライアンスに求められるレベルに応じてCMKでの暗号化を実施しましょう。

修復方法

Amazon SNSトピックの暗号化をKMSカスタマー管理キー(CMK)で有効にする方法は、AWSコンソールまたはTerraformで行えます。CloudHSMキーを使用する場合は、先にAWS CloudHSMクラスターとそれに統合されたKMSキーを作成する必要があります。

AWSコンソールでの修復手順

AWSコンソールを使用して、Amazon SNSトピックの作成時または既存トピックの編集時にKMS CMKで暗号化を有効にします。

前提:

  • SNSトピックを暗号化するためのAWS KMS カスタマー管理キー (CMK) が既に存在すること。
    • CMKのキーポリシーには、SNSサービス (sns.amazonaws.com) がキーを使用するための適切な権限(kms:GenerateDataKey, kms:Decrypt, kms:Encrypt など)が付与されている必要があります。
  1. Amazon SNSサービスへ移動: AWSコンソールにログインし、Amazon Simple Notification Service (SNS) サービスを開きます。
  2. トピックの作成または既存トピックの選択:
    • 新規作成の場合: 左側のナビゲーションペインで「トピック」を選択し、「トピックを作成」をクリックします。
    • 既存トピックの場合: 左側のナビゲーションペインで「トピック」を選択し、暗号化したいトピック名をクリックします。
  3. トピックの構成(新規作成の場合)/編集(既存トピックの場合):
    • 新規作成の場合:
      • タイプ」を選択します(例: スタンダード)。
      • 名前」を入力します。
    • 既存トピックの場合:
      • トピックの詳細ページで「編集」をクリックします。
  4. 暗号化設定:暗号化」セクションまでスクロールします
    • サーバー側の暗号化 (SSE)」を有効にします。
    • 暗号化キー」のドロップダウンメニューから、「カスタマー管理キー (CMK)」を選択します。
    • 表示されるドロップダウンリストから、使用したい既存のKMS CMKを選択します。
      • もし適切なCMKがリストに表示されない場合は、正しいIAM権限があるか、またはCMKが作成されているか確認してください。
  1. 変更を保存: 設定内容を確認し、「トピックを作成」(新規の場合)または「変更を保存」(既存の場合)をクリックします。

これで、Amazon SNSトピックに発行されるメッセージは、指定したKMS CMKを使用して保管時に暗号化されるようになります。

Terraformでの修復手順

TerraformでAmazon SNSトピックの暗号化をKMSカスタマー管理キー(CMK)で有効にするには、aws_sns_topic リソースの kms_master_key_id パラメータを設定します。

# (例) SNSトピック暗号化用のKMSカスタマー管理キー (CMK)
resource "aws_kms_key" "sns_cmk" {
  description             = "KMS key for SNS topic encryption"
  deletion_window_in_days = 10 # キーの削除をスケジュールするまでの日数
  enable_key_rotation     = true # キーの自動ローテーションを有効にする
  policy = jsonencode({
    Version = "2012-10-17",
    Statement = [
      {
        Sid    = "Enable IAM User Permissions",
        Effect = "Allow",
        Principal = {
          AWS = "arn:aws:iam::${data.aws_caller_identity.current.account_id}:root" # アカウントルートユーザーにアクセス許可
        },
        Action   = "kms:*",
        Resource = "*"
      },
      {
        Sid = "Allow SNS Service to use the key"
        Effect = "Allow",
        Principal = {
          Service = "sns.amazonaws.com"
        },
        Action = [
          "kms:GenerateDataKey",
          "kms:Decrypt",
          "kms:Encrypt"
        ],
        Resource = "*"
      }
    ]
  })
  tags = {
    Name = "SNS_CMK"
  }
}

# Amazon SNSトピック
resource "aws_sns_topic" "my_encrypted_sns_topic" {
  name = "my-secure-sns-topic"
  
  # 暗号化を有効にし、KMS CMKを指定
  kms_master_key_id = aws_kms_key.sns_cmk.arn

  tags = {
    Name        = "MySecureSNSTopic"
    Environment = "Production"
  }
}

# (例) SNSトピックの購読者 (SQSキュー)
resource "aws_sqs_queue" "my_sqs_queue" {
  name                        = "my-sqs-queue-for-sns"
  sqs_managed_sse_enabled = true # SQSキューも暗号化を推奨
  tags = {
    Name = "MySQSQueueForSNS"
  }
}

resource "aws_sns_topic_subscription" "my_sns_sqs_subscription" {
  topic_arn = aws_sns_topic.my_encrypted_sns_topic.arn
  protocol  = "sqs"
  endpoint  = aws_sqs_queue.my_sqs_queue.arn
  # SQSキューへのアクセス許可
  raw_message_delivery = false # raw_message_deliveryをfalseにするとSNSがKMSでメッセージを復号化してSQSに渡す
}

# SQSキューポリシー (SNSからのメッセージ受信を許可)
resource "aws_sqs_queue_policy" "my_sqs_queue_policy" {
  queue_url = aws_sqs_queue.my_sqs_queue.id
  policy = jsonencode({
    Version = "2012-10-17",
    Statement = [
      {
        Effect = "Allow",
        Principal = {
          Service = "sns.amazonaws.com"
        },
        Action = "sqs:SendMessage",
        Resource = aws_sqs_queue.my_sqs_queue.arn,
        Condition = {
          ArnEquals = {
            "aws:SourceArn" = aws_sns_topic.my_encrypted_sns_topic.arn
          }
        }
      }
    ]
  })
}
# 現在のAWSアカウント情報を取得
data "aws_caller_identity" "current" {}

上記のTerraformコードでは、aws_sns_topic リソースの kms_master_key_id パラメータを設定することで、SNSトピックをKMS CMKで暗号化しています。

  • aws_kms_key.sns_cmk: SNSトピックの暗号化に使用するKMSカスタマー管理キー (CMK) を作成します。このキーのポリシーには、SNSサービスプリンシパル (sns.amazonaws.com) がキーを使用するための適切な権限が必要です。
  • aws_sns_topic.my_encrypted_sns_topic.kms_master_key_id: ここに作成したKMS CMKのARNを指定します。

my-secure-sns-topic などのプレースホルダーは、実際の環境に合わせて修正してください。SQSキューなどの購読者も、自身の保管時の暗号化を有効にすることを検討してください(上記のSQSキューの例では sqs_managed_sse_enabled = true を設定しています)。

最後に

この記事では、Amazon SNSトピックのデータをKMSカスタマー管理キー(CMK)以上で暗号化することの重要性について解説しました。この設定は、メッセージングパイプラインにおける機密情報を保護し、厳格なセキュリティおよびコンプライアンス要件を満たすために不可欠です。CMKやCloudHSMキーを使用することで、鍵管理の制御を強化し、機密データの露出リスクを大幅に軽減できます。 貴社のSNSトピックは、カスタマー管理キー以上のレベルで暗号化されていますか?この機会にぜひ設定を確認・強化してみてください。 こちらの内容の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。運用が非常にラクに出来る製品になっていますのでぜひ興味がある方はお問い合わせお待ちしております。

最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

この記事をシェアする

クラウドセキュリティ対策実践集一覧へ戻る

貴社の利用状況に合わせた見積もりを作成します。

見積もりを希望する
資料ダウンロード

料金プランを詳しく見る