Security Hub CSPM AWS Config の有効化と設定 - AWS Security Hub
を有効にして設定する前に考慮すべき点 AWS Configでのリソースの記録 AWS Configを有効にして設定する方法 AWS ConfigConfig.1 コントロールサービスにリンクされたルールの生成コストに関する考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM AWS Config の有効化と設定

AWS Security Hub CSPM は、 AWS Config ルールを使用してセキュリティチェックを実行し、ほとんどのコントロールの検出結果を生成します。 AWS Config は、 内の AWS リソースの設定の詳細なビューを提供します AWS アカウント。ルールを使用してリソースのベースライン設定を確立し、設定レコーダーを使用して、特定のリソースがルールの条件に違反しているかどうかを検出します。 AWS Config マネージドルールと呼ばれる一部のルールは、 によって事前定義および開発されています AWS Config。その他のルールは AWS Config 、Security Hub CSPM が開発するカスタムルールです。

AWS Config Security Hub CSPM がコントロールに使用する ルールは、サービスにリンクされたルールと呼ばれます。サービスにリンクされたルールを使用すると、Security Hub CSPM AWS のサービス などの がアカウントに AWS Config ルールを作成できます。

Security Hub CSPM でコントロールの検出結果を受信するには、アカウント AWS Config で を有効にし、有効なコントロールが評価するリソースの記録を有効にする必要があります。このページでは、Security Hub CSPM AWS Config で を有効にし、リソース記録を有効にする方法について説明します。

を有効にして設定する前に考慮すべき点 AWS Config

Security Hub CSPM でコントロールの検出結果を受信するには、Security Hub CSPM AWS Config が有効になってい AWS リージョン る各 でアカウントが を有効にしている必要があります。マルチアカウント環境で Security Hub CSPM を使用する場合は、管理者アカウントとすべてのメンバーアカウントの各リージョンで を有効にする AWS Config 必要があります。

Security Hub CSPM 標準とコントロールを有効にする AWS Config 前に、 でリソース記録を有効にすることを強くお勧めします。これにより、コントロールの検出結果が正確になります。

でリソース記録を有効にするには AWS Config、設定レコーダーにアタッチされている AWS Identity and Access Management (IAM) ロールにリソースを記録するのに十分なアクセス許可が必要です。さらに、リソースを記録するアクセス許可が AWS Config に付与されないように、IAM ポリシーや で管理 AWS Organizations されているポリシーがないことを確認してください。Security Hub CSPM コントロールチェックは、リソースの設定を直接評価し、 AWS Organizations ポリシーを考慮しません。 AWS Config 録画の詳細については、「 AWS Config デベロッパーガイド」の「設定レコーダーの使用」を参照してください。

Security Hub CSPM で標準を有効にしても有効になっていない場合 AWS Config、Security Hub CSPM は次のスケジュールに従って AWS Config ルールを作成しようとします。

  • 標準を有効にした日。

  • 標準を有効にした翌日。

  • 標準を有効にしてから 3 日後。

  • 標準を有効にしてから 7 日後、その後は 7 日ごとに継続します。

中央設定を使用する場合、Security Hub CSPM は、1 つ以上の標準を有効にする設定ポリシーをアカウント、組織単位 (OUs)、またはルートに関連付けるたびに、サービスにリンクされた AWS Config ルールの作成も試みます。

でのリソースの記録 AWS Config

有効にするときは AWS Config、設定レコーダーに記録する AWS AWS Config リソースを指定する必要があります。サービスにリンクされたルールを通じて、設定レコーダーは Security Hub CSPM がリソース設定の変更を検出できるようにします。

Security Hub CSPM が正確なコントロール結果を生成するには、有効なコントロールに対応するリソースの の記録 AWS Config を有効にする必要があります。これは主に、リソースの記録を必要とする変更トリガースケジュールタイプで有効になっているコントロールです。定期的なスケジュールタイプの一部のコントロールでは、リソースの記録も必要です。これらのコントロールとその対応するリソースのリストについては、「」を参照してくださいコントロールの検出結果に必要な AWS Config リソース

警告

Security Hub CSPM コントロールの記録 AWS Config を正しく設定しないと、特に次のインスタンスで、コントロールの検出結果が不正確になる可能性があります。

  • 特定のコントロールのリソースを記録したことがないか、そのタイプのリソースを作成する前にリソースの記録を無効にしました。このような場合、記録を無効にした後にコントロールの範囲内でリソースを作成している場合でも、問題のコントロールWARNINGの検出結果を受け取ります。このWARNING検出結果は、リソースの設定状態を実際に評価しないデフォルトの検出結果です。

  • 特定のコントロールによって評価されるリソースの記録を無効にします。この場合、コントロールが新規または更新されたリソースを評価していない場合でも、Security Hub CSPM は記録を無効にする前に生成されたコントロール結果を保持します。Security Hub CSPM は、検出結果のコンプライアンスステータスも に変更しますWARNING。これらの保持された検出結果は、リソースの現在の設定状態を正確に反映していない可能性があります。

デフォルトでは、 AWS リージョン は、実行中の で検出されたサポートされているすべてのリージョンリソース AWS Config を記録します。すべての Security Hub CSPM コントロールの検出結果を受信するには、グローバルリソースを記録する AWS Config ように も設定する必要があります。コストを削減するには、グローバルリソースを 1 つのリージョンにのみ記録することをお勧めします。中央設定またはクロスリージョン集約を使用する場合、このリージョンはホームリージョンである必要があります。

では AWS Config、リソースの状態の変化を継続的に記録するか、毎日記録するかを選択できます。日次記録を選択した場合、リソース状態に変更があった場合、 は 24 時間ごとにリソース設定データを AWS Config 配信します。変化がなければ、データは配信されません。これにより、変更によってトリガーされるコントロールの Security Hub CSPM 検出結果の生成が 24 時間完了するまで遅延する可能性があります。

AWS Config 録画の詳細については、「 AWS Config デベロッパーガイド」のAWS 「リソースの記録」を参照してください。

を有効にして設定する方法 AWS Config

リソース記録は、次のいずれかの方法で有効化 AWS Config および有効化できます。

  • AWS Config コンソール – AWS Config コンソールを使用して AWS Config 、アカウントの を有効にできます。手順については、「 AWS Config デベロッパーガイド」の「 コンソール AWS Config でのセットアップ」を参照してください。

  • AWS CLI または SDKs – AWS Command Line Interface () を使用して AWS Config 、 アカウントの を有効にできますAWS CLI。手順については、「 AWS Config デベロッパーガイド」の「 AWS Config でのセットアップ AWS CLI」を参照してください。 AWS ソフトウェア開発キット (SDK) は、多くのプログラミング言語でも使用できます。 SDKs

  • CloudFormation テンプレート – 多くのアカウント AWS Config で を有効にするには、Enable AWS Configという名前の AWS CloudFormation テンプレートを使用することをお勧めします。このテンプレートにアクセスするには、「 AWS CloudFormation ユーザーガイド」のAWS CloudFormation StackSet サンプルテンプレート」を参照してください。

    デフォルトでは、このテンプレートは IAM グローバルリソースの記録を除外します。記録コストを節約するために、IAM グローバルリソースの記録を 1 AWS リージョン つのみ有効にしてください。クロスリージョン集約を有効にしている場合は、Security Hub CSPM ホームリージョンである必要があります。それ以外の場合は、Security Hub CSPM が利用可能な任意のリージョンで、IAM グローバルリソースの記録をサポートできます。1 つの StackSet を実行して、IAM グローバルリソースを含むすべてのリソースをホームリージョンまたは他の選択したリージョンに記録することをお勧めします。次に、2 番目の StackSet を実行して、他のリージョンの IAM グローバルリソースを除くすべてのリソースを記録します。

  • GitHub スクリプト – Security Hub CSPM は、Security Hub CSPM と をリージョン間で複数のアカウント AWS Config に対して有効にする GitHub スクリプトを提供します。このスクリプトは、 と統合していない場合や AWS Organizations、組織の一部ではないメンバーアカウントがある場合に便利です。

詳細については、 AWS セキュリティブログのブログ記事「Optimize AWS Config for AWS Security Hub CSPM to effectively manage your cloud security posture」を参照してください。

Config.1 コントロール

Security Hub CSPM では、 が無効になっている場合、Config.1 コントロール AWS Config はアカウントにFAILED結果を生成します。また、 AWS Config が有効になっていてもリソース記録が有効になっていない場合、アカウントにFAILED結果を生成します。

AWS Config が有効になっていてリソース記録が有効になっているが、有効なコントロールがチェックするタイプのリソースに対してリソース記録が有効になっていない場合、Security Hub CSPM は Config.1 コントロールFAILEDの結果を生成します。このFAILED検出結果に加えて、Security Hub CSPM は、有効なコントロールと、コントロールがチェックするリソースのタイプに関するWARNING検出結果を生成します。たとえば、KMS.5 コントロールを有効にし、リソース記録が有効になっていない場合 AWS KMS keys、Security Hub CSPM は Config.1 コントロールFAILEDの結果を生成します。Security Hub CSPM は、KMS.5 コントロールと KMS キーの検出WARNING結果も生成します。

Config.1 コントロールの検出PASSED結果を受信するには、有効なコントロールに対応するすべてのリソースタイプのリソース記録を有効にします。また、組織に必要ないコントロールも無効にします。これにより、セキュリティコントロールチェックで設定ギャップがなくなります。また、誤って設定されたリソースに関する正確な検出結果を確実に受け取るのに役立ちます。

お客様が組織の委任 Security Hub CSPM 管理者である場合、アカウントとメンバーアカウントに対して AWS Config 記録を正しく設定する必要があります。クロスリージョン集約を使用する場合は、ホームリージョンとすべてのリンクされたリージョンで AWS Config 録音を正しく設定する必要があります。グローバルリソースをリンクされたリージョンに記録する必要はありません。

サービスにリンクされたルールの生成

サービスにリンクされた AWS Config ルールを使用するコントロールごとに、Security Hub CSPM は必要なルールのインスタンスを AWS 環境に作成します。

これらのサービスにリンクされたルールは、Security Hub CSPM に固有です。Security Hub CSPM は、同じルールの他のインスタンスがすでに存在する場合でも、これらのサービスにリンクされたルールを作成します。サービスにリンクされたルールは、元のルール名のsecurityhub前に を追加し、ルール名の後に一意の識別子を追加します。たとえば、 AWS Config マネージドルール の場合vpc-flow-logs-enabled、サービスにリンクされたルール名は ですsecurityhub-vpc-flow-logs-enabled-12345

コントロールの評価に使用できる AWS Config マネージドルールの数にはクォータがあります。Security Hub CSPM が作成する AWS Config ルールは、これらのクォータにはカウントされません。アカウントのマネージドルール AWS Config のクォータにすでに達している場合でも、セキュリティ標準を有効にできます。 AWS Config ルールのクォータの詳細については、「 AWS Config デベロッパーガイド」の「 のサービス制限 AWS Config」を参照してください。

コストに関する考慮事項

Security Hub CSPM は、 AWS Config 設定項目を更新することで、AWS::Config::ResourceCompliance設定レコーダーのコストに影響を与える可能性があります。更新は、 AWS Config ルールに関連付けられた Security Hub CSPM コントロールがコンプライアンス状態を変更する、有効または無効になる、またはパラメータが更新されるたびに発生する可能性があります。Security Hub CSPM にのみ AWS Config 設定レコーダーを使用し、他の目的でこの設定項目を使用しない場合は、その記録をオフにすることをお勧めします AWS Config。これにより、 AWS Config コストを削減できます。Security Hub CSPM で動作するには、AWS::Config::ResourceComplianceセキュリティチェックを記録する必要はありません。

リソースの記録に関連するコストについては、AWS 「Security Hub CSPM の料金AWS Config 料金」を参照してください。