複数のアカウントおよび AWS リージョンで標準を有効にする 1 つのアカウントおよび AWS リージョンで標準を有効にする標準のステータスをチェックする

セキュリティ標準の有効化

AWS Security Hub CSPM でセキュリティ標準を有効化すると、Security Hub CSPM は、その標準に適用されるすべてのコントロールを自動的に作成して有効化します。また、Security Hub CSPM は、コントロールのセキュリティチェックの実行と検出結果の生成を開始します。

検出結果の範囲と精度を最適化するには、標準を有効にする前に、AWS Config でリソース記録を有効にして設定します。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプのリソースに対し有効にすることも忘れないでください。そうしないと、Security Hub CSPM が適切なリソースを評価できず、標準に適用されるコントロールの正確な検出結果を生成できない可能性があります。詳細については、「Security Hub CSPM の AWS Config の有効化と設定」を参照してください。

標準を有効にした後、標準に適用される個々のコントロールを無効にしたり、後で再度有効にしたりできます。標準のコントロールを無効にすると、Security Hub CSPM はそのコントロールの検出結果の生成を停止します。さらに、Security Hub CSPM は、標準のセキュリティスコアを計算するときにコントロールを無視します。セキュリティスコアは、その標準に適用され、有効化され、評価データを持つコントロールの総数に対して、評価に合格したコントロールの割合を示します。

標準を有効化すると、Security Hub CSPM はその標準の予備的なセキュリティスコアを生成します。これは通常、Security Hub CSPM コンソールの [概要] ページまたは [セキュリティ標準] ページに初めてアクセスしてから約 30 分以内に生成されます。セキュリティスコアは、コンソールでこれらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。また、スコアを表示するには、AWS Config でリソース記録を設定する必要があります。中国リージョンおよび AWS GovCloud (US) Regions では、Security Hub CSPM が標準の予備セキュリティスコアを生成するまでに最大 24 時間かかる場合があります。Security Hub CSPM が予備スコアを生成した後、24 時間ごとにスコアを更新します。セキュリティスコアが最後に更新された日時を確認するには、Security Hub CSPM がスコアに提供するタイムスタンプを参照できます。詳細については、「セキュリティスコアの計算」を参照してください。

標準を有効にする方法は、複数のアカウントと AWS リージョンの Security Hub CSPM を管理する際に、中央設定を使用するかどうかによって異なります。マルチアカウント、マルチリージョン環境で標準を有効にする場合、中央設定を使用することをお勧めします。Security Hub CSPM と AWS Organizations を統合すると、中央設定を使用することができます。中央設定を使用しない場合、各アカウントおよび各リージョンで、標準を個別に有効化する必要があります。

複数のアカウントおよび AWS リージョンで標準を有効にする

複数のアカウントおよび AWS リージョンでセキュリティ標準を有効および設定するには、中央設定を使用します。中央設定では、委任された Security Hub CSPM 管理者は、1 つ以上の標準を有効にする Security Hub CSPM 設定ポリシーを作成できます。管理者は、その後、設定ポリシーを個々のアカウント、組織単位 (OU)、またはルートに関連付けることができます。設定ポリシーは、集約リージョンとも呼ばれるホームリージョンおよびすべてのリンクされたリージョンに影響します。

設定ポリシーではカスタマイズオプションが可能です。たとえば、1 つの OU に対して AWS Foundational Security Best Practices (FSBP) 標準のみを有効にするように選択できます。別の OU では、FSBP 標準と Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 標準の両方を有効にすることができます。指定した特定の標準を有効にする設定ポリシーの作成については、「設定ポリシーの作成と関連付け」を参照してください。

中央設定を使用する場合、Security Hub CSPM は新規または既存のアカウントで標準を自動的に有効にしません。代わりに、Security Hub CSPM 管理者は、組織の Security Hub CSPM 設定ポリシーを作成するときに、各アカウントで有効にする標準を指定します。Security Hub CSPM では、FSBP 標準のみを有効にする推奨設定ポリシーが提供されています。詳細については、「設定ポリシーのタイプ」を参照してください。

注記

Security Hub CSPM 管理者は、設定ポリシーを使用して任意の標準を有効化できますが、AWS Control Tower サービスマネージド標準は例外となります。この標準を有効にするには、管理者が AWS Control Tower を直接使用する必要があります。また、一元管理されたアカウントでこの標準内の個々のコントロールを有効または無効にする場合にも、AWS Control Tower を使用する必要があります。

一部のアカウントが独自に標準を有効にして設定できるようにしたい場合、Security Hub CSPM 管理者はそれらのアカウントをセルフマネージドアカウントとして指定できます。セルフマネージドアカウントは、リージョンごとに標準を個別に有効化して設定する必要があります。

1 つのアカウントおよび AWS リージョンで標準を有効にする

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントまたは AWS リージョンでセキュリティ標準を一元的に有効にすることはできません。しかし、1 つのアカウントおよびリージョンで標準を有効にすることはできます。これは、Security Hub CSPM コンソールまたはSecurity Hub CSPM API を使用して実行できます。

Security Hub CSPM console

Security Hub CSPM コンソールを使用して、1 つのアカウントとリージョンで標準を有効にするには、以下の手順に従います。

1 つのアカウントおよびリージョンで標準を有効にするには

AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。
ページの右上隅にある AWS リージョンセレクターを使用して、標準を有効にするリージョンを選択します。
ナビゲーションペインで、[セキュリティ標準] を選択します。現在 Security Hub CSPM がサポートするすべての標準が [セキュリティ標準] ページに一覧表示されます。標準を既に有効にしている場合、標準のセクションには、現在のセキュリティスコアとその標準の追加詳細が表示されます。
有効にする標準のセクションで、[標準を有効にする] を選択します。

追加のリージョンで標準を有効にするには、追加のリージョンごとに前のステップを繰り返します。

Security Hub CSPM API

1 つのアカウントとリージョンで標準をプログラムで有効にするには、BatchEnableStandards オペレーションを使用します。または AWS Command Line Interface (AWS CLI) を使用している場合は、batch-enable-standards コマンドを実行します。

リクエストで、StandardsArn パラメータを使用して、有効にする標準の Amazon リソースネーム (ARN) を指定します。また、リクエストが適用されるリージョンも指定します。たとえば、次のコマンドは AWS Foundational Security Best Practices (FSBP) 標準を有効にします。


$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1

ここでは、arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0 は米国東部 (バージニア北部) リージョンの FSBP 標準の ARN であり、us-east-1 はそれを有効にするリージョンです。

標準の ARN を取得するには、DescribeStandards オペレーションを使用するか、AWS CLI を使用している場合は describe-standards コマンドを実行します。

最初に自分のアカウントで現在有効になっている標準のリストを確認するには、GetEnabledStandards オペレーションを使用できます。AWS CLI を使用している場合は、get-enabled-standards コマンドを実行して、このリストを取得できます。

標準を有効にすると、Security Hub CSPM は、アカウントと指定されたリージョンで標準を有効にするタスクの実行を開始します。これには、標準に適用されるすべてのコントロールの作成が含まれます。これらのタスクのステータスをモニタリングするには、アカウントとリージョンの標準のステータスを確認できます。

標準のステータスをチェックする

アカウントのセキュリティ標準を有効にすると、Security Hub CSPM はアカウントの標準に適用されるすべてのコントロールの作成を開始します。Security Hub CSPM は、標準の予備セキュリティスコアの生成など、アカウントの標準を有効にするための追加のタスクも実行します。Security Hub CSPM がこれらのタスクを実行する間、そのアカウントでは標準のステータスは Pending になります。その後、標準のステータスはさまざまな状態に遷移します。これらの状態はモニタリングして確認できます。

注記

標準の個々のコントロールを変更しても、標準の全体的なステータスには影響しません。たとえば、以前に無効にしたコントロールを有効にしても、変更は標準のステータスには影響しません。同様に、有効なコントロールのパラメータ値を変更しても、標準のステータスには影響しません。

Security Hub CSPM コンソールを使用して標準のステータスを確認するには、ナビゲーションペインで [セキュリティ標準] を選択します。現在 Security Hub CSPM がサポートするすべての標準が [セキュリティ標準] ページに一覧表示されます。Security Hub CSPM が標準を有効にするタスクを現在実行している場合、標準のセクションは、Security Hub CSPM がまだ標準のセキュリティスコアを生成中であることを示します。標準が有効になっている場合、標準のセクションには現在のスコアが表示されます。[結果の表示] を選択して、標準に適用される個々のコントロールのステータスなど、追加の詳細を確認します。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

Security Hub CSPM API を使用して標準のステータスをプログラムで確認するには、GetEnabledStandards オペレーションを使用します。リクエストでは、オプションで StandardsSubscriptionArns パラメータを使用して、ステータスを確認する標準の Amazon リソースネーム (ARN) を指定します。AWS Command Line Interface (AWS CLI) を使用している場合は、get-enabled-standards コマンドを実行して、標準のステータスを確認できます。チェックする標準の ARN を指定するには、standards-subscription-arns パラメータを使用します。指定する ARN を確認するには、DescribeStandards オペレーションを使用するか、AWS CLI で describe-standards コマンドを実行します。

リクエストが成功すると、Security Hub CSPM は StandardsSubscription オブジェクトの配列で応答します。標準サブスクリプションは、アカウントで標準が有効になっている場合に Security Hub CSPM がアカウントで作成する AWS リソースです。各 StandardsSubscription オブジェクトは、アカウントに対して現在有効または有効または無効になっている標準に関する詳細を提供します。各オブジェクト内で、StandardsStatus フィールドはアカウントの標準の現在のステータスを指定します。

標準 (StandardsStatus)のステータスは、以下のいずれかになります。

PENDING

Security Hub CSPM は現在、アカウントの標準を有効にするタスクを実行しています。これには、標準に適用されるコントロールの作成と、標準の予備セキュリティスコアの生成が含まれます。Security Hub CSPM がすべてのタスクを完了するまでに数分かかる場合があります。標準は、アカウントで既に有効になっており、Security Hub CSPM が現在標準に新しいコントロールを追加している場合にも、このステータスになることがあります。

標準にこのステータスがある場合、標準に適用される個々のコントロールの詳細を取得できない場合があります。さらに、標準の個々のコントロールを設定または無効にできない場合があります。たとえば、UpdateStandardsControl オペレーションを使用してコントロールを無効にしようとすると、エラーが発生します。

標準に対して個々のコントロールを設定または管理できるかどうかを確認するには、StandardsControlsUpdatable フィールドの値を参照してください。このフィールドの値が READY_FOR_UPDATES の場合、標準の個々のコントロールの管理を開始できます。それ以外の場合は、Security Hub CSPM が追加の処理タスクを完了して標準を有効にするまで待ちます。

READY

標準は現在、アカウントに対して有効になっています。Security Hub CSPM は、セキュリティチェックを実行し、標準に適用され、現在有効になっているすべてのコントロールの検出結果を生成できます。Security Hub CSPM では、有効な標準ごとにセキュリティスコアも計算できます。

標準にこのステータスがある場合は、標準に適用される個々のコントロールの詳細を取得できます。さらに、コントロールを設定、無効化、または再有効化できます。標準を無効にすることもできます。

INCOMPLETE

Security Hub CSPM は、アカウントに対して標準を完全に有効にできませんでした。Security Hub CSPM は、標準に適用され、現在有効になっているすべてのコントロールについて、セキュリティチェックを実行したり検出結果を生成したりすることはできません。さらに、Security Hub CSPM は標準のセキュリティスコアを計算できません。

標準が完全に有効にならなかったことの理由を確認するには、StandardsStatusReason 配列の情報を参照してください。この配列は、Security Hub CSPM が標準を有効化することを妨げた問題を示します。内部エラーが発生した場合は、アカウントの標準を再度有効にしてみてください。その他のタイプの問題については、AWS Config 設定を確認してください。チェックしたくない個々のコントロールを無効にしたり、標準を完全に無効にしたりすることもできます。

DELETING

Security Hub CSPM は現在、アカウントの標準を無効にするリクエストを処理しています。これには、標準に適用されるコントロールの無効化、および関連するセキュリティスコアの削除が含まれます。Security Hub CSPM がリクエストの処理を完了するまでに数分かかる場合があります。

標準にこのステータスがある場合、その標準を再度有効化したり、アカウントに対して再度無効化を試みたりすることはできません。Security Hub CSPM は、まず現在のリクエストの処理を完了する必要があります。さらに、標準に適用される個々のコントロールの詳細を取得したり、コントロールを管理したりすることはできません。

FAILED

Security Hub CSPM は、アカウントの標準を無効化することができませんでした。Security Hub CSPM が標準を無効化しようとしたときに 1 つ以上のエラーが発生しました。さらに、Security Hub CSPM は標準のセキュリティスコアを計算できません。

標準が完全に無効にならなかったことの理由を確認するには、StandardsStatusReason 配列の情報を参照してください。この配列は、Security Hub CSPM が標準を無効化することを妨げた問題を示します。

標準にこのステータスがある場合、標準に適用される個々のコントロールの詳細を取得したり、コントロールを管理したりすることはできません。ただし、アカウントの標準を再度有効にすることはできます。Security Hub CSPM が標準を無効にすることを妨げた問題に対処すれば、標準を再度無効化することを試すこともできます。

標準のステータスが READY の場合、Security Hub CSPM は、標準に適用され、現在有効になっているすべてのコントロールに対しセキュリティチェックを実行し、検出結果を生成します。他のステータスの場合、Security Hub CSPM は、すべてではなく一部の有効なコントロールに対しチェックを実行し、検出結果を生成する場合があります。コントロール検出結果の生成または更新には最大 24 時間かかる場合があります。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サービスマネージドスタンダード: AWS Control Tower

標準の詳細の確認