Security Hub の中央設定について - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub の中央設定について

中央設定は、複数の AWS アカウント および AWS リージョンにわたって Security Hub を設定し、管理する際に役立つ Security Hub の機能です。中央設定を使用するには、まず Security Hub と を統合する必要があります AWS Organizations。組織を作成し、組織に対して委任された Security Hub 管理者アカウントを指定することで、サービスを統合できます。

委任された Security Hub 管理者アカウントから、Security Hub サービス、セキュリティ標準、およびセキュリティコントロールを組織アカウントとリージョン間の組織単位 (OUs) で設定する方法を指定できます。これらの設定は、ホームリージョンと呼ばれる 1 つのプライマリリージョンから、わずか数ステップで設定できます。中央設定を使用しない場合は、各アカウントとリージョンで個別に Security Hub を設定する必要があります。

中央設定を使用する場合、委任管理者は設定するアカウントと を選択できますOUs。委任された管理者がメンバーアカウントまたは OU をセルフマネージド型に指定した場合、メンバーは各リージョンで独自の設定を個別に構成できます。委任された管理者がメンバーアカウントまたは OU を一元管理型に指定した場合、委任された管理者のみが複数のリージョンにわたってメンバーアカウントまたは OU を設定できます。組織OUs内のすべてのアカウントと を、一元管理型、すべてのセルフマネージド型、またはその両方の組み合わせとして指定できます。

一元管理型アカウントを設定するには、委任された管理者が Security Hub の設定ポリシーを使用します。設定ポリシーにより、委任された管理者は Security Hub を有効にするか無効にするか、またどの標準とコントロールを有効または無効にするかを指定できます。またこのポリシーを使用して、特定のコントロールのパラメータをカスタマイズすることもできます。

設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。委任された管理者は、中央設定の使用を開始する前に、組織のホームリージョンとリンクされたリージョンを指定します。リンクされたリージョンの指定はオプションです。委任管理者は、組織全体に対して 1 つの設定ポリシーを作成するか、複数の設定ポリシーを作成して、異なるアカウントと の変数設定を設定できますOUs。

このセクションでは、中央設定の概要について説明します。

中央設定を使用する利点

中央設定には、次のような利点があります。

Security Hub サービスと機能の設定を簡素化する

中央設定を使用する場合、Security Hub によって組織のセキュリティ上のベストプラクティスを設定するプロセスに誘導されます。また、結果の設定ポリシーを指定されたアカウントにデプロイし、OUs自動的にデプロイします。新しいセキュリティコントロールを自動的に有効にするなど、Security Hub の既存の設定がある場合は、それらの設定を設定ポリシーの開始点として使用できます。さらに、Security Hub コンソールの設定ページには、設定ポリシーと、各ポリシーOUsを使用するアカウントとアカウントの概要がリアルタイムで表示されます。

複数のアカウントやリージョンにまたがる設定

中央設定を使用すると、Security Hub を複数のアカウントとリージョンにまたがって設定を行うことができます。これにより、組織の各部署で一貫した設定と適切なセキュリティ対策が確保されます。

異なるアカウントおよび で異なる設定に対応する OUs

中央設定では、組織のアカウントと をさまざまなOUs方法で設定できます。例えば、テストアカウントと本稼働アカウントでは異なる設定が必要になる場合があります。組織に追加する際に新しいアカウントを対象とする設定ポリシーを作成することもできます。

設定のずれを防ぐ

設定のずれは、サービスや機能に対してユーザーが行った変更が、委任された管理者が行った選択と競合する場合に発生します。中央設定によりこのずれを防止します。アカウントまたは OU を一元管理型として指定する場合に設定できるのは、組織の委任管理者のみです。特定のアカウントや OU で独自の設定を行う場合は、セルフマネージド型に指定できます。

中央設定を使用するタイミング

中央設定は、複数の Security Hub アカウントを含む AWS 環境に最も有益です。複数のアカウントに対して Security Hub を一元管理できるように設計されています。

中央設定を使用して、Security Hub サービス、セキュリティ標準、およびセキュリティコントロールを設定できます。また、この設定を使用して特定のコントロールのパラメータをカスタマイズすることもできます。標準とコントロールについては、「Security Hub の標準とコントロールによるセキュリティ体制のモニタリング」を参照してください。

中央設定に関する用語と概念

以下の主要な用語と概念を理解しておくと、Security Hub の中央設定を使用する際に役立ちます。

中央設定

組織に対して委任された Security Hub 管理者アカウントが、複数のアカウントとリージョンにわたって Security Hub サービス、セキュリティ標準、およびセキュリティコントロールを設定する際に役立つ、Security Hub の機能。これらの設定を行うには、委任された管理者が組織内の一元管理型アカウントに対して Security Hub 設定ポリシーを作成し、管理します。セルフマネージド型アカウントは、リージョンごとに独自の設定を個別に行うことができます。中央設定を使用するには、Security Hub と を統合する必要があります AWS Organizations。

ホームリージョン

AWS リージョン 委任管理者が設定ポリシーを作成して管理することで、Security Hub を一元的に設定する 。設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。

ホームリージョンは、リンクされたリージョンから検出結果、インサイト、その他のデータを受け取る Security Hub 集約リージョンとしても機能します。

2019 年 3 月 20 日以降に AWS が導入したリージョンは、オプトインリージョンと呼ばれます。オプトインリージョンをホームリージョンにすることはできませんが、リンクされたリージョンにすることはできます。オプトインリージョンのリストについては、「AWS アカウント管理リファレンスガイド」の「Considerations before enabling and disabling Regions」を参照してください。

リンクされたリージョン

ホームリージョンから設定 AWS リージョン 可能な 。設定ポリシーは、ホームリージョンの委任管理者によって作成されます。ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。リンクされたリージョンの指定はオプションです。

また、リンクされたリージョンによって、検出結果、インサイト、その他のデータがホームリージョンに送信されます。

2019 年 3 月 20 日以降に AWS が導入したリージョンは、オプトインリージョンと呼ばれます。設定ポリシーを適用する前に、そのようなリージョンをアカウントで有効にする必要があります。Organizations 管理アカウントでは、メンバーアカウントのオプトインリージョンを有効にできます。詳細については、「 AWS リージョン アカウント管理リファレンスガイド」の「アカウントで使用できる を指定する」を参照してください。 AWS

[Target] (ターゲット)

AWS アカウント、組織単位 (OU)、または組織ルート。

Security Hub の設定ポリシー

委任された管理者が一元管理されたターゲット用に設定できる Security Hub 設定のコレクション。これには、以下が含まれます。

  • Security Hub を有効または無効にするかどうか。

  • 1 つ以上のセキュリティ標準を有効にするかどうか。

  • 有効になっている標準でどのセキュリティコントロールを有効にするか。委任された管理者は、有効にする必要のある特定のコントロールのリストを指定することでこれを実行できます。Security Hub によって、リリース時の新しいコントロールを含め、他のすべてのコントロールが無効になります。または、委任された管理者が無効にする必要のある特定のコントロールのリストを指定し、Security Hub でリリース時の新しいコントロールを含め、他のすべてのコントロールを有効にすることもできます。

  • オプションで、有効な複数の標準で有効になっているコントロールを選択してパラメータをカスタマイズできます。

設定ポリシーは、少なくとも 1 つのアカウント、組織単位 (OU)、またはルートに関連付けられると、ホームリージョンとリンクされたすべてのリージョンで有効になります。

Security Hub コンソールでは、委任された管理者が Security Hub 推奨設定ポリシーを選択するか、カスタム設定ポリシーを作成できます。Security Hub APIと では AWS CLI、委任管理者はカスタム設定ポリシーのみを作成できます。委任された管理者は、最大 20 のカスタム設定ポリシーを作成できます。

推奨される設定ポリシーでは、Security Hub、 AWS Foundational Security Best Practices (FSBP) 標準、および既存のコントロールと新しいFSBPコントロールがすべて有効になっています。パラメータを受け入れるコントロールは、デフォルト値を使用します。推奨される設定ポリシーは、組織全体に適用されます。

異なる設定を組織に適用する、または異なる設定ポリシーを異なるアカウントと に適用するにはOUs、カスタム設定ポリシーを作成します。

ローカル設定

Security Hub と を統合した後の、組織のデフォルトの設定タイプ AWS Organizations。ローカル設定では、委任された管理者が、現在のリージョンの新しい組織アカウントで Security Hub とデフォルトのセキュリティ標準を自動的に有効にするよう選択できます。委任された管理者がデフォルトの標準を自動的に有効にすると、これらの標準に含まれるすべてのコントロールも、新しい組織アカウントのデフォルトパラメータを使用して自動的に有効になります。これらの設定は既存のアカウントには適用されないため、アカウントを組織に追加した後に設定のずれが生じる可能性があります。デフォルトの標準に含まれる特定のコントロールの無効化、および追加の標準とコントロールの設定は、アカウントやリージョンごとに個別に行う必要があります。

ローカル設定では、設定ポリシーの使用がサポートされていません。設定ポリシーを使用するには、中央設定に切り替える必要があります。

手動アカウント管理

Security Hub を と統合していない場合、 AWS Organizations またはスタンドアロンアカウントがある場合は、各リージョンで各アカウントの設定を個別に指定する必要があります。手動によるアカウント管理では、設定ポリシーの使用がサポートされていません。

中央設定 APIs

一元管理型アカウントの設定ポリシーを管理するために Security Hub の委任された Security Hub 管理者のみがホームリージョンで使用する Security Hub オペレーション。オペレーションは次のとおりです。

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

アカウント固有 APIs

Security Hub、標準、コントロールを account-by-account ベースで有効または無効にするために使用できる Security Hub オペレーション。これらのオペレーションは、個々のリージョンで使用されます。

セルフマネージド型アカウントは、アカウント固有のオペレーションを使用して独自の設定を行うことができます。一元管理型アカウントは、ホームリージョンとリンクされたリージョンでは以下のアカウント固有のオペレーションを使用することができません。これらのリージョンで中央設定オペレーションと設定ポリシーによって一元管理型アカウントを設定できるのは、委任された管理者のみです。

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

アカウントのステータスをチェックするために、一元管理されたアカウントの所有者、Security Hub の Getオペレーションまたは Describeオペレーションを使用できますAPI。

中央設定の代わりにローカル設定または手動アカウント管理を使用する場合は、これらのアカウント固有のオペレーションを使用できます。

セルフマネージド型アカウントは、 *Invitationsおよび *Membersオペレーションを使用することもできます。ただし、セルフマネージド型アカウントはこれらのオペレーションを使用しないことをお勧めします。メンバーアカウントに委任された管理者の組織とは異なる組織に属する独自のメンバーがある場合、ポリシーの関連付けが失敗する可能性があります。

組織単位 (OU)

AWS Organizations および Security Hub では、 のグループのコンテナ AWS アカウント。組織単位 (OU) には、他の を含めることもできます。これによりOUs、上下逆方向のツリーに似た階層を作成し、その上部とブランチに到達OUsし、ツリーの葉であるアカウントで終わる親 OU を持つことができます。OU は、厳密に親を 1 つ持つことができ、各組織アカウントを厳密に 1 つの OU のメンバーにすることができます。

AWS Organizations または OUsで管理できます AWS Control Tower。詳細については、「AWS Organizations ユーザーガイド」の「組織単位の管理」または「AWS Control Tower ユーザーガイド」の「AWS Control Towerで組織とアカウントを管理する」を参照してください。

委任管理者は、設定ポリシーを特定のアカウントまたは に関連付けるかOUs、組織OUs内のすべてのアカウントと をカバーするルートに関連付けることができます。

一元管理型

ターゲット hat は、委任された管理者のみが、設定ポリシーを使用してリージョン間で設定できます。

委任管理者アカウントは、ターゲットを一元管理するかどうかを指定します。委任管理者は、ターゲットのステータスを一元管理型からセルフマネージド型、またはその逆に変更することもできます。

セルフマネージド型

独自の Security Hub 設定を管理するターゲット。セルフマネージドターゲットは、アカウント固有のオペレーションを使用して、各リージョンで Security Hub を個別に設定します。これは、一元管理ターゲットとは対照的です。一元管理ターゲットは、設定ポリシーを通じてリージョン間で委任された管理者のみが設定できます。

委任管理者アカウントは、ターゲットがセルフマネージド型かどうかを指定します。委任管理者は、セルフマネージド型の動作をターゲットに適用できます。また、アカウントや OU は親からセルフマネージド型の動作を継承することもできます。

委任された管理者アカウントは、それ自体がセルフマネージド型アカウントである場合があります。委任された管理者アカウントは、ターゲットのステータスをセルフマネージド型から一元管理型、またはその逆に変更できます。

設定ポリシーの関連付け

設定ポリシーとアカウント、組織単位 (OU)、またはルートとの間のリンク。ポリシーが関連付けられている場合、アカウント、OU、またはルートでは設定ポリシーで定義された設定を使用します。関連付けは次のいずれかの場合に発生します。

  • 委任された管理者が設定ポリシーをアカウント、OU、またはルートに直接適用する場合

  • アカウントまたは OU が親 OU またはルートから設定ポリシーを継承する場合

関連付けは、別の設定が適用または継承されるまで発生します。

適用された設定ポリシー

委任管理者がターゲットアカウント、、OUsまたはルートに設定ポリシーを直接適用する設定ポリシーの関連付けのタイプ。ターゲットは設定ポリシーで定義されている方法で設定され、委任された管理者のみが設定を変更できます。ルートに適用すると、設定ポリシーは、アプリケーションまたは最も近い親からの継承を通じて別の設定を使用しない組織OUs内のすべてのアカウントと に影響します。

委任管理者は、特定のアカウント、、OUsまたはルートにセルフマネージド型設定を適用することもできます。

継承された設定ポリシー

アカウントまたは OU が最も近い親 OU またはルートの設定を採用する、設定ポリシーの関連付けタイプ。設定ポリシーがアカウントや OU に直接適用されない場合、最も近い親 OU の設定が継承されます。ポリシーのすべての要素は継承されます。つまり、アカウントや OU はポリシーの一部だけを選択的に継承することはできません。最も近い親がセルフマネージド型の場合、子アカウントまたは OU は親のセルフマネージド型の動作を継承します。

継承によって適用された設定を上書きすることはできません。つまり、設定ポリシーまたはセルフマネージド型の設定がアカウントまたは OU に直接適用された場合、その設定が使用され、親の設定は継承されません。

ルート

AWS Organizations および Security Hub では、組織の最上位の親ノードです。委任管理者が設定ポリシーをルートに適用する場合、ポリシーは、アプリケーションまたは継承を通じて別のポリシーを使用するか、セルフマネージド型として指定されない限り、組織OUs内のすべてのアカウントと に関連付けられます。管理者がルートをセルフマネージド型として指定すると、アプリケーションまたは継承で設定ポリシーを使用しない限り、組織OUs内のすべてのアカウントと がセルフマネージド型になります。ルートがセルフマネージド型で、現在設定ポリシーが存在しない場合、組織内のすべての新規アカウントで現在の設定が保持されます。

組織に追加した新しいアカウントは、特定の OU に割り当てられるまではルートに属します。新しいアカウントが OU に割り当てられない場合、委任された管理者がセルフマネージド型アカウントとして指定しない限り、そのアカウントはルート設定を継承します。