コントロールの結果を生成および更新する - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コントロールの結果を生成および更新する

AWS Security Hub は、セキュリティコントロールに対するチェックを実行して検出結果を生成します。これらの検出結果は AWS Security Finding 形式 (ASFF) を使用します。結果のサイズが最大 240 KB を超えると、Resource.Details オブジェクトが削除されます。リソースによって AWS Config バックアップされるコントロールについては、 AWS Config コンソールでリソースの詳細を表示できます。

Security Hub は通常、コントロールのセキュリティチェックごとに課金されます。ただし、複数のコントロールが同じ AWS Config ルールを使用する場合、Security Hub は AWS Config ルールに対するチェックごとに 1 回のみ課金します。[統合されたコントロールの検出結果] を有効にすると、コントロールが複数の有効化された標準に含まれている場合でも、Security Hub はセキュリティチェックに対して単一の検出結果を生成します。

例えば、この AWS Config ルールiam-password-policyは、Center for Internet Security (CIS) AWS Foundations Benchmark 標準および Foundational Security Best Practices 標準の複数のコントロールで使用されます。Security Hub がその AWS Config ルールに対してチェックを実行するたびに、関連するコントロールごとに個別の検出結果が生成されますが、チェックに対して課金されるのは 1 回だけです。

統合されたコントロールの検出結果

アカウントで [統合されたコントロールの検出結果] を有効にすると、コントロールが複数の有効化された標準に適用されている場合でも、Security Hub はコントロールのセキュリティチェックごとに単一の検出結果または検出結果の更新を生成します。コントロールとそれらが適用される標準の一覧については、「Security Hub コントロールのリファレンス」を参照してください。[統合されたコントロールの検出結果] は、有効と無効を切り替えることができます。検出結果のノイズを減らすため、オンにすることをお勧めします。

2023 年 2 月 23 日より AWS アカウント 前に で Security Hub を有効にした場合は、このセクションの後半の手順に従って統合統制結果を有効にする必要があります。2023 年 2 月 23 日以降に Security Hub を有効にすると、[統合されたコントロールの検出結果] がアカウントで自動的に有効になります。ただし、Security Hub の AWS Organizationsとの統合を使用するか、手動の招待プロセスで招待されたメンバーアカウントを使用する場合、メンバーアカウントで [統合されたコントロールの検出結果] が有効になるのは、管理者アカウントで有効になっている場合のみです。管理者アカウントでこの機能が無効になっている場合、メンバーアカウントも無効になります。この挙動は、新規および既存のメンバーアカウントに適用されます。

アカウントで [統合されたコントロールの検出結果] を無効にすると、Security Hub は、コントロールを含む有効な各標準のセキュリティチェックごとに個別の検出結果を生成します。例えば、有効な 4 つの標準が同じ基盤となる AWS Config ルールとコントロールを共有する場合、コントロールのセキュリティチェック後に 4 つの個別の検出結果を受け取ります。[統合されたコントロールの検出結果] を有効にすると、検出結果が 1 つのみになります。統合が検出結果に与える影響の詳細については、「コントロールの検出結果のサンプル」を参照してください。

[統合されたコントロールの検出結果] を有効にすると、Security Hub は標準と別に新しい検出結果を生成し、元の標準ベースの検出結果をアーカイブします。一部のコントロールの検出結果フィールドや値が変更され、既存のワークフローに影響を与える可能性があります。これらの変更の詳細については、「統合されたコントロールの検出結果 — ASFF の変更」を参照してください。

[統合されたコントロールの検出結果] を有効にすると、[サードパーティの統合] が Security Hub から受け取る検出結果にも影響する可能性があります。AWS v2.0.0 の自動セキュリティレスポンスは、統合統制結果をサポートします。

[統合されたコントロールの検出結果] を有効にする

[統合されたコントロールの検出結果] を有効にするには、管理者アカウントまたはスタンドアロンアカウントにサインインする必要があります。

注記

[統合されたコントロールの検出結果] を有効にした後、Security Hub が新しい統合された検出結果を生成し、元の標準ベースの検出結果をアーカイブするまで、最大 24 時間かかります。その間、アカウントには、標準に依存しない検出結果と標準に基づく検出結果が混在する可能性があります。

Security Hub console
  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

  2. ナビゲーションペインで 設定 を選択します。

  3. [General] (全般) タブを選択します。

  4. [Controls] (コントロール) については、[Consolidated control findings] (統合統制結果) をオンにします。

  5. [保存] を選択します。

Security Hub API
  1. UpdateSecurityHubConfiguration を実行します。

  2. ControlFindingGeneratorSECURITY_CONTROL と等しい値に設定します。

    リクエストの例:

    { "ControlFindingGenerator": "SECURITY_CONTROL" }
AWS CLI
  1. update-security-hub-configuration コマンドを実行します。

  2. control-finding-generatorSECURITY_CONTROL と等しい値に設定します。

    aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

[統合されたコントロールの検出結果] を無効にする

[統合されたコントロールの検出結果] を無効にするには、管理者アカウントまたはスタンドアロンアカウントにサインインする必要があります。

注記

[統合されたコントロールの検出結果] を無効にした後、Security Hub が新しい標準ベースの検出結果を生成し、統合された検出結果をアーカイブするまで、最大 24 時間かかります。その間、アカウントには、標準ベースの検出結果と統合された検出結果が混在する可能性があります。

Security Hub console
  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

  2. ナビゲーションペインで 設定 を選択します。

  3. [General] (全般) タブを選択します。

  4. [コントロール] については [編集] を選択し、[統合されたコントロールの検出結果] を無効にします。

  5. [保存] を選択します。

Security Hub API
  1. UpdateSecurityHubConfiguration を実行します。

  2. ControlFindingGeneratorSTANDARD_CONTROL と等しい値に設定します。

    リクエストの例:

    { "ControlFindingGenerator": "STANDARD_CONTROL" }
AWS CLI
  1. update-security-hub-configuration コマンドを実行します。

  2. control-finding-generatorSTANDARD_CONTROL と等しい値に設定します。

    aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

コントロールの結果の Compliance 詳細

コントロールのセキュリティチェックによって生成された検出結果の場合、 AWS Security Finding Format (ASFF) の Complianceフィールドには、コントロールの検出結果に関連する詳細が含まれます。Compliance フィールドに含まれている情報は次のとおりです。

AssociatedStandards

コントロールが有効になっている有効な標準です。

RelatedRequirements

すべての有効な標準のコントロールに関連する要件のリストです。これらは、Payment Card Industry Data Security Standard (PCI DSS) など、コントロールに関するサードパーティのセキュリティフレームワークの要件です。

SecurityControlId

Security Hub がサポートするセキュリティ標準全体のコントロールの識別子です。

Status

特定のコントロールに対して Security Hub によって実行された最新のチェックの結果です。前回のチェックの結果は 90 日間、アーカイブされた状態で保持されます。

StatusReasons

Compliance.Status の値の理由のリストが含まれています。StatusReasons には、理由ごとの理由コードと説明が示されます。

次の表に、使用可能な状況の理由コードと説明を示します。修正手順は、どのコントロールがその理由コードを使って検出結果を生成したかによって異なります。Security Hub コントロールのリファレンス からコントロールを選択すると、そのコントロールの修正手順が表示されます。

理由コード

Compliance.Status

説明

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

マルチリージョン CloudTrail の証跡に有効なメトリクスフィルターがありません。

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

マルチリージョン証 CloudTrail 跡にはメトリクスフィルターはありません。

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

アカウントには、必要な設定のマルチリージョン CloudTrail 証跡がありません。

CLOUDTRAIL_REGION_INVAILD

WARNING

マルチリージョンの CloudTrail 証跡が現在のリージョンにありません。

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

有効なアラームアクションが存在しません。

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch アラームはアカウントに存在しません。

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config ステータスは ConfigError

AWS Config アクセスが拒否されました。

AWS Config が有効で、十分なアクセス許可が付与されていることを確認します。

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config は、ルールに基づいてリソースを評価しました。

ルールがスコープ内の AWS リソースに適用されなかったか、指定されたリソースが削除されたか、評価結果が削除されました。

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

コンプライアンスステータスは です。これは、 が該当なし のステータスを AWS Config 返したNOT_AVAILABLEためです。

AWS Config はステータスの理由を提供しません。ステータスが Not Applicable である理由は、以下のように考えられます。

  • リソースが AWS Config ルールのスコープから削除されました。

  • AWS Config ルールが削除されました。

  • リソースが削除された。

  • AWS Config ルールロジックは、該当なしのステータスを生成できます。

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config ステータスは ConfigError

この理由コードは、いくつかの異なる種類の評価エラーに使用されます。

説明には、具体的な理由の情報が含まれます。

エラーの種類は、次のいずれかになります。

  • 許可が不足しているため、評価を実行できない。説明には、欠落している特定の許可が含まれます。

  • パラメータの値が欠落しているか、無効。説明には、パラメータとパラメータ値の要件が含まれます。

  • S3 バケットからの読み取り中のエラー。説明では、バケットが識別され、特定のエラーが表示されます。

  • AWS サブスクリプションがありません。

  • 評価の一般的なタイムアウト。

  • 停止中のアカウント。

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config ステータスは ConfigError

AWS Config ルールは作成中です。

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

不明なエラーが発生しました。

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

Security Hub が カスタム Lambda ランタイムのチェックを実行できません。

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

このルールに関連付けられた S3 バケットが別のリージョンまたはアカウントにあるため、結果が WARNING 状態になっています。

このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。

このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

CloudWatch Logs メトリクスフィルターに有効な Amazon SNS サブスクリプションがありません。

SNS_TOPIC_CROSS_ACCOUNT

WARNING

結果が WARNING 状態です。

このルールに関連付けられた SNS トピックは、別のアカウントによって所有されています。現在のアカウントでは、サブスクリプション情報を取得できません。

SNS トピックを所有するアカウントは、SNS トピックへの sns:ListSubscriptionsByTopic 許可を現在のアカウントに付与する必要があります。

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

このルールに関連付けられた SNS トピックが別のリージョンまたはアカウントにあるため、結果が WARNING 状態です。

このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。

このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。

SNS_TOPIC_INVALID

FAILED

このルールに関連付けられている SNS トピックが無効です。

THROTTLING_ERROR

NOT_AVAILABLE

関連する API オペレーションが許可されたレートを超えました。

コントロールの結果の ProductFields 詳細

Security Hub がセキュリティチェックを実行して統制結果を生成する場合、ASFF の ProductFields 属性には次のフィールドが含まれます。

ArchivalReasons:0/Description

Security Hub が既存の結果をアーカイブした理由について説明します。

例えば、統制または標準を無効にしたり、統合統制結果を有効または無効にしたりすると、Security Hub は既存の結果をアーカイブします。

ArchivalReasons:0/ReasonCode

Security Hub が既存の結果をアーカイブした理由を示します。

例えば、統制または標準を無効にしたり、統合統制結果を有効または無効にしたりすると、Security Hub は既存の結果をアーカイブします。

StandardsGuideArn または StandardsArn

コントロールに関連付けられた標準の ARN。

CIS AWS Foundations Benchmark 標準の場合、 フィールドは ですStandardsGuideArn

PCI DSS および AWS Foundational Security Best Practices 標準の場合、 フィールドは ですStandardsArn

[統合されたコントロールの検出結果] を有効にすると、これらのフィールドは Compliance.AssociatedStandards に合わせて削除されます。

StandardsGuideSubscriptionArn または StandardsSubscriptionArn

標準へのアカウントのサブスクリプションの ARN。

CIS AWS Foundations Benchmark 標準の場合、 フィールドは ですStandardsGuideSubscriptionArn

PCI DSS および AWS Foundational Security Best Practices 標準の場合、 フィールドは ですStandardsSubscriptionArn

[統合されたコントロールの検出結果] を有効にすると、これらのフィールドは削除されます。

RuleId または ControlId

コントロールの識別子。

CIS AWS Foundations Benchmark 標準の場合、 フィールドは ですRuleId

他の標準の場合、このフィールドは ControlId です。

[統合されたコントロールの検出結果] を有効にすると、これらのフィールドは Compliance.SecurityControlId に合わせて削除されます。

RecommendationUrl

コントロールの修復情報の URL。[統合されたコントロールの検出結果] を有効にすると、このフィールドは Remediation.Recommendation.Url に合わせて削除されます。

RelatedAWSResources:0/name

結果に関連付けられたリソースの名前。

RelatedAWSResource:0/type

コントロールに関連付けられたリソースのタイプ。

StandardsControlArn

コントロールの ARN。[統合されたコントロールの検出結果] を有効にすると、このフィールドは削除されます。

aws/securityhub/ProductName

コントロールベースの結果の場合、製品名は Security Hub になります。

aws/securityhub/CompanyName

コントロールベースの検出結果の場合、会社名は です AWS。

aws/securityhub/annotation

コントロールによって検出された問題の説明。

aws/securityhub/FindingId

結果の識別子。[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。

コントロール結果への重要度の割り当て

Security Hub コントロールに割り当てられる重要度は、コントロールの重要性を特定します。コントロールの重要度により、コントロールの結果に割り当てられる重要度ラベルが決まります。

重要度の基準

コントロールの重要度は、以下の基準の評価に基づいて決定されます:

  • 脅威アクターがコントロールに関連する設定の弱点を利用する際の難易度

    この難易度は、弱点を利用して脅威シナリオを実行するために必要な洗練度または複雑さの度合いによって決まります。

  • 弱点が AWS アカウント または リソースの侵害につながる可能性はどの程度ありますか?

    AWS アカウント または リソースの侵害は、データまたは AWS インフラストラクチャの機密性、完全性、または可用性が何らかの形で損なわれることを意味します。

    侵害の可能性は、脅威シナリオが AWS サービスまたはリソースの中断または侵害につながる可能性を示します。

例えば、次の設定の弱点について検討します。

  • ユーザーアクセスキーが 90 日ごとにローテーションされません。

  • IAM ルートユーザーキーが存在します。

どちらの弱点も、攻撃者が悪用する際の難易度は同程度です。両方の弱点とも、攻撃者は認証情報の盗難やその他の方法を使用してユーザーキーを取得します。その後、このユーザーキーを使用して、許可されない方法でリソースにアクセスします。

ただし、脅威アクターによって取得されたアクセスキーがルートユーザーのものである場合、よりアクセス性が高いため、侵害の可能性はより高くなります。この結果、ルートユーザーキーの弱点は、重要度が高くなります。

重要度では、基になるリソースの重大度は考慮されていません。重大度は、結果に関連付けられているリソースの重要性の程度として定義されます。例えば、ミッションクリティカルなアプリケーションに関連付けられているリソースは、非本番稼働用テストに関連付けられたリソースより重大度が高くなります。リソース重要度情報をキャプチャするには、 AWS Security Finding 形式 (ASFF) の Criticalityフィールドを使用します。

次の表に、悪用行為の難易度と、セキュリティラベルが侵害される可能性を示します。

侵害の可能性が非常に高い

侵害の可能性が高い

侵害の可能性が低い

侵害の可能性が非常に低い

悪用行為が非常に簡単

重大

重大

悪用行為がやや簡単

重大

悪用行為がやや難しい

悪用行為が非常に難しい

重要度の定義

重要度ラベルは次のように定義されています。

重大 - この問題は、さらに悪化しないように直ちに修復する必要があります。

例えば、公開された S3 バケットは重大な重要度の結果と考えられます。非常に多くの脅威アクターによって、公開された S3 バケットがスキャンされるため、公開された S3 バケット内のデータは、他者によって発見およびアクセスされる可能性があります。

一般に、パブリックにアクセス可能なリソースは、セキュリティ上の重大な問題と見なされます。重大な結果への対応は、緊急性が最も高くなります。また、リソースの重大度も考慮する必要があります。

高 - この問題は短期的な優先事項として対処する必要があります。

例えば、デフォルトの VPC セキュリティグループがインバウンドおよびアウトバウンドトラフィックに対して開かれている場合、重要度が高いと考えられます。脅威アクターがこの方法を使用して VPC を侵害することは、やや簡単であるためです。また、脅威アクターが VPC 内に侵入すると、リソースを中断または流出させる可能性があります。

Security Hub では、重要度の高い結果を短期的な優先事項として扱うことを推奨しています。すぐに修復手順を実行する必要があります。また、リソースの重大度も考慮する必要があります。

中 - この問題は、中期的な優先事項として対処する必要があります。

例えば、転送中のデータの暗号化が欠如している場合、重要度が中程度の結果と考えられます。この弱点を利用するには、高度な man-in-the-middle 攻撃が必要です。つまり、やや難しい攻撃手法です。脅威シナリオが成功すると、一部のデータが侵害される可能性があります。

Security Hub では、できるだけ早く、関連するリソースを調査することを推奨しています。また、リソースの重大度も考慮する必要があります。

低 - この問題には、独自のアクションは必要ありません。

例えば、フォレンジック情報の収集に失敗した場合、重要度が低いと考えられます。この管理は将来の侵害を防ぐのに役立ちますが、フォレンジックが実行されない限り、侵害に直接つながりません。

重要度の低い結果については、すぐにアクションを実行する必要はありませんが、他の問題と相関関係がある場合は、コンテキストを入手できます。

情報 - 設定の弱点は見つかりませんでした。

つまり、ステータスは PASSEDWARNING、または NOT AVAILABLE です。

推奨されるアクションはありません。通知目的の結果は、顧客が準拠状態であることを実証するのに役立ちます。

コントロールの結果を更新するためのルール

特定のルールで後続のチェックを行うと、新しい結果が生成される場合があります。例えば、「ルートユーザーの使用を避ける」のステータスが FAILED から PASSED に変更される場合があります。この場合、最新の結果を含む新しい結果が生成されます。

指定されたルールで行われた後続のチェックで結果が生成され、その結果が現在の結果と同じ場合、既存の結果が更新されます。新しい結果は生成されません。

Security Hub では、関連付けられたリソースが削除されたか、リソースが存在しないか、コントロールが無効になっている場合、コントロールから結果を自動的にアーカイブします。関連付けられたサービスが現在使用されていないため、リソースがすでに存在しない可能性もあります。結果は、次のいずれかの基準に基づいて自動的にアーカイブされます:

  • 結果が 3~5 日間更新されていません (これはベストエフォートであり、保証されません)。

  • 関連付けられた AWS Config 評価が を返しましたNOT_APPLICABLE