Security Hub を有効にする前の推奨事項 - AWS Security Hub
との統合 AWS Organizations中央設定の使用の設定 AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub を有効にする前の推奨事項

以下の推奨事項は、 の使用を開始するのに役立ちます AWS Security Hub。

との統合 AWS Organizations

AWS Organizations は、 AWS 管理者が複数の および AWS アカウント 組織単位 (OUs。予算、セキュリティ、コンプライアンスのニーズをサポートするように設計されたアカウント管理および一括請求 (コンソリデーティッドビリング) 機能が備わっています。追加料金なしで提供され、Security Hub AWS のサービス、Amazon 、Amazon Macie などの複数の GuardDutyと統合されます。

アカウントの管理を自動化および合理化するために、Security Hub と AWS Organizationsを統合することを強く推奨しています。Security Hub を使用する複数の がある場合は AWS アカウント 、 Organizations と統合できます。

統合を有効にする手順については、「Security Hub と の統合 AWS Organizations」をご参照ください。

中央設定の使用

Security Hub と Organizations を統合すると、中央設定と呼ばれる機能を使用して組織の Security Hub を設定および管理できます。管理者が組織のセキュリティ範囲をカスタマイズできるため、中央設定を使用することを強くお勧めします。必要に応じて、委任管理者はメンバーアカウントによる独自のセキュリティカバレッジの設定を許可できます。

中央設定を使用すると、委任管理者はアカウント、OUs、および 全体で Security Hub を設定できます AWS リージョン。委任管理者は、設定ポリシーを作成して Security Hub を設定します。設定ポリシー内では、以下の設定を指定できます。

  • Security Hub が有効か無効か

  • どのセキュリティ基準を有効または無効にするか

  • どのセキュリティコントロールを有効または無効にするか

  • コントロール選択用のパラメータをカスタマイズするかどうか

委任管理者は、組織全体を対象とする単一の設定ポリシーを作成することも、さまざまなアカウントや OU に異なる設定ポリシーを作成することもできます。例えば、テストアカウントと本稼働アカウントでは異なる設定ポリシーを使用できます。

設定ポリシーを使用するメンバーアカウントと OU は一元管理され、委任管理者のみが設定できます。委任管理者は、特定のメンバーアカウントと OU をセルフマネージド型として指定して、メンバーがリージョン単位で独自の設定を行えるようにすることができます。

中央設定の詳細については、「中央設定の仕組み」を参照してください。

の設定 AWS Config

AWS Security Hub は、サービスにリンクされた AWS Config ルールを使用して、ほとんどのコントロールのセキュリティチェックを実行します。

これらのコントロールをサポートする AWS Config には、 AWS リージョン Security Hub が有効になっている各 で、管理者アカウントとメンバーアカウントの両方を含むすべてのアカウントで を有効にする必要があります。さらに、有効な標準ごとに、有効なコントロールに必要なリソースを記録するように設定 AWS Config する必要があります。

Security Hub 標準を有効にする AWS Config 前に、 でリソース記録を有効にすることをお勧めします。リソース記録が有効になっていないときに Security Hub がセキュリティチェックを実行しようとすると、チェックはエラーを返します。

Security Hub はお客様 AWS Config に代わって管理しません。既に AWS Config を有効にしている場合は、 AWS Config コンソールまたは APIsを使用して設定を行うことができます。

標準を有効にしているが、 を有効にしていない場合 AWS Config、Security Hub は次のスケジュールに従って AWS Config ルールを作成しようとします。

  • 標準を有効にした当日

  • 標準を有効にした翌日

  • 標準を有効にしてから 3 日後

  • 標準を有効にしてから 7 日後 (その後は 7 日ごとに継続的に)

中央設定を使用する場合、Security Hub は、1 つ以上の標準を有効にする設定ポリシーを再適用するときに AWS Config ルールの作成も試みます。

の有効化 AWS Config

AWS Config をまだ有効にしていない場合は、次のいずれかの方法で有効にできます。

  • コンソールまたは AWS CLI - AWS Config コンソールまたは AWS Config を使用して手動で を有効にできます AWS CLI。「AWS Config 開発者ガイド」の「AWS Configの開始方法」を参照してください。

  • AWS CloudFormation template – 多数のアカウント AWS Config で を有効にする場合は、 CloudFormation テンプレート Enable AWS Config を使用して を有効に AWS Configできます。このテンプレートにアクセスするには、「 ユーザーガイド」のAWS CloudFormation StackSets 「サンプルテンプレートAWS CloudFormation 」を参照してください。

  • Github スクリプト – Security Hub は、リージョン間で複数のアカウントに対して Security Hub を有効にするGitHub スクリプトを提供します。このスクリプトは、Organizations と統合していない場合、あるいは、自分の組織に属さないアカウントがある場合などに有用です。このスクリプトを使用して Security Hub を有効にすると、これらのアカウント AWS Config に対しても自動的に が有効になります。

AWS Config を有効にして Security Hub セキュリティチェックを実行する方法の詳細については、「 の最適化 AWS Security HubAWS Config 」を参照してクラウドセキュリティ体制を効果的に管理してください

でリソース記録を有効にする AWS Config

でリソース記録をデフォルト設定 AWS Config で有効にすると、実行中の で AWS リージョン が AWS Config 検出した、サポートされているすべてのタイプのリージョンリソースが記録されます。また、 を設定 AWS Config して、サポートされているタイプのグローバルリソース を記録することもできます。グローバルリソースは 1 つのリージョンに記録するだけで済みます (中央設定を使用している場合は、これをホームリージョンにすることをお勧めします)。

CloudFormation StackSets を使用して を有効にする場合は AWS Config、2 つの異なる を実行することをお勧めします StackSets。1 つのリージョンでグローバルリソースを含むすべてのリソースを記録する StackSet には、1 つを実行します。1 秒実行 StackSet して、他のリージョンのグローバルリソースを除くすべてのリソースを記録します。

の一機能である高速セットアップを使用して、アカウントとリージョン AWS Config 全体で でリソース記録 AWS Systems Managerをすばやく設定することもできます。Quick Setup の最中に、グローバルリソースを記録するリージョンを選択できます。詳細については、AWS Systems Manager ユーザーガイドの「AWS Config 設定レコーダー」を参照してください。

セキュリティコントロール Config.1 は、アグリゲータ内のリンクされたリージョン以外のリージョン (ホームリージョンと、検出結果アグリゲータにまったくないリージョン) について、そのリージョンが (IAM) グローバルリソースを記録 AWS Identity and Access Management せず、IAM グローバルリソースの記録を必要とするコントロールを有効にしている場合、失敗した検出結果を生成します。リンクされたリージョンでは、Config.1 は IAM グローバルリソースが記録されているかどうかをチェックしません。各コントロールに必要なリソースのリストについては、「」を参照してくださいAWS Config コントロールの検出結果を生成するために必要な リソース

なお、マルチアカウントスクリプトを使用して Security Hub を有効にした場合、グローバルリソースを含むすべてのリソースのリソース記録が、すべてのリージョンで自動的に有効になることにご注意ください。その後、単一のリージョンのみでグローバルリソースを記録するように設定を更新できます。詳細については、「 AWS Config デベロッパーガイド」の「 AWS Config リソースレコードの選択」を参照してください。

Security Hub が AWS Config ルールに依存するコントロールの検出結果を正確にレポートするには、関連するリソースの記録を有効にする必要があります。コントロールとその関連 AWS Config リソースのリストについては、「継続的な記録とリソースの状態の変化の毎日の記録の中から選択した AWS Config コントロールの検出結果を生成するために必要な リソース.AWS Config lets」を参照してください。毎日記録することを選択した場合、 AWS Config は、リソースの状態に変化があったとき、各 24 時間の最後にリソース設定データを配信します。変化がなければ、データは配信されません。そのため、変更によってトリガーされるコントロールに関する Security Hub の検出結果の生成が 24 時間周期の終了まで遅れる可能性があります。

注記

セキュリティチェック後に新しい結果を生成して古い結果にならないようにするには、構成レコーダーにアタッチされた IAM ロールに基盤となるリソースを評価するための十分な許可が必要です。

コストに関する考慮事項

リソースの記録に関連するコストの詳細については、「AWS Security Hub の料金」と「AWS Config の料金」を参照してください。

Security Hub は、 AWS Config 設定項目を更新することで、AWS::Config::ResourceCompliance設定レコーダーのコストに影響を与える可能性があります。更新は、 AWS Config ルールに関連付けられた Security Hub コントロールがコンプライアンス状態を変更する、有効または無効になる、またはパラメータが更新されるたびに発生する可能性があります。Security Hub にのみ AWS Config 設定レコーダーを使用し、他の目的でこの設定項目を使用しない場合は、 AWS Config コンソールまたは で記録をオフにすることをお勧めします AWS CLI。これにより、 AWS Config コストを削減できます。Security Hub でセキュリティチェックを行うために AWS::Config::ResourceCompliance を記録する必要はありません。