翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
コントロールの結果を生成および更新する
AWS Security Hub セキュリティコントロールに照らし合わせてチェックを実行することで結果を生成します。 AWS これらの結果はセキュリティ結果フォーマット (ASFF) を使用しています。結果のサイズが最大 240 KB を超えると、Resource.Details
オブジェクトが削除されます。 AWS Config
リソースを基盤とする統制については、 AWS Config コンソールでリソースの詳細を表示できます。
Security Hub は通常、コントロールのセキュリティチェックごとに課金されます。ただし、 AWS Config 複数のコントロールが同じルールを使用している場合、Security Hub AWS Config はルールに対するチェックごとに 1 回だけ課金します。[統合されたコントロールの検出結果] を有効にすると、コントロールが複数の有効化された標準に含まれている場合でも、Security Hub はセキュリティチェックに対して単一の検出結果を生成します。
たとえば、 AWS Config iam-password-policy
このルールは Center for Internet Security (CIS) AWS Foundations Benchmark 標準と Foundational Security Best Practices 規格の複数の統制によって使用されています。Security Hub AWS Config はそのルールに照らしてチェックを実行するたびに、関連するコントロールごとに個別の結果を生成しますが、そのチェックに対して課金されるのは 1 回だけです。
統合されたコントロールの検出結果
アカウントで [統合されたコントロールの検出結果] を有効にすると、コントロールが複数の有効化された標準に適用されている場合でも、Security Hub はコントロールのセキュリティチェックごとに単一の検出結果または検出結果の更新を生成します。コントロールとそれらが適用される標準の一覧については、「Security Hub コントロールのリファレンス」を参照してください。[統合されたコントロールの検出結果] は、有効と無効を切り替えることができます。検出結果のノイズを減らすため、オンにすることをお勧めします。
2023 年 2 月 23 AWS アカウント 日より前に Security Hub を有効にしていた場合は、このセクションで後述する手順に従って統合管理結果を有効にする必要があります。2023 年 2 月 23 日以降に Security Hub を有効にすると、[統合されたコントロールの検出結果] がアカウントで自動的に有効になります。ただし、Security Hub の AWS Organizationsとの統合を使用するか、手動の招待プロセスで招待されたメンバーアカウントを使用する場合、メンバーアカウントで [統合されたコントロールの検出結果] が有効になるのは、管理者アカウントで有効になっている場合のみです。管理者アカウントでこの機能が無効になっている場合、メンバーアカウントも無効になります。この挙動は、新規および既存のメンバーアカウントに適用されます。
アカウントで [統合されたコントロールの検出結果] を無効にすると、Security Hub は、コントロールを含む有効な各標準のセキュリティチェックごとに個別の検出結果を生成します。たとえば、有効になっている 4 AWS Config つの標準が同じ基本ルールを持つ統制を共有している場合、統制のセキュリティチェック後に 4 つの異なる結果が表示されます。[統合されたコントロールの検出結果] を有効にすると、検出結果が 1 つのみになります。統合が検出結果に与える影響の詳細については、「コントロールの検出結果のサンプル」を参照してください。
[統合されたコントロールの検出結果] を有効にすると、Security Hub は標準と別に新しい検出結果を生成し、元の標準ベースの検出結果をアーカイブします。一部のコントロールの検出結果フィールドや値が変更され、既存のワークフローに影響を与える可能性があります。これらの変更の詳細については、「統合されたコントロールの検出結果 — ASFF の変更」を参照してください。
[統合されたコントロールの検出結果] を有効にすると、[サードパーティの統合] が Security Hub から受け取る検出結果にも影響する可能性があります。AWS v2.0.0 の自動セキュリティレスポンスは、統合された統制結果をサポートします
[統合されたコントロールの検出結果] を有効にする
[統合されたコントロールの検出結果] を有効にするには、管理者アカウントまたはスタンドアロンアカウントにサインインする必要があります。
注記
[統合されたコントロールの検出結果] を有効にした後、Security Hub が新しい統合された検出結果を生成し、元の標準ベースの検出結果をアーカイブするまで、最大 24 時間かかります。その間、アカウントには、標準に依存しない検出結果と標準に基づく検出結果が混在する可能性があります。
[統合されたコントロールの検出結果] を無効にする
[統合されたコントロールの検出結果] を無効にするには、管理者アカウントまたはスタンドアロンアカウントにサインインする必要があります。
注記
[統合されたコントロールの検出結果] を無効にした後、Security Hub が新しい標準ベースの検出結果を生成し、統合された検出結果をアーカイブするまで、最大 24 時間かかります。その間、アカウントには、標準ベースの検出結果と統合された検出結果が混在する可能性があります。
コントロールの結果の Compliance
詳細
統制のセキュリティチェックによって生成された結果については、 AWS セキュリティ結果フォーマット (ASFF) Complianceのフィールドには統制結果に関する詳細が含まれます。Compliance フィールドに含まれている情報は次のとおりです。
AssociatedStandards
-
コントロールが有効になっている有効な標準です。
RelatedRequirements
-
すべての有効な標準のコントロールに関連する要件のリストです。これらは、Payment Card Industry Data Security Standard (PCI DSS) など、コントロールに関するサードパーティのセキュリティフレームワークの要件です。
SecurityControlId
-
Security Hub がサポートするセキュリティ標準全体のコントロールの識別子です。
Status
-
特定のコントロールに対して Security Hub によって実行された最新のチェックの結果です。前回のチェックの結果は 90 日間、アーカイブされた状態で保持されます。
StatusReasons
-
Compliance.Status
の値の理由のリストが含まれています。StatusReasons
には、理由ごとの理由コードと説明が示されます。
次の表に、使用可能な状況の理由コードと説明を示します。修正手順は、どのコントロールがその理由コードを使って検出結果を生成したかによって異なります。Security Hub コントロールのリファレンス からコントロールを選択すると、そのコントロールの修正手順が表示されます。
理由コード |
Compliance.Status |
説明 |
---|---|---|
|
|
CloudTrail マルチリージョントレイルには有効なメトリックフィルターがありません。 |
|
|
CloudTrail マルチリージョントレイルには指標フィルターはありません。 |
|
|
このアカウントには、 CloudTrail 必要な構成のマルチリージョントレイルがありません。 |
|
|
CloudTrail マルチリージョントレイルは現在のリージョンにはありません。 |
|
|
有効なアラームアクションが存在しません。 |
|
|
CloudWatch アカウントにはアラームは存在しません。 |
|
AWS Config ステータスは |
AWS Config アクセスは拒否されました。 有効になっていて、 AWS Config 十分な権限が付与されていることを確認してください。 |
|
|
AWS Config ルールに基づいてリソースを評価しました。 AWS ルールが適用範囲内のリソースには適用されなかったか、指定されたリソースが削除されたか、評価結果が削除されました。 |
|
|
コンプライアンスステータスは「該当なし」 AWS Config ステータスの理由は示されていません。ステータスが Not Applicable である理由は、以下のように考えられます。
|
|
AWS Config ステータスは |
この理由コードは、いくつかの異なる種類の評価エラーに使用されます。 説明には、具体的な理由の情報が含まれます。 エラーの種類は、次のいずれかになります。
|
|
AWS Config ステータスは |
AWS Config ルールは作成中です。 |
|
|
不明なエラーが発生しました。 |
|
FAILED |
Security Hub が カスタム Lambda ランタイムのチェックを実行できません。 |
|
|
このルールに関連付けられた S3 バケットが別のリージョンまたはアカウントにあるため、結果が このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。 このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。 |
|
|
CloudWatch Logs メトリックスフィルタには有効な Amazon SNS サブスクリプションがありません。 |
|
WARNING |
結果が このルールに関連付けられた SNS トピックは、別のアカウントによって所有されています。現在のアカウントでは、サブスクリプション情報を取得できません。 SNS トピックを所有するアカウントは、SNS トピックへの |
|
|
このルールに関連付けられた SNS トピックが別のリージョンまたはアカウントにあるため、結果が このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。 このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。 |
|
|
このルールに関連付けられている SNS トピックが無効です。 |
|
|
関連する API オペレーションが許可されたレートを超えました。 |
コントロールの結果の ProductFields
詳細
Security Hub がセキュリティチェックを実行して統制結果を生成する場合、ASFF の ProductFields
属性には次のフィールドが含まれます。
ArchivalReasons:0/Description
-
Security Hub が既存の結果をアーカイブした理由について説明します。
例えば、統制または標準を無効にしたり、統合統制結果を有効または無効にしたりすると、Security Hub は既存の結果をアーカイブします。
ArchivalReasons:0/ReasonCode
-
Security Hub が既存の結果をアーカイブした理由を示します。
例えば、統制または標準を無効にしたり、統合統制結果を有効または無効にしたりすると、Security Hub は既存の結果をアーカイブします。
StandardsGuideArn
またはStandardsArn
-
コントロールに関連付けられた標準の ARN。
CIS AWS Foundations ベンチマーク標準の場合、フィールドはです。
StandardsGuideArn
PCI DSS AWS および基礎セキュリティベストプラクティス標準の場合、フィールドはです。
StandardsArn
[統合されたコントロールの検出結果] を有効にすると、これらのフィールドは
Compliance.AssociatedStandards
に合わせて削除されます。 StandardsGuideSubscriptionArn
またはStandardsSubscriptionArn
-
標準へのアカウントのサブスクリプションの ARN。
CIS AWS Foundations ベンチマーク標準の場合、フィールドはです。
StandardsGuideSubscriptionArn
PCI DSS AWS および基盤セキュリティベストプラクティス標準では、フィールドはです。
StandardsSubscriptionArn
[統合されたコントロールの検出結果] を有効にすると、これらのフィールドは削除されます。
RuleId
またはControlId
-
コントロールの識別子。
CIS AWS Foundations ベンチマーク標準の場合、フィールドはです。
RuleId
他の標準の場合、このフィールドは
ControlId
です。[統合されたコントロールの検出結果] を有効にすると、これらのフィールドは
Compliance.SecurityControlId
に合わせて削除されます。 RecommendationUrl
-
コントロールの修復情報の URL。[統合されたコントロールの検出結果] を有効にすると、このフィールドは
Remediation.Recommendation.Url
に合わせて削除されます。 RelatedAWSResources:0/name
-
結果に関連付けられたリソースの名前。
RelatedAWSResource:0/type
-
コントロールに関連付けられたリソースのタイプ。
StandardsControlArn
-
コントロールの ARN。[統合されたコントロールの検出結果] を有効にすると、このフィールドは削除されます。
aws/securityhub/ProductName
-
コントロールベースの結果の場合、製品名は Security Hub になります。
aws/securityhub/CompanyName
-
統制に基づく調査結果の場合、会社名はです。 AWS
aws/securityhub/annotation
-
コントロールによって検出された問題の説明。
aws/securityhub/FindingId
-
結果の識別子。[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。
コントロール結果への重要度の割り当て
Security Hub コントロールに割り当てられる重要度は、コントロールの重要性を特定します。コントロールの重要度により、コントロールの結果に割り当てられる重要度ラベルが決まります。
重要度の基準
コントロールの重要度は、以下の基準の評価に基づいて決定されます:
-
脅威アクターがコントロールに関連する設定の弱点を利用する際の難易度
この難易度は、弱点を利用して脅威シナリオを実行するために必要な洗練度または複雑さの度合いによって決まります。
-
この弱点が自社またはリソースの侵害につながる可能性はどの程度ありますか。 AWS アカウント
AWS アカウント ユーザーまたはリソースの侵害は、 AWS データまたはインフラストラクチャの機密性、完全性、または可用性が何らかの形で損なわれることを意味します。
侵害の可能性は、脅威シナリオによってサービスやリソースが中断または侵害される可能性がどの程度あるかを示します。 AWS
例えば、次の設定の弱点について検討します。
-
ユーザーアクセスキーが 90 日ごとにローテーションされません。
-
IAM ルートユーザーキーが存在します。
どちらの弱点も、攻撃者が悪用する際の難易度は同程度です。両方の弱点とも、攻撃者は認証情報の盗難やその他の方法を使用してユーザーキーを取得します。その後、このユーザーキーを使用して、許可されない方法でリソースにアクセスします。
ただし、脅威アクターによって取得されたアクセスキーがルートユーザーのものである場合、よりアクセス性が高いため、侵害の可能性はより高くなります。この結果、ルートユーザーキーの弱点は、重要度が高くなります。
重要度では、基になるリソースの重大度は考慮されていません。重大度は、結果に関連付けられているリソースの重要性の程度として定義されます。例えば、ミッションクリティカルなアプリケーションに関連付けられているリソースは、非本番稼働用テストに関連付けられたリソースより重大度が高くなります。リソースの重要度情報を収集するには、 AWS セキュリティ結果フォーマット (ASFF) Criticality
のフィールドを使用してください。
次の表に、悪用行為の難易度と、セキュリティラベルが侵害される可能性を示します。
侵害の可能性が非常に高い |
侵害の可能性が高い |
侵害の可能性が低い |
侵害の可能性が非常に低い |
|
悪用行為が非常に簡単 |
重大 |
重大 |
高 |
中 |
悪用行為がやや簡単 |
重大 |
高 |
中 |
中 |
悪用行為がやや難しい |
高 |
中 |
中 |
低 |
悪用行為が非常に難しい |
中 |
中 |
低 |
低 |
重要度の定義
重要度ラベルは次のように定義されています。
- 重大 - この問題は、さらに悪化しないように直ちに修復する必要があります。
-
例えば、公開された S3 バケットは重大な重要度の結果と考えられます。非常に多くの脅威アクターによって、公開された S3 バケットがスキャンされるため、公開された S3 バケット内のデータは、他者によって発見およびアクセスされる可能性があります。
一般に、パブリックにアクセス可能なリソースは、セキュリティ上の重大な問題と見なされます。重大な結果への対応は、緊急性が最も高くなります。また、リソースの重大度も考慮する必要があります。
- 高 - この問題は短期的な優先事項として対処する必要があります。
-
例えば、デフォルトの VPC セキュリティグループがインバウンドおよびアウトバウンドトラフィックに対して開かれている場合、重要度が高いと考えられます。脅威アクターがこの方法を使用して VPC を侵害することは、やや簡単であるためです。また、脅威アクターが VPC 内に侵入すると、リソースを中断または流出させる可能性があります。
Security Hub では、重要度の高い結果を短期的な優先事項として扱うことを推奨しています。すぐに修復手順を実行する必要があります。また、リソースの重大度も考慮する必要があります。
- 中 - この問題は、中期的な優先事項として対処する必要があります。
-
例えば、転送中のデータの暗号化が欠如している場合、重要度が中程度の結果と考えられます。 man-in-the-middle この脆弱性を利用するには高度な攻撃が必要です。つまり、やや難しい攻撃手法です。脅威シナリオが成功すると、一部のデータが侵害される可能性があります。
Security Hub では、できるだけ早く、関連するリソースを調査することを推奨しています。また、リソースの重大度も考慮する必要があります。
- 低 - この問題には、独自のアクションは必要ありません。
-
例えば、フォレンジック情報の収集に失敗した場合、重要度が低いと考えられます。この管理は将来の侵害を防ぐのに役立ちますが、フォレンジックが実行されない限り、侵害に直接つながりません。
重要度の低い結果については、すぐにアクションを実行する必要はありませんが、他の問題と相関関係がある場合は、コンテキストを入手できます。
- 情報 - 設定の弱点は見つかりませんでした。
-
つまり、ステータスは
PASSED
、WARNING
、またはNOT AVAILABLE
です。推奨されるアクションはありません。通知目的の結果は、顧客が準拠状態であることを実証するのに役立ちます。
コントロールの結果を更新するためのルール
特定のルールで後続のチェックを行うと、新しい結果が生成される場合があります。例えば、「ルートユーザーの使用を避ける」のステータスが FAILED
から PASSED
に変更される場合があります。この場合、最新の結果を含む新しい結果が生成されます。
指定されたルールで行われた後続のチェックで結果が生成され、その結果が現在の結果と同じ場合、既存の結果が更新されます。新しい結果は生成されません。
Security Hub では、関連付けられたリソースが削除されたか、リソースが存在しないか、コントロールが無効になっている場合、コントロールから結果を自動的にアーカイブします。関連付けられたサービスが現在使用されていないため、リソースがすでに存在しない可能性もあります。結果は、次のいずれかの基準に基づいて自動的にアーカイブされます:
-
結果が 3~5 日間更新されていません (これはベストエフォートであり、保証されません)。
-
AWS Config 関連する評価が返されました
NOT_APPLICABLE
。