Security Hub 標準 - AWS Control Tower

Security Hub 標準

AWS Control Tower は AWS Security Hub と統合されており、AWS 環境のモニタリングに役立つ検出コントロールを提供します。統合は、サービスマネージド標準: AWS Control Tower と呼ばれるSecurity Hub 標準によって実現されます。

サービスマネージド標準: AWS Control Tower は、AWS 基本的なセキュリティのベストプラクティス (FSBP) 標準の一部であるコントロールのサブセットをサポートします。この標準の詳細と使用可能なコントロールを確認するには、「サービスマネージド標準: AWS Control Tower」を参照してください。Security Hub 標準に関する一般的な情報については、『AWS Security Hub ユーザーガイド』の「Security Hub のセキュリティ標準とコントロール」を参照してください。

この標準は、AWS Control Tower コンソールで標準を作成した AWS Control Tower のお客様のみご利用いただけます。AWS Control Tower コンソールで最初の Security Hub コントロールを有効にすると、AWS Control Tower が標準を作成します。最初のコントロールを有効化する際、Security Hub がまだ有効化されていない場合、AWS Control Tower は Security Hub も有効にします。

この標準を作成すると、Security Hub 検出コントロールと他の AWS Contorol Tower コントロールを AWS Control Tower コンソールと Security Hub で確認できます。

コントロールの動作
  • AWS Control Tower でこの標準を作成しても、コントロールは自動的に有効になりません。

  • Security Hub コントロールは OU レベルでのみ有効であり、すべての AWS Control Tower OU (すべてで有効になっていない場合) や、個々のアカウントでは有効になりません。

  • Security Hub が新しいコントロールを追加しても、その新しいコントロールは Security Hub サービスマネージドスタンダード: AWS Control Tower に自動的に追加されるわけではありません。

サービスマネージドスタンダードのコントロールの有効化または削除

ドリフトを回避するには、必ず AWS Control Tower サービスを使用して、コンソールで、または AWS Control Tower API の EnableControl および DisableControl を呼び出して、サービスマネージドスタンダードのコントロールの有効化と削除を行ってください。AWS Control Tower でコントロールの有効化ステータスを変更すると、その変更は Security Hub にも反映されます。

注記

Security Hub コンソールを使用してサービスマネージドスタンダードコントロールを非アクティブ化すると、AWS Control Tower メンバーアカウントはコントロールドリフト状態になります。この状況では、AWS Control Tower は、非アクティブ化したコントロールに関する Security Hub の検出結果を受信しません。AWS Control Tower が登録済みの組織単位とメンバーアカウントにコントロールを正常に適用するには、このドリフトを解決する必要があります。

標準のすべてのコントロールを無効にすることで、この標準を AWS Control Tower コンソールで削除できます。これにより、AWS Control Tower のすべてのマネージドアカウントと管理対象リージョンの標準が削除されます。標準を削除しても、アカウントの Security Hub は無効になりません。

廃止されたコントロール

サーバー側の暗号化が有効になっている [SH.S3.4] S3 バケットというコントロールは、2023 年 7 月 18 日に廃止されます。これは、2023 年 8 月 18 日にコントロールライブラリから削除されました。詳細については、「AWS Control Tower で 2 つのコントロールが廃止されます」を参照してください。

Security Hub のスコアと検出結果

Security Hub は、コントロールのステータスに基づいて、サービスマネージド標準: AWS Control Tower のセキュリティスコアを計算します。このセキュリティスコアとコントロールの検出結果は Security Hub でのみ使用できます。これらのアイテムは、AWS Control Tower では使用できません。

注記

サービスマネージド標準: AWS Control Tower を作成し、そのコントロールを有効にすると、Security Hub が他の有効な Security Hub 標準のコントロールと同じ基盤の AWS Config サービスリンクルールを使用するコントロールの検出結果を生成するまでに、最大 18 時間かかる場合があります。詳細については、『AWS Security Hub ユーザーガイド』の「セキュリティチェックの実行スケジュール」を参照してください。

Security Hub のコントロールドリフトレポート

AWS Security Hub サービスマネージド標準の一部であるコントロールのドリフトを報告すると、AWS Control Tower は Security Hub から毎日ステータス更新を受け取ります。更新が受信されない場合、AWS Control Tower はドリフトが発生したかどうかを確認します。発生していた場合、AWS Control Tower はドリフトを報告します。コントロールのドリフトが確認された場合、AWS Control Tower は Amazon SNS 通知を AWS Control Tower の security-aggregate-notification チャネルに送信します。Security Hub のコントロールドリフトの影響を受ける特定のアカウントに関する情報を受け取るには、この SNS 通知を購読する必要があります。AWS Control Tower の Security Hub コントロールドリフトの詳細については、「Security Hub コントロールドリフト」を参照してください。

コントロールはすべての管理対象リージョンで有効ですが、AWS Control Tower は AWS Security Hub 検出結果イベントを AWS Control Tower のホームリージョンのみに送信します。

ドリフトの修復

ドリフトが報告されたら、AWS Control Tower コンソールの [組織] ページで [OU を再登録] を選択するか、コンソールで、または AWS Control Tower API を使用して、ドリフト状態のコントロールを非アクティブ化してから再度アクティブ化することで、状況を改善できます。

注記

セキュリティハブの一部のコントロールは、Security Hub サービスマネージドスタンダード: AWS Control Tower から有効化および管理できます。

サポートされていないリージョン

AWS Control Tower のプロアクティブコントロールの中には、AWS Control Tower が利用できる特定のAWS リージョンでは動作しないものがあることを知っておくことが重要です。これは、それらのリージョンが必要な基本機能をサポートしていないためです。そのため、AWS Control Tower を通じてプロアクティブコントロールをデプロイしても、そのコントロールは AWS Control Tower で管理しているすべてのリージョンで動作しない可能性があります。特定のリージョンにデプロイできない Security Hub コントロールの詳細については、Security Hub コントロールのリファレンスドキュメントを参照してください。

次の AWS リージョンは、Security Hub サービスマネージド標準: AWS Control Tower の一部であるコントロールをサポートしていません
  • アジアパシフィック (香港) リージョン、ap-east-1

  • アジアパシフィック (ジャカルタ) リージョン、ap-southeast-3

  • アジアパシフィック (大阪) リージョン、ap-northeast-3

  • 欧州 (ミラノ) リージョン、eu-south-1

  • アフリカ (ケープタウン) リージョン、af-south-1

  • 中東 (バーレーン) リージョン、me-south-1

  • イスラエル (テルアビブ)、il-central-1

  • 中東 (UAE) リージョン、me-central-1

  • 欧州 (スペイン) リージョン、eu-south-2

  • アジアパシフィック (ハイデラバード) リージョン、ap-south-2

  • 欧州 (チューリッヒ) リージョン、eu-central-2

  • アジアパシフィック (メルボルン) リージョン (ap-southeast-4)

各コントロールのリージョンは、AWS Control Tower コンソールで表示できます。

特定の AWS Security Hub サービスマネージドスタンダード: AWS Control Tower コントロールは、特定のリージョンをサポートしていません
  • SH.DocumentDB.3—eu-north-1 us-west-1

  • SH.DynamoDB.3—ap-northeast-1, ca-central-1, eu-north-1

  • SH.EC2.23—ap-south-1

  • SH.EKS.1—us-west-1

  • SH.ElastiCache.3—ap-northeast-2, ap-south-1, ca-central-1, eu-north-1, eu-west-2, eu-west-3, us-east-1

  • SH.ElastiCache.4—ap-northeast-2, ap-south-1, ca-central-1, eu-north-1, eu-west-2, eu-west-3, us-east-1

  • SH.ElastiCache.5—ap-northeast-2, ap-south-1, ca-central-1, eu-north-1, eu-west-2, eu-west-3, us-east-1

  • SH.ElastiCache.6—ap-northeast-2, ap-south-1, ca-central-1, eu-north-1, eu-west-2, eu-west-3, us-east-1

  • SH.RDS.12—sa-east-1

  • SH.RDS.15—sa-east-1