前提条件 Security Hub の調査結果を表示する Security Hub の調査結果を更新する Trusted Advisor から Security Hub を無効にするトラブルシューティング

AWS Security Hub のコントロールを AWS Trusted Advisor で表示する

AWS アカウントの AWS Security Hub を有効にした後、Trusted Advisor コンソールでセキュリティコントロールと調査結果を確認できます。Trusted Advisor チェックを使用するのと同じ方法で、Security Hub コントロールを使用して、アカウントのセキュリティの脆弱性を特定できます。チェック状況や影響を受けるリソースのリストを表示し、Security Hub のレコメンデーションに従ってセキュリティ問題を対処します。この機能を使用して、1 つの便利な場所で Trusted Advisor や Security Hub からセキュリティレコメンデーションをみつかることができます。

メモ

Trusted Advisor から、AWS 基礎セキュリティのベストプラクティスセキュリティスタンダードで、Category: Recover > Resilience を除くすべてのコントロールを表示できます。サポートされるコントロールのリストについては、AWS Security Hub ユーザーガイドの「AWS Foundational Security Best Practices controls」を参照してください。

Security Hub のカテゴリの詳細については、「Control categories」を参照してください。
現在、Security Hub が新しいコントロールを AWS 基本的なセキュリティベストプラクティスのセキュリティ標準に追加する場合、Trusted Advisor でそれらを表示する前に 2 ～ 4 週間遅れる場合があります。この期間は、ベストエフォートであり、保証されません。

前提条件

Security Hub と Trusted Advisor の統合を有効にするには、次の要件を満たす必要があります。

この機能を使用するには、ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートプランが必要です。サポートプランは、AWS Support センターまたはサポートプランページで確認できます。詳細については、「AWS Support プランの比較」を参照してください。
Security Hub でコントロールが必要な AWS リージョンは、AWS Config でリソースレコードを有効にする必要があります。詳細については、「AWS Config の有効化と設定」を参照してください。
Security Hub を有効にして、[AWS Foundational Security Best Practices v1.0.0] (基礎セキュリティのベストプラクティス v1.0.0) セキュリティスタンダードを選択する必要があります。まだ設定していない場合は、AWS Security Hub ユーザーガイドの「AWS Security Hub のセットアップ」を参照してください。

注記

前提条件をすでに満たしている場合は、Security Hub の調査結果を表示するに進んでください。

AWS Organizations アカウントについて

管理者アカウントの前提条件をすでに満たしている場合、この統合は組織内すべてのメンバーアカウントに対して自動的に有効になります。この機能を有効にするために、個々のメンバーアカウントから AWS Support へのお問い合わせは不要です。ただし、組織のメンバーアカウントは、Trusted Advisor で調査結果を確認したい場合は、Security Hub を有効にする必要があります。

特定のメンバーアカウントに対してこの統合を無効にする場合は、AWS Organizations アカウントのこの機能を無効にするを参照してください。

Security Hub の調査結果を表示する

アカウントの Security Hub を有効にした後、Trusted Advisor コンソールの[Security] (セキュリティ) ページに、Security Hub の調査結果が表示されるまで最大 24 時間かかる場合があります。

Trusted Advisor で Security Hub の調査結果を表示するには

Trusted Advisor コンソールに移動し、[Security] (セキュリティ) カテゴリを選択します。
[Search by keyword] (キーワードによる検索) フィールドに、コントロール名または説明をに入力します。

ヒント
[Source] (ソース) は、[AWS Security Hub] を選択して、Security Hub のコントロールをフィルターできます。
Security Hub コントロール名を選択すると、次の情報が表示されます。
- [Description] (説明) — コントロールがアカウントに対してセキュリティの脆弱性をチェックする方法を説明します。
- [Source] (ソース) — AWS Trusted Advisor または AWS Security Hub からのチェックか確認します。Security Hub コントロールの場合、コントロール ID を確認できます。
- [Alert Criteria] (アラート基準) — コントロールのステータスを確認します。例えば、Security Hub が重要な問題を検出した場合、ステータスは赤: [Critical] (重大) または [High] (高) と表示される場合があります。
- [Recommended Action] (推奨されるアクション) — Security Hub のドキュメントリンクを活用して、問題解決の推奨手順を確認します。
- [Security Hub resources] (Security Hub リソース) — Security Hub が問題を検出したリソースは、アカウントで確認できます。

メモ

調査結果からリソースを除外するには、Security Hub を使用する必要があります。現在、Trusted Advisor コンソールを使用して、Security Hub のコントロールからアイテムを除外することはできません。詳細については、「Setting the workflow status for findings」を参照してください。
組織ビュー機能は、Security Hub との統合をサポートします。組織全体の Security Hub コントロールの調査結果を表示した後、レポートを作成しダウンロードできます。詳細については、「AWS Trusted Advisor の組織ビュー」を参照してください。

例:IAM ユーザーアクセスキーの Security Hub コントロールは存在してはいけない

次の例は、Trusted Advisor コンソールの Security Hub コントロールの調査結果です。

IAM ルートアクセス問題に対して、Security Hub のコントロールのスクリーンショットを撮ります。

Security Hub の調査結果を更新する

セキュリティスタンダードを有効にした後、Security Hub がリソースの調査結果を取得するまでに最大 2 時間かかる場合があります。その後、データが Trusted Advisor コンソールに表示されるまで、最大 24 時間かかる場合があります。[AWS Foundational Security Best Practices v1.0.0] (基礎セキュリティのベストプラクティス v1.0.0) セキュリティスタンダードを最近有効にした場合は、後で Trusted Advisor コンソールを再度チェックしてください。

注記

各 Security Hub の更新スケジュールは、定期的または変更がトリガーとなり設定されます。現在、Trusted Advisor コンソールや AWS Support APIを使用して Security Hub のコントロールを更新することはできません。詳細については、「Schedule for running security checks」を参照してください。
調査結果からリソースを除外するには、Security Hub を使用する必要があります。現在、Trusted Advisor コンソールを使用して、Security Hub のコントロールからアイテムを除外することはできません。詳細については、「Setting the workflow status for findings」を参照してください。

Trusted Advisor から Security Hub を無効にする

Security Hub 情報を Trusted Advisor コンソールに表示したくない場合は、この手順を実行してください。この手順では、Security Hub と Trusted Advisor の統合のみ無効にします。Security Hub の設定には影響しません。引き続き、Security Hub のコンソールを使用して、セキュリティコントロール、リソース、およびレコメンデーションを表示できます。

Security Hub の統合を無効にするには

AWS Support にお問い合わせて、Security Hub と Trusted Advisor の統合を無効にするようにリクエストします。

AWS Support がこの機能を無効にすると、Security Hub は Trusted Advisor にデータを送信しなくなります。Security Hub のデータは Trusted Advisor から削除されます。
この統合を再度有効にするには、AWS Support にお問い合わせください。

AWS Organizations アカウントのこの機能を無効にする

管理アカウントに対して既に前述の手順を完了している場合、組織内のすべてのメンバーアカウントから Security Hub の統合が自動的に削除されます。組織内の個々のメンバーアカウントは、個別に AWS Support へお問い合わせ必要はありません。

組織のメンバーアカウントの場合は、自分のアカウントのみこの機能を削除するように AWS Support にお問い合わせます。

トラブルシューティング

この統合に問題がある場合は、次のトラブルシューティング情報を参照してください。

Security Hub の調査結果が Trusted Advisor コンソールに表示されない

次のステップを完了していることを確認します。

ビジネスプラン、エンタープライズ On-Ramp、エンタープライズサポートプランを利用している。
Security Hub と同じリージョン内の AWS Config でリソースレコードを有効にしている。
Security Hub を有効にして、[AWS Foundational Security Best Practices v1.0.0] (基礎セキュリティのベストプラクティス v1.0.0) セキュリティスタンダードを選択した。
Security Hub からの新しいコントロールが、2〜4 週間以内に Trusted Advisor でチェックインとして追加されます。注釈を参照してください。

詳細については、「前提条件」を参照してください。

Security Hub と AWS Config を正しく設定したが、検出結果がまだ確認できない。

Security Hub がリソースの結果を取得するまでに、最大 2 時間かかることがあります。データが Trusted Advisor コンソールに表示されるまでに最大 24 時間かかる場合があります。後で Trusted Advisor コンソールをもう一度チェックしてください。

メモ

[Recover] (復元) > [Resilience] (耐障害性)のカテゴリ を含むコントロールを除いて、AWS 基礎セキュリティのベストプラクティスセキュリティスタンダードのコントロールに関する調査結果のみ Trusted Advisor に表示されます。
Security Hub または Security Hub にサービス上の問題がある場合、調査結果が Trusted Advisor に表示されるまでに最大 24 時間かかる場合があります。後で Trusted Advisor コンソールをもう一度チェックしてください。

特定の Security Hub コントロールを無効にしたい

Security Hub は、データを Trusted Advisor に自動的に送信します。Security Hub コントロールを無効にするか、そのコントロールのリソースが存在しなくなった場合、調査結果は Trusted Advisor に表示されません。

Security Hub のコンソールにサインインして、コントロールが有効か無効か確認できます。

Security Hub コントロールを無効にする、または AWS Foundation Security Best Practices セキュリティ標準に対するすべてのコントロールを無効にすると、調査結果はそれから 5 日後までにアーカイブされます。この 5 日間のアーカイブ期間は概算かつベストエフォートにとどまるものであり、保証されるものではありません。検出結果がアーカイブされると、Trusted Advisor から削除されます。

詳細については、次のトピックを参照してください。

除外された Security Hub リソースを検索したい

Trusted Advisor コンソールで、Security Hub コントロール名を選択してから、[Excluded items] (非表示の項目) オプションを選択します。このオプションは、Security Hub で抑制されているすべてのリソースを表示します。

リソースのワークフローステータスが SUPPRESSED に設定されている場合、そのリソースは Trusted Advisor では除外項目となります。Trusted Advisor コンソールから Security Hub のリソースを抑制することはできません。抑制する場合は、Security Hub コンソールを使用します。詳細については、「Setting the workflow status for findings」を参照してください。

AWS 組織に属するメンバーアカウントに対して、この機能を有効または無効にしたい

デフォルトでは、メンバーアカウントは AWS Organizations の管理アカウントから機能を引き継ぎます。管理アカウントでこの機能を有効にした場合、組織内のすべてのアカウントにもこの機能が備わります。メンバーアカウントに対して特定の変更を加えたい場合は、AWS Support にお問い合わせ必要があります。

Security Hub チェックで同じ影響を受けるリソースに関して複数の AWS リージョンが表示されます

IAM や Amazon CloudFront など、一部の AWS のサービスはグローバルであり、リージョンに固有ではありません。デフォルトでは、Amazon S3 バケットなどのグローバルリソースは、米国東部 (バージニア北部) リージョンに表示されます。

グローバルサービスのリソースを評価する Security Hub チェックでは、影響を受けるリソースに関して複数の項目が表示される場合があります。例えば、アカウントでこの機能がアクティブ化されていないことが Hardware MFA should be enabled for the root user チェックで確認された場合、同じリソースのテーブルに複数のリージョンが表示されます。

Security Hub および AWS Config を設定して、同じリソースについて複数のリージョンが表示されないようにできます。詳細については、「AWS Foundational Best Practices controls that you might want to disable」(無効にする可能性のあるの基本的なベストプラクティスのコントロール) を参照してください。

リージョンで Security Hub または AWS Config をオフにしました

AWS Config を使用してリソースの記録を停止するか、AWS リージョンで Security Hub を無効にすると、Trusted Advisor はそのリージョンのコントロールのデータを受信しなくなります。Trusted Advisor は Security Hub の調査結果を 7～9 日以内に削除します。この期間は、ベストエフォートであり、保証されません。詳細については、「Security Hub を無効にする」を参照してください。

アカウントでこの機能を無効にするには、「Trusted Advisor から Security Hub を無効にする」を参照してください。

コントロールが Security Hub にアーカイブされているが、Trusted Advisor にはまだ調査結果が表示されている

調査結果の RecordState ステータスが ARCHIVED に変わると、Trusted Advisor はその Security Hub コントロールの調査結果をアカウントから削除します。Trusted Advisor の調査結果が削除されるまで、最大 7～9 日間は表示される場合があります。この期間は、ベストエフォートであり、保証されません。

Security Hub の調査結果がまだ表示されない。

この機能の問題が解決しない場合は、AWS Support センターで技術サポートを作成できます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Config によって提供される Trusted Advisor チェックを表示

チェック AWS Compute Optimizer に Trusted Advisor オプトインする