発生した事象
CloudFrontのマルチテナントディストリビューションを使用して3つのテナントを運用していたところ、AWS Security Hubのコントロール
「CloudFront.7 CloudFront distributions should use custom SSL/TLS certificates」
がFailedと検出される事象が発生しました。
各テナントには個別のACM証明書が適切に設定されていたのですが、なぜこのコントロールが失敗するのか調査を行いました。
原因
調査の結果、以下のことが判明しました:
- 各テナントには個別のACM証明書が設定されている
- 親となるマルチテナントディストリビューションにはACM証明書が設定されていない
- Security Hubのコントロールは親ディストリビューションの証明書状態を評価している
今回の構成では、親ディストリビューションにACM証明書を設定する必要がなかったため、この検出結果の妥当性について判断に迷い、AWSサポートに問い合わせを行いました。
AWSサポートからの回答
AWSサポートから以下の回答を得ました(抜粋):
CloudFront ディストリビューションで、デフォルト SSL/TLS 証明書が使用されている場合に、このコントロールは失敗します。
つまり、お客様のように各テナントではカスタム SSL/TLS 証明書が使用される場合も、ディストリビューションで、デフォルトの SSL/TLS 証明書が使用されておりましたら FAILED と評価されます。
こちらは本コントロールが現時点ではマルチテナントディストリビューションを考慮できていないためでございますため、お客様の構成(各テナントすべてにACMの証明書をアタッチ)自体は特に問題はございません。
検出結果についてはご静観いただくか、またはワークフローのステータスを抑制済みとしていただく、もしくはコントロール自体を無効化いただくことをご検討いただければと存じます。
結論と対処法
2025年7月現在、CloudFrontのマルチテナントディストリビューションは比較的新しい機能であり、Security Hubのコントロールがまだこの構成を適切に考慮できていないことが確認されました。
各テナントに適切にACM証明書が設定されている場合は、セキュリティ上の問題はないため、以下のいずれかの対処を検討することが推奨されます。
- コントロールを無効化する(今回採用した方法)
- ワークフローのステータスを「抑制済み」に設定する
- 検出結果を静観し、将来的なSecurity Hubの更新を待つ
この問題は、マルチテナントディストリビューションを利用している場合に共通して発生する可能性があるため、同様の構成を採用している方の参考になれば幸いです。