Orca Security で手動で変更したスコアについて

こんにちは、Orca Security 担当の尾谷です。

フォージビジョンエンジニアブログでは、これまで Orca Security のアラート機能についての記事をブログでまとめてきました。
今日は実際に検知したアラートを手動でスコアを変更した際のアラートの挙動について検証してみたいと思います。

AWS Cloud9 を利用する際に作成したロール

以下は僕の検証環境で Orca Security が検出したアラートです。
アラートの内容は「S3 バケットが暗号化されたアップロードを強制していない」という Informational アラートで、

対象の S3 バケットは 2022 年 1 月に ALB のアクセスログを保存するために利用し、そのまま放置してしまっていました。

不要なリソースを見つけてくれた Orca に感謝をしつつ、削除する前に検証に使ってみようと思います。

まずはスコアの手動変更から試してみます。 Orca Security のスコアは 2.4 Informational ですが、意図的に 10.0 に変更してみます。

おぉっと。エマージェンシー！会社の Slack に通知が飛んでしまいましたので、慌てて作業起因である旨を補足しました。

推奨項目に沿って、対処します。

RECOMMENDED REMEDIATION に沿って、バケットポリシーを変更しました。

[Scan now] ボタンをクリックして再スキャンしてみます。

スキャンが始まりました！果たして点数は下がるのか。

スキャンは完了しましたが、スコアは 10 のままでした。

他のエンジニアが不安になるので、アラートスコアを手動で 2.9 に戻しました。

SHOW SCORE BREAKDOWN をクリックして展開したところ、User adjusted the Alert score という形でコメントが入っていました。

後日、Orca Security 社にも確認しましたが、User が変更したスコアは固定になるそうです。勉強になりました。

併せてバケットも削除しました。ありがとうございました。