Security Hub の概念 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub の概念

このトピックでは、サービスの開始に役立つ AWS Security Hub の主要な概念と用語について説明します。

アカウント

AWS リソースを含む標準の Amazon Web Services (AWS) アカウント。アカウント AWS で にサインインし、Security Hub を有効にできます。

アカウントは他のアカウントを招待して、Security Hub を有効にし、Security Hub 内でそのアカウントと関連付けることができます。メンバーシップの招待の承諾はオプションです。招待が承諾されると、アカウントは管理者アカウントになり、追加されたアカウントはメンバーアカウントになります。管理者アカウントは、メンバーアカウントの結果を表示できます。

に登録している場合 AWS Organizations、組織は組織の Security Hub 管理者アカウントを指定します。Security Hub 管理者アカウントは、他の組織アカウントをメンバーアカウントとして有効にできます。

アカウントは、同時に管理アカウントとメンバーアカウントの両方になることはできません。アカウントに付与される管理者アカウントは 1 つだけです。

詳細については、「管理者アカウントおよびメンバーアカウントの管理」を参照してください。

管理者アカウント

Security Hub のアカウントには、関連付けられたメンバーアカウントの結果を表示するためのアクセス権が付与されます。

アカウントには次のいずれかの方法で管理者アカウントが付与されます:

  • あるアカウントが他のアカウントを招待し、Security Hub で関連付けられます。このような招待されたアカウントが招待を承諾すると、そのアカウントはメンバーアカウントになり、招待したアカウントは管理者アカウントになります。

  • あるアカウントが、組織管理アカウントによって Security Hub 管理者アカウントとして指定されます。Security Hub 管理者アカウントは、任意の組織アカウントをメンバーアカウントとして有効にできます。また、他のアカウントをメンバーアカウントに招待することもできます。

アカウントに付与される管理者アカウントは 1 つだけです。アカウントは、同時に管理アカウントとメンバーアカウントの両方になることはできません。

集約リージョン

集約リージョンを設定すると、複数の のセキュリティ検出結果を 1 つのペイン AWS リージョン に表示できます。

集約リージョンは、結果の表示と管理を行うリージョンです。結果は、リンクされたリージョンから集約リージョンに集約されます。結果の更新は、リージョン全体で複製されます。

集約リージョンでは、[Security standards] (セキュリティ基準)、[Insights] (インサイト)、[Findings] (結果) の各ページに、リンクされたすべてのリージョンの結果が表示されます。

クロスリージョン集約」を参照してください。

アーカイブ済みの結果

RecordStateARCHIVED に設定されている結果。結果がアーカイブされる場合、結果プロバイダーでは結果の関連性がなくなったとみなしているということを意味します。レコードの状態には、結果の調査のステータスを追跡するワークフローステータスは含まれません。

結果プロバイダーは、Security Hub API のBatchImportFindings オペレーション を使用して、作成した結果をアーカイブします。Security Hub は、コントロールが無効化された場合、または関連付けられたリソースが削除された場合に、次のいずれかの基準に基づいて、コントロールの結果を自動的にアーカイブします。

  • 3〜5日間、結果が更新されていない (これはベストエフォートであり、保証されません)。

  • 関連付けられた AWS Config 評価は を返しますNOT_APPLICABLE

デフォルトでは、アーカイブされた結果は Security Hub コンソールの結果リストから除外されます。アーカイブされた結果を含めるようにフィルターを更新できます。

Security Hub API の GetFindings オペレーションでは、アクティブな結果とアーカイブされた結果の両方が返されます。レコード状態のフィルターを含めることができます。

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
AWS Security Finding 形式 (ASFF)

Security Hub によって集約または生成された結果の内容の標準化された形式。 AWS Security Finding 形式を使用すると、Security Hub を使用して、 AWS セキュリティチェックの実行によってセキュリティサービス、サードパーティーソリューション、または Security Hub 自体によって生成された結果を表示および分析できます。詳細については、「AWS Security Finding 形式 (ASFF)」を参照してください。

コントロール

情報の機密性、完全性、可用性を保護し、定義された一連のセキュリティ要件を満たすように設計された、情報システムまたは組織に対して規定された保護または対策。セキュリティ標準はコントロールのコレクションに関連付けられています。

セキュリティコントロールという用語は、標準全体でコントロール ID とタイトルが 1 つしかないコントロールを指します。標準コントロールという用語は、標準固有のコントロール ID とタイトルを持つコントロールを指します。現在、Security Hub は AWS GovCloud (US) Region と中国リージョンの標準コントロールのみをサポートしています。セキュリティコントロールは、その他すべてのリージョンでサポートされています。

カスタムアクション

選択した結果を に送信するための Security Hub メカニズム EventBridge。カスタムアクションは Security Hub で作成されます。その後、 EventBridge ルールにリンクされます。このルールでは、カスタムアクション ID に関連付けられた結果を受け取ったときに実行する特定のアクションが定義されています。カスタムアクションを使用すると、例えば特定の結果や少数の一連の結果を応答または修復ワークフローに送信できます。詳細については、「カスタムアクションを作成する (コンソール)」を参照してください。

委任管理者アカウント (Organizations)

Organizations では、サービスの委任管理者アカウントが組織のサービスの使用を管理できます。

Security Hub では、Security Hub 管理者アカウントが Security Hub の委任管理者アカウントとしての役割も担います。組織管理アカウントによって初めて Security Hub 管理者アカウントが指定されたとき、Security Hub では Organizations を呼び出して、そのアカウントを委任管理者アカウントに指定します。

次に、組織管理アカウントは、すべてのリージョンで Security Hub 管理者アカウントとして委任管理者アカウントを選択する必要があります。

結果

セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコード。Security Hub は、コントロールのセキュリティチェックが完了した後に検出結果を生成します。これらはコントロールの検出結果と呼ばれます。検出結果は、サードパーティ製品の統合から得られる場合もあります。

Security Hub での結果の詳細については、「AWS Security Hub の検出結果」を参照してください。

注記

結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。検出結果を 90 日以上保存するには、Amazon S3 バケットに検出結果をルーティング EventBridge するルールを で設定できます。 Amazon S3

クロスリージョン集約

結果、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを、リンクされたリージョンから集約リージョンへ集約。次に、集約リージョンのすべてのデータを表示し、集約リージョンの結果とインサイトを更新できます。

クロスリージョン集約」を参照してください。

結果の取り込み

他の AWS のサービスやサードパーティーパートナープロバイダーから Security Hub への検出結果のインポート。

結果取り込みイベントには、新しい結果と既存の結果の更新が含まれます。

インサイト

関連する結果のコレクションで、集約ステートメントとオプションのフィルターによって定義されます。インサイトは、注意と介入が必要なセキュリティ領域を特定します。Security Hub には、変更不能なマネージド (デフォルト) インサイトがいくつか用意されています。カスタム Security Hub インサイトを作成して、 AWS 環境と使用状況に固有のセキュリティ問題を追跡することもできます。詳細については、「AWS Security Hub のインサイト」を参照してください。

リンクされたリージョン

クロスリージョン集約を有効にすると、リンクされたリージョンは、結果、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを、集約リージョンに集約するリージョンとなります。

リンクされたリージョンでは、[Findings] (結果) および [Insights] (インサイト) ページに、そのリージョンの結果のみが表示されます。

クロスリージョン集約」を参照してください。

メンバーアカウント

結果を確認してアクションを実行する許可を管理者アカウントに付与したアカウント。

アカウントは次のいずれかの方法でメンバーアカウントになります。

  • 別のアカウントからの招待を承諾する。

  • 組織アカウントの場合、Security Hub 管理者アカウントによってメンバーアカウントとして有効にされる。

関連する要件

コントロールにマッピングされる一連の業界または規制要件。

ルール

コントロールが遵守されているかどうかを評価するために使用される一連の自動条件。ルールは、評価されると、合格または不合格が指定されます。ルールは、評価によって合格または不合格を特定できなかった場合、警告状態になります。ルールを評価できない場合、そのルールは使用不可の状態になります。

セキュリティチェック

1 つのリソースに対するルールの特定 point-in-time の評価。合格、不合格、警告、または使用不可の状態になります。セキュリティチェックを実行すると、結果が生成されます。

Security Hub 管理者アカウント

組織の Security Hub メンバーシップを管理する組織アカウント。

組織管理アカウントが各リージョンの Security Hub 管理者アカウントを指定します。組織管理アカウントは、すべてのリージョンで同じ Security Hub 管理者アカウントを選択する必要があります。

Security Hub 管理者アカウントは、Organizations 内の Security Hub の委任管理者アカウントでもあります。

Security Hub 管理者アカウントは、任意の組織アカウントをメンバーアカウントとして有効にできます。また、他のアカウントをメンバーアカウントに招待することもできます。

セキュリティ標準

特性を指定するトピックについてパブリッシュされたステートメント。通常は測定可能で、コントロールの形式であり、コンプライアンスを満たしているか、達成している必要があます。セキュリティ標準は規制の枠組みや、ベストプラクティス、社内のポリシーなどに基づいています。コントロールは、Security Hub でサポートされている 1 つ以上の標準に関連付けることができます。Security Hub のセキュリティ標準の詳細については、「AWS Security Hub のセキュリティコントロールと標準」を参照してください。

重要度

Security Hub コントロールに割り当てられる重要度は、コントロールの重要性を特定します。コントロールの重要度は、[Critical] (重要)、[High] (高)、[Medium] (中)、[Low] (低) または [Informational] (情報) のいずれかです。コントロールの結果に割り当てられる重要度は、そのコントロール自体の重要度と同等です。Security Hub でコントロールに重要度を割り当てる方法については、「コントロール結果への重要度の割り当て」を参照してください。

ワークフローステータス

結果の調査ステータス。Workflow.Status 属性を使用して追跡します。

ワークフローステータスは、初期状態では NEW です。リソース所有者に結果に対するアクションを実行するように通知した場合は、ワークフローステータスを NOTIFIED に設定できます。結果に問題がなく、アクションが不要な場合は、ワークフローステータスを SUPPRESSED に設定します。結果を確認して修正したら、ワークフローステータスを RESOLVED に設定します。

デフォルトでは、ほとんどの結果リストに含まれている結果のワークフローステータスは、NEW または NOTIFIED のみです。コントロールの結果リストには、ステータスが RESOLVED の結果も含まれます。

GetFindings オペレーションでは、ワークフローステータスのフィルターを含めることができます。

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Security Hub コンソールには、結果のワークフローステータスを設定するオプションがあります。お客様 (または結果プロバイダーの結果をお客様に代わって更新する SIEM、チケット発行、インシデント管理、または SOAR ツール) は、BatchUpdateFindings を使用してワークフローステータスを更新することもできます。