Security Hub のコントロールパラメータについて - AWS Security Hub
コントロールパラメータ値の変更による影響カスタムパラメータをサポートするコントロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub のコントロールパラメータについて

の一部のコントロール AWS Security Hub は、コントロールの評価方法に影響するパラメータを使用します。通常、このようなコントロールは、Security Hub が定義するデフォルトのパラメータ値と照らし合わせて評価されます。ただし、これらのコントロールのサブセットでは、パラメータ値を変更できます。コントロールパラメータ値を変更すると、Security Hub は指定した値に対してコントロールの評価を開始します。コントロールの基になるリソースがカスタム値を満たした場合、Security Hub は PASSED 検出結果を生成します。リソースがカスタム値を満たさなかった場合、Security Hub は FAILED 検出結果を生成します。

コントロールパラメータをカスタマイズすることで、ビジネス要件やセキュリティの期待と一致するように、Security Hub によって推奨および監視されるセキュリティベストプラクティスを改良できます。コントロールの検出結果を抑制する代わりに、1 つ以上のパラメータをカスタマイズして、セキュリティニーズに合った検出結果を取得することができます。

コントロールパラメータを変更し、カスタム値を設定するためのユースケースの例をいくつか示します。

  • 〔CloudWatch.16] – CloudWatch ロググループは指定された期間保持する必要があります

    保持期間を指定できます。

  • 〔IAM.7] – IAMユーザーのパスワードポリシーには強力な設定が必要です

    パスワード強度に関するパラメータを指定できます。

  • 〔EC20.18] — セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります

    無制限の着信トラフィックを許可するように承認するポートを指定できます。

  • [Lambda.5] – VPC Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります

    成功の検出結果を生成するアベイラビリティーゾーンの最小数を指定できます。

このセクションでは、コントロールパラメータを変更するときに考慮すべき事項について説明します。

コントロールパラメータ値の変更による影響

パラメータ値を変更する場合は、新しい値に基づいてコントロールを評価する新しいセキュリティチェックもトリガーします。そして、Security Hub が新しい値に基づいて新しいコントロール検出結果を生成します。コントロール検出結果の定期更新時には、Security Hub は新しいパラメータ値も使用します。コントロールのパラメータ値を変更しても、そのコントロールを含む標準を有効にしていない場合、Security Hub は新しい値を使用したセキュリティチェックを行いません。新しいパラメータ値に基づいてコントロールを評価するには、Security Hub の関連標準を少なくとも 1 つ有効にする必要があります。

コントロールは、1 つまたは複数のカスタマイズ可能なパラメータを持つことができます。各コントロールパラメータに使用できるデータ型は次のとおりです。

  • ブール値

  • ダブル

  • 列挙型

  • EnumList

  • 整数

  • IntegerList

  • 文字列

  • StringList

カスタムパラメータ値は、有効になっている標準全体に適用されます。現在のリージョンでサポートされていないコントロールのパラメータはカスタマイズできません。個々のコントロールに関するリージョンの制限のリストについては、「Security Hub コントロールのリージョン制限」を参照してください。

一部のコントロールでは、有効なパラメータ値は指定された範囲に収まる必要があります。このような場合は、Security Hub が許容範囲を提供します。

Security Hub はデフォルトのパラメータ値を選択し、場合によっては更新することもあります。コントロールパラメータをカスタマイズしても、その値は、変更しない限りパラメータに指定した値のままです。つまり、パラメータのカスタム値が Security Hub で定義されている現在のデフォルト値と一致する場合でも、パラメータはデフォルトの Security Hub 値の更新の追跡を停止します。コントロール 〔ACM.1] の例を次に示します。インポートされた証明書と ACM発行の証明書は、指定された期間 後に更新する必要があります

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

前の例では、daysToExpiration パラメータのカスタム値は 30 です。このパラメータの現在のデフォルト値も 30 です。Security Hub がデフォルト値を 14 に変更しても、この例のパラメータはその変更を追跡しません。30 の値は保持されます。

パラメータのデフォルトの Security Hub 値の更新を追跡する場合は、ValueType フィールドを CUSTOM ではなく DEFAULT に設定します。詳細については、「1 つのアカウントとリージョンでデフォルトのコントロールパラメータに戻す」を参照してください。

カスタムパラメータをサポートするコントロール

カスタムパラメータをサポートするセキュリティコントロールのリストについては、Security Hub コンソールの「コントロール」ページまたは「」を参照してくださいSecurity Hub コントロールのリファレンス。このリストをプログラムで取得するには、 ListSecurityControlDefinitions オペレーション。レスポンスで、CustomizableProperties オブジェクトによって、どのコントロールがカスタマイズ可能なパラメータをサポートしているかが示されます。