前提条件と推奨事項 - AWS Security Hub
との統合 AWS Organizations中央設定の使用の設定 AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件と推奨事項

次の前提条件と推奨事項は、 AWS Security Hubの使用を開始する際に役立ちます。

との統合 AWS Organizations

AWS Organizations は、 AWS 管理者が複数の と AWS アカウント 組織単位 (OUs。予算、セキュリティ、コンプライアンスのニーズをサポートするように設計されたアカウント管理および一括請求 (コンソリデーティッドビリング) 機能が備わっています。追加料金なしで提供され、Security Hub AWS のサービス、Amazon 、 GuardDutyAmazon Macie を含む複数の と統合されています。

アカウントの管理を自動化および合理化するために、Security Hub と AWS Organizationsを統合することを強く推奨しています。Security Hub AWS アカウント を使用する複数の がある場合は、Organizations と統合できます。

統合を有効にする手順については、「Security Hub と の統合 AWS Organizations」をご参照ください。

中央設定の使用

Security Hub と Organizations を統合すると、中央設定と呼ばれる機能を使用して組織の Security Hub を設定および管理できます。管理者が組織のセキュリティ範囲をカスタマイズできるため、中央設定を使用することを強くお勧めします。必要に応じて、委任管理者はメンバーアカウントによる独自のセキュリティカバレッジの設定を許可できます。

中央設定により、委任管理者は複数のアカウント、OU、およびリージョンで Security Hub を設定できます。委任管理者は、設定ポリシーを作成して Security Hub を設定します。設定ポリシー内では、以下の設定を指定できます。

  • Security Hub が有効か無効か

  • どのセキュリティ基準を有効または無効にするか

  • どのセキュリティコントロールを有効または無効にするか

  • コントロール選択用のパラメータをカスタマイズするかどうか

委任管理者は、組織全体を対象とする単一の設定ポリシーを作成することも、さまざまなアカウントや OU に異なる設定ポリシーを作成することもできます。例えば、テストアカウントと本稼働アカウントでは異なる設定ポリシーを使用できます。

設定ポリシーを使用するメンバーアカウントと OU は一元管理され、委任管理者のみが設定できます。委任管理者は、特定のメンバーアカウントと OU をセルフマネージド型として指定して、メンバーがリージョン単位で独自の設定を行えるようにすることができます。

中央設定の詳細については、「Security Hub の中央設定」を参照してください。

の設定 AWS Config

AWS Security Hub は、サービスにリンクされた AWS Config ルールを使用して、ほとんどのコントロールのセキュリティチェックを実行します。

これらのコントロールをサポートするには、Security Hub が有効になってい AWS リージョン る各 で、管理者アカウントとメンバーアカウントの両方を含むすべてのアカウントで を有効にする AWS Config 必要があります。さらに、有効な標準ごとに、有効なコントロールに必要なリソースを記録するように設定 AWS Config する必要があります。

Security Hub 標準を有効にする AWS Config 前に、 でリソース記録を有効にすることをお勧めします。リソース記録が有効になっていないときに Security Hub がセキュリティチェックを実行しようとすると、チェックはエラーを返します。

Security Hub は AWS Config を管理しません。を既に AWS Config 有効にしている場合は、 AWS Config コンソールまたは APIsを使用して設定を構成できます。

標準を有効にしているが、 を有効にしていない場合 AWS Config、Security Hub は次のスケジュールに従って AWS Config ルールを作成しようとします。

  • 標準を有効にした当日

  • 標準を有効にした翌日

  • 標準を有効にしてから 3 日後

  • 標準を有効にしてから 7 日後 (その後は 7 日ごとに継続的に)

中央設定を使用する場合、Security Hub は、1 つ以上の標準を有効にする設定ポリシーを再適用するときにも AWS Config ルールの作成を試みます。

の有効化 AWS Config

AWS Config をまだ有効にしていない場合は、次のいずれかの方法で有効にできます。

  • コンソールまたは AWS CLI - AWS Config コンソールまたは AWS Config を使用して手動で を有効にできます AWS CLI。「AWS Config 開発者ガイド」の「AWS Configの開始方法」を参照してください。

  • AWS CloudFormation テンプレート – 多数のアカウント AWS Config で を有効にする場合は、 CloudFormation テンプレート Enable AWS Config を使用して を有効にできます。 AWS Configこのテンプレートにアクセスするには、「 ユーザーガイド」のAWS CloudFormation StackSets 「 サンプルテンプレート」を参照してください。 AWS CloudFormation

  • Github スクリプト – Security Hub には、リージョン間で複数のアカウントに対して Security Hub を有効にするGitHub スクリプトが用意されています。このスクリプトは、Organizations と統合していない場合、あるいは、自分の組織に属さないアカウントがある場合などに有用です。このスクリプトを使用して Security Hub を有効にすると、これらのアカウント AWS Config でも が自動的に有効になります。

を有効に AWS Config して Security Hub セキュリティチェックを実行する方法の詳細については、「 の最適化 AWS Security HubAWS Config 」を参照して、クラウドセキュリティ体制を効果的に管理してください

でリソース記録を有効にする AWS Config

でリソース記録をデフォルト設定 AWS Config で有効にすると、 が実行中の で AWS Config AWS リージョン 検出した、サポートされているすべてのタイプのリージョナルリソースが記録されます。サポートされているタイプのグローバルリソースを記録する AWS Config ように を設定することもできます。グローバルリソースは 1 つのリージョンに記録するだけで済みます (中央設定を使用している場合は、これをホームリージョンにすることをお勧めします)。

CloudFormation StackSets を使用して を有効にする場合は AWS Config、2 つの異なる を実行することをお勧めします StackSets。1 つの リージョンで、グローバルリソースを含むすべてのリソースを記録する StackSet には、1 つの を実行します。2 番目の を実行して StackSet 、他のリージョンのグローバルリソースを除くすべてのリソースを記録します。

の一機能である高速セットアップを使用して AWS Systems Manager、アカウントとリージョン AWS Config 全体で のリソース記録をすばやく設定することもできます。Quick Setup の最中に、グローバルリソースを記録するリージョンを選択できます。詳細については、AWS Systems Manager ユーザーガイドの「AWS Config 設定レコーダー」を参照してください。

グローバルリソースが記録されていないリージョンでは、セキュリティコントロール Config.1 は不合格の検出結果を生成します。これは想定されたことであり、自動化ルールを使用してこれらの検出結果を抑制できます。

なお、マルチアカウントスクリプトを使用して Security Hub を有効にした場合、グローバルリソースを含むすべてのリソースのリソース記録が、すべてのリージョンで自動的に有効になることにご注意ください。その後、単一のリージョンのみでグローバルリソースを記録するように設定を更新できます。詳細については、「 AWS Config デベロッパーガイド」の「 が AWS Config 記録するリソースの選択」を参照してください。

Security Hub が AWS Config ルールに依存するコントロールの検出結果を正確にレポートするには、関連するリソースの記録を有効にする必要があります。コントロールとその関連 AWS Config リソースのリストについては、「リソースの状態の変化を継続的に記録するか、毎日記録するかを選択するAWS Config 統制結果の生成に必要なリソース.AWS Config lets」を参照してください。毎日記録することを選択した場合、 AWS Config は、リソースの状態に変化があったとき、各 24 時間の最後にリソース設定データを配信します。変化がなければ、データは配信されません。そのため、変更によってトリガーされるコントロールに関する Security Hub の検出結果の生成が 24 時間周期の終了まで遅れる可能性があります。

注記

セキュリティチェック後に新しい結果を生成して古い結果にならないようにするには、構成レコーダーにアタッチされた IAM ロールに基盤となるリソースを評価するための十分な許可が必要です。

コストに関する考慮事項

リソースの記録に関連するコストの詳細については、「AWS Security Hub の料金」と「AWS Config の料金」を参照してください。

Security Hub は、 AWS Config 設定項目を更新することで、AWS::Config::ResourceCompliance設定レコーダーのコストに影響を与える可能性があります。更新は、 AWS Config ルールに関連付けられた Security Hub コントロールがコンプライアンス状態を変更するか、有効または無効になるか、パラメータを更新するたびに発生する可能性があります。 AWS Config 設定レコーダーを Security Hub にのみ使用し、この設定項目を他の目的で使用しないときは、 AWS Config コンソールまたは で記録をオフにすることをお勧めします AWS CLI。これにより、 AWS Config コストを削減できます。Security Hub でセキュリティチェックを行うために AWS::Config::ResourceCompliance を記録する必要はありません。