Security Hub CSPM の概念と用語 - AWS Security Hub

Security Hub CSPM の概念と用語

AWS Security Hub CSPM では、一般的な AWS 概念と用語を基に、以下の追加用語を使用しています。

アカウント

AWS リソースを含む標準の Amazon Web Services (AWS) アカウント。アカウントを使用して AWS にサインインし、Security Hub CSPM を有効にできます。

アカウントは他のアカウントを招待して、Security Hub CSPM を有効にし、Security Hub CSPM 内でそのアカウントと関連付けることができます。メンバーシップの招待の承諾はオプションです。招待が承諾されると、アカウントは管理者アカウントになり、追加されたアカウントはメンバーアカウントになります。管理者アカウントは、メンバーアカウントの結果を表示できます。

AWS Organizations に在籍している場合、組織は、組織の Security Hub CSPM 管理者アカウントを指定します。Security Hub CSPM 管理者アカウントは、他の組織アカウントをメンバーアカウントとして有効にできます。

アカウントは、同時に管理アカウントとメンバーアカウントの両方になることはできません。アカウントに付与される管理者アカウントは 1 つだけです。

詳細については、「Security Hub CSPM での管理者アカウントとメンバーアカウントの管理」を参照してください。

管理者アカウント

Security Hub CSPM のアカウントには、関連付けられたメンバーアカウントの検出結果を表示するためのアクセス権が付与されます。

アカウントには次のいずれかの方法で管理者アカウントが付与されます:

  • あるアカウントが他のアカウントを招待し、Security Hub CSPM で関連付けられます。このような招待されたアカウントが招待を承諾すると、そのアカウントはメンバーアカウントになり、招待したアカウントは管理者アカウントになります。

  • あるアカウントが、組織管理アカウントによって Security Hub CSPM 管理者アカウントとして指定されます。Security Hub CSPM 管理者アカウントは、任意の組織アカウントをメンバーアカウントとして有効にできます。また、他のアカウントをメンバーアカウントに招待することもできます。

アカウントに付与される管理者アカウントは 1 つだけです。アカウントは、同時に管理アカウントとメンバーアカウントの両方になることはできません。

集約リージョン

集約リージョンを設定すると、複数の AWS リージョン のセキュリティ検出結果を 1 か所にまとめて表示できます。

集約リージョンは、結果の表示と管理を行うリージョンです。結果は、リンクされたリージョンから集約リージョンに集約されます。結果の更新は、リージョン全体で複製されます。

集約リージョンでは、[Security standards] (セキュリティ基準)、[Insights] (インサイト)、[Findings] (結果) の各ページに、リンクされたすべてのリージョンの結果が表示されます。

詳細については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。

アーカイブ済みの結果

レコードの状態 (RecordState) の検出結果は ARCHIVED です。結果がアーカイブされる場合、結果プロバイダーでは結果の関連性がなくなったとみなしているということを意味します。レコードの状態には、検出結果の調査のステータスを追跡するワークフローステータスは含まれません。

結果プロバイダーは、Security Hub CSPM API のBatchImportFindings オペレーションを使用して、作成した検出結果をアーカイブします。Security Hub CSPM では、特定の基準を満たすコントロールの検出結果が自動的にアーカイブされます。詳細については、「コントロールの検出結果の生成、更新、アーカイブ」を参照してください。

Security Hub CSPM コンソールでは、デフォルトのフィルター設定により、アーカイブされた検出結果が検出結果リストとテーブルから除外されます。アーカイブされた検出結果を含めるように設定を変更できます。Security Hub CSPM API の GetFindings オペレーションを使用して検出結果を取得すると、オペレーションはアーカイブされた検出結果とアクティブな検出結果の両方を取得します。アーカイブされた検出結果を除外するには、結果をフィルタリングします。例:

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
AWSSecurity Finding Format (ASFF)

Security Hub CSPM によって集約または生成された検出結果の内容の標準化された形式。AWS Security Finding CSPM 形式を採用することで、Security Hub CSPM を使用して、セキュリティチェックを実行し、AWS セキュリティサービス、サードパーティーのソリューション、または Security Hub CSPM 自体に生成される検出結果を表示および分析できます。詳細については、「AWS Security Finding 形式」を参照してください。

コントロール

情報の機密性、完全性、可用性を保護し、定義された一連のセキュリティ要件を満たすように設計された、情報システムまたは組織に対して規定された保護または対策。セキュリティ標準はコントロールのコレクションに関連付けられています。

セキュリティコントロールという用語は、標準全体でコントロール ID とタイトルが 1 つしかないコントロールを指します。標準コントロールという用語は、標準固有のコントロール ID とタイトルを持つコントロールを指します。現在、Security Hub CSPM は、と中国リージョンと AWS GovCloud (US) Regions のみ標準コントロールをサポートしています。セキュリティコントロールは、その他すべてのリージョンでサポートされています。

カスタムアクション

選択した検出結果を EventBridge に送信するための Security Hub CSPM のメカニズム。カスタムアクションは Security Hub CSPM で作成されます。その後、EventBridge ルールにリンクされます。このルールでは、カスタムアクション ID に関連付けられた結果を受け取ったときに実行する特定のアクションが定義されています。カスタムアクションを使用すると、例えば特定の結果や少数の一連の結果を応答または修復ワークフローに送信できます。詳細については、「カスタムアクションを作成する」を参照してください。

委任管理者アカウント (Organizations)

AWS Organizations では、サービスの委任管理者アカウントが組織のサービスの使用を管理できます。

Security Hub CSPM では、Security Hub CSPM 管理者アカウントが Security Hub CSPM の委任管理者アカウントとしての役割も担います。組織管理アカウントによって初めて Security Hub CSPM 管理者アカウントが指定されたとき、Security Hub CSPM では Organizations を呼び出して、そのアカウントを委任管理者アカウントに指定します。

次に、組織管理アカウントは、すべてのリージョンで Security Hub CSPM 管理者アカウントとして委任管理者アカウントを選択する必要があります。

結果

セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコード。Security Hub CSPM は、コントロールのセキュリティチェックが完了した後に検出結果を生成し更新します。これらはコントロールの検出結果と呼ばれます。検出結果は、他の AWS のサービス とサードパーティ製品の統合から得られる場合もあります。

詳細については、「Security Hub CSPM の検出結果を作成および更新する」を参照してください。

クロスリージョン集約

結果、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを、リンクされたリージョンから集約リージョンへ集約。次に、集約リージョンのすべてのデータを表示し、集約リージョンの結果とインサイトを更新できます。

詳細については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。

結果の取り込み

他の AWS サービスおよびサードパーティーパートナープロバイダーから Security Hub CSPM への検出結果のインポート。

結果取り込みイベントには、新しい結果と既存の結果の更新が含まれます。

インサイト

関連する結果のコレクションで、集約ステートメントとオプションのフィルターによって定義されます。インサイトは、注意と介入が必要なセキュリティ領域を特定します。Security Hub CSPM には、変更できないマネージド (デフォルト) インサイトがいくつか用意されています。お使いの AWS 環境や使用状況に固有のセキュリティ上の問題を追跡するために、Security Hub CSPM のカスタムインサイトを作成することもできます。詳細については、「Security Hub CSPM のインサイトの表示」を参照してください。

リンクされたリージョン

クロスリージョン集約を有効にすると、リンクされたリージョンは、結果、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを、集約リージョンに集約するリージョンとなります。

リンクされたリージョンでは、[Findings] (結果) および [Insights] (インサイト) ページに、そのリージョンの結果のみが表示されます。

詳細については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。

メンバーアカウント

結果を確認してアクションを実行する許可を管理者アカウントに付与したアカウント。

アカウントは次のいずれかの方法でメンバーアカウントになります。

  • 別のアカウントからの招待を承諾する。

  • 組織アカウントの場合、Security Hub CSPM 管理者アカウントによってメンバーアカウントとして有効にされる。

関連する要件

コントロールにマッピングされる一連の業界または規制要件。

ルール

コントロールが遵守されているかどうかを評価するために使用される一連の自動条件。ルールは、評価されると、合格または不合格が指定されます。ルールは、評価によって合格または不合格を特定できなかった場合、警告状態になります。ルールを評価できない場合、そのルールは使用不可の状態になります。

セキュリティチェック

1 つのリソースに対するルールの特定のポイントインタイム評価。PASSEDFAILEDWARNING、または NOT_AVAILABLE の状態を特定します。セキュリティチェックを実行すると、結果が生成されます。

Security Hub CSPM 管理者アカウント

組織の Security Hub CSPM メンバーシップを管理する組織アカウント。

組織管理アカウントが各リージョンの Security Hub CSPM 管理者アカウントを指定します。組織管理アカウントは、すべてのリージョンで同じ Security Hub CSPM 管理者アカウントを選択する必要があります。

Security Hub CSPM 管理者アカウントは、Organizations 内の Security Hub CSPM の委任管理者アカウントでもあります。

Security Hub CSPM 管理者アカウントは、任意の組織アカウントをメンバーアカウントとして有効にできます。また、他のアカウントをメンバーアカウントに招待することもできます。

セキュリティ標準

特性を指定するトピックについてパブリッシュされたステートメント。通常は測定可能で、コントロールの形式であり、コンプライアンスを満たしているか、達成している必要があます。セキュリティ標準は規制の枠組みや、ベストプラクティス、社内のポリシーなどに基づいています。コントロールは、Security Hub CSPM でサポートされている 1 つ以上の標準に関連付けることができます。Security Hub CSPM のセキュリティ標準の詳細については、「Security Hub CSPM のセキュリティ標準を理解する」を参照してください。

緊急度

Security Hub CSPM コントロールに割り当てられる重要度は、コントロールの重要性を特定します。コントロールの重要度は、[Critical] (重要)、[High] (高)、[Medium] (中)、[Low] (低) または [Informational] (情報) のいずれかです。コントロールの結果に割り当てられる重要度は、そのコントロール自体の重要度と同等です。Security Hub CSPM でコントロールに重要度を割り当てる方法については、「コントロールの検出結果の重要度」を参照してください。

ワークフローステータス

結果の調査ステータス。Workflow.Status 属性を使用して追跡されます。

ワークフローステータスは、初期状態では NEW です。リソース所有者に結果に対するアクションを実行するように通知した場合は、ワークフローステータスを NOTIFIED に設定できます。結果に問題がなく、アクションが不要な場合は、ワークフローステータスを SUPPRESSED に設定します。結果を確認して修正したら、ワークフローステータスを RESOLVED に設定します。

デフォルトでは、ほとんどの結果リストに含まれている結果のワークフローステータスは、NEW または NOTIFIED のみです。コントロールの結果リストには、ステータスが RESOLVED の結果も含まれます。

GetFindings オペレーションでは、ワークフローステータスのフィルターを含めることができます。

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Security Hub CSPM コンソールには、検出結果のワークフローステータスを設定するオプションがあります。お客様 (または結果プロバイダーの結果をお客様に代わって更新する SIEM、チケット発行、インシデント管理、または SOAR ツール) は、BatchUpdateFindings を使用してワークフローステータスを更新することもできます。