Security Hub AWS Config の有効化と設定 - AWS Security Hub
を有効にして設定する前の考慮事項 AWS Configでのリソースの記録 AWS Configを有効にして設定する方法 AWS ConfigConfig.1 コントロールサービスにリンクされたルールの生成コストに関する考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub AWS Config の有効化と設定

AWS Security Hub は AWS Config ルールを使用してセキュリティチェックを実行し、ほとんどのコントロールの検出結果を生成します。 AWS Config は、 内の AWS リソースの設定の詳細ビューを提供します AWS アカウント。ルールを使用してリソースのベースライン設定を確立し、設定レコーダーを使用して、特定のリソースがルールの条件に違反しているかどうかを検出します。 AWS Config マネージドルールと呼ばれる一部のルールは、 によって事前定義および開発されています AWS Config。その他のルールは AWS Config 、Security Hub が開発するカスタムルールです。

AWS Config Security Hub がコントロールに使用する ルールは、サービスにリンクされたルールと呼ばれます。サービスにリンクされたルールを使用すると、Security Hub AWS のサービス などの がアカウントに AWS Config ルールを作成できます。

Security Hub でコントロールの検出結果を受信するには、アカウント AWS Config で を有効にし、有効なコントロールが評価するリソースの記録を有効にする必要があります。このページでは、Security Hub AWS Config で を有効にし、リソース記録を有効にする方法について説明します。

を有効にして設定する前の考慮事項 AWS Config

Security Hub でコントロールの検出結果を受信するには、Security Hub AWS Config が有効になってい AWS リージョン る各 で アカウントが有効になっている必要があります。マルチアカウント環境で Security Hub を使用する場合は、管理者アカウントとすべてのメンバーアカウントの各リージョンで を有効にする AWS Config 必要があります。

Security Hub の標準とコントロールを有効にする AWS Config 前に、 でリソース記録を有効にすることを強くお勧めします。これにより、コントロールの検出結果が正確になります。

でリソース記録を有効にするには AWS Config、設定レコーダーにアタッチされている AWS Identity and Access Management (IAM) ロールにリソースを記録するのに十分なアクセス許可が必要です。さらに、リソースを記録するアクセス許可を に付与 AWS Config できない IAM ポリシーや で管理 AWS Organizations されているポリシーがないことを確認してください。Security Hub コントロールチェックは、リソースの設定を直接評価し、 AWS Organizations ポリシーを考慮しません。 AWS Config 記録の詳細については、「 デベロッパーガイド」の「設定レコーダーの使用」を参照してください。 AWS Config

Security Hub で標準を有効にしても有効になっていない場合 AWS Config、Security Hub は次のスケジュールに従って AWS Config ルールを作成しようとします。

  • 標準を有効にした日。

  • 標準を有効にした翌日。

  • 標準を有効にしてから 3 日後。

  • 標準を有効にしてから 7 日後、その後は 7 日ごとに継続的に。

中央設定を使用する場合、Security Hub は、1 つ以上の標準を有効にする設定ポリシーをアカウント、組織単位 (OUs)、またはルートに関連付けるたびに、サービスにリンクされた AWS Config ルールの作成も試みます。

でのリソースの記録 AWS Config

有効にするときは AWS Config、設定レコーダーに記録する AWS AWS Config リソースを指定する必要があります。サービスにリンクされたルールを通じて、設定レコーダーは Security Hub がリソース設定の変更を検出できるようにします。

Security Hub が正確なコントロール結果を生成するには、有効なコントロールに対応するリソースの の記録 AWS Config を有効にする必要があります。これは主に、リソースの記録を必要とする変更トリガースケジュールタイプで有効になっているコントロールです。定期的なスケジュールタイプの一部のコントロールでは、リソースの記録も必要です。これらのコントロールとその対応するリソースのリストについては、「」を参照してくださいSecurity Hub コントロールの検出結果に必要な AWS Config リソース

警告

Security Hub コントロールの AWS Config 録画を正しく設定しないと、特に次のインスタンスで、コントロールの検出結果が不正確になる可能性があります。

  • 特定のコントロールのリソースを記録したことがないか、そのタイプのリソースを作成する前にリソースの記録を無効にしました。このような場合、記録を無効にした後にコントロールの範囲内のリソースを作成している場合でも、問題のあるコントロールWARNINGの検出結果が表示されます。このWARNING検出結果は、リソースの設定状態を実際に評価しないデフォルトの検出結果です。

  • 特定のコントロールによって評価されるリソースの記録を無効にします。この場合、コントロールが新規または更新されたリソースを評価していない場合でも、Security Hub は記録を無効にする前に生成されたコントロール結果を保持します。また、Security Hub は検出結果のコンプライアンスステータスを に変更しますWARNING。これらの保持された検出結果は、リソースの現在の設定状態を正確に反映していない可能性があります。

デフォルトでは、 AWS リージョン は、実行中の で検出されたサポートされているすべてのリージョンリソース AWS Config を記録します。すべての Security Hub コントロールの検出結果を受信するには、グローバルリソースを記録する AWS Config ように も設定する必要があります。コストを削減するには、グローバルリソースを 1 つのリージョンにのみ記録することをお勧めします。中央設定またはクロスリージョン集約を使用する場合、このリージョンはホームリージョンである必要があります。

では AWS Config、リソースの状態の変化を継続的に記録するか、毎日記録するかを選択できます。日次記録を選択した場合、リソース状態に変更があった場合、 は 24 時間ごとにリソース設定データを AWS Config 配信します。変化がなければ、データは配信されません。これにより、変更によってトリガーされるコントロールに対する Security Hub の検出結果の生成が 24 時間完了するまで遅延する可能性があります。

AWS Config 記録の詳細については、「 AWS Config デベロッパーガイド」のAWS 「リソースの記録」を参照してください。

を有効にして設定する方法 AWS Config

リソース記録は、次のいずれかの方法で有効化 AWS Config および有効化できます。

  • AWS Config コンソール – AWS Config コンソールを使用して AWS Config 、アカウントの を有効にできます。手順については、「 AWS Config デベロッパーガイド」の「 コンソール AWS Config でのセットアップ」を参照してください。

  • AWS CLI または SDKs – AWS Command Line Interface () を使用して AWS Config 、アカウントの を有効にできますAWS CLI。手順については、「 AWS Config デベロッパーガイド」の「 AWS Config でのセットアップ AWS CLI」を参照してください。 AWS ソフトウェア開発キット (SDK) は、多くのプログラミング言語でも使用できます。 SDKs

  • CloudFormation テンプレート – 多くのアカウント AWS Config で を有効にするには、Enable AWS Configという名前の AWS CloudFormation テンプレートを使用することをお勧めします。このテンプレートにアクセスするには、「 AWS CloudFormation ユーザーガイド」のAWS CloudFormation StackSet サンプルテンプレート」を参照してください。

    デフォルトでは、このテンプレートは IAM グローバルリソースの記録を除外します。記録コストを節約するために、IAM グローバルリソースの記録を 1 AWS リージョン つのみ有効にしてください。クロスリージョン集約が有効になっている場合、これは Security Hub ホームリージョンである必要があります。それ以外の場合は、IAM グローバルリソースの記録をサポートする Security Hub が利用可能な任意のリージョンにすることができます。1 つの StackSet を実行して、IAM グローバルリソースを含むすべてのリソースをホームリージョンまたは他の選択したリージョンに記録することをお勧めします。次に、2 番目の StackSet を実行して、他のリージョンの IAM グローバルリソースを除くすべてのリソースを記録します。

  • GitHub スクリプト – Security Hub は、リージョン間で複数のアカウント AWS Config に対して Security Hub と を有効にする GitHub スクリプトを提供します。このスクリプトは、 と統合していない場合や AWS Organizations、組織の一部ではないメンバーアカウントがある場合に便利です。

詳細については、AWS 「 セキュリティブログ: Optimize AWS Config for AWS Security Hub to effectively manage your cloud security posture」のブログ記事を参照してください。

Config.1 コントロール

Security Hub では、 が無効になっている場合、Config.1 コントロール AWS Config はアカウントにFAILED検出結果を生成します。また、 AWS Config が有効になっていてもリソース記録が有効になっていない場合、アカウントにFAILED検出結果が生成されます。

AWS Config が有効になっていてリソース記録が有効になっているが、有効なコントロールがチェックするタイプのリソースに対してリソース記録が有効になっていない場合、Security Hub は Config.1 コントロールFAILEDの結果を生成します。このFAILED検出結果に加えて、Security Hub は有効なコントロールと、コントロールがチェックするリソースのタイプの検出WARNING結果を生成します。たとえば、KMS.5 コントロールを有効にし、リソース記録が有効になっていない場合 AWS KMS keys、Security Hub は Config.1 コントロールFAILEDの結果を生成します。Security Hub は、KMS.5 コントロールと KMS キーの検出WARNING結果も生成します。

Config.1 コントロールの検出PASSED結果を受信するには、有効なコントロールに対応するすべてのリソースタイプのリソース記録をオンにします。また、組織に必要ないコントロールも無効にします。これにより、セキュリティコントロールチェックで設定ギャップが発生しなくなります。また、誤って設定されたリソースに関する正確な結果を確実に受け取るのに役立ちます。

お客様が組織の委任 Security Hub 管理者である場合は、アカウントとメンバーアカウントに対して AWS Config 記録を正しく設定する必要があります。クロスリージョン集約を使用する場合は、ホームリージョンとすべてのリンクされたリージョンで AWS Config 録音を正しく設定する必要があります。グローバルリソースをリンクされたリージョンに記録する必要はありません。

サービスにリンクされたルールの生成

サービスにリンクされた AWS Config ルールを使用するコントロールごとに、Security Hub は必要なルールのインスタンスを AWS 環境に作成します。

これらのサービスリンクルールは Security Hub に固有です。Security Hub は、同じルールの他のインスタンスがすでに存在する場合でも、これらのサービスにリンクされたルールを作成します。サービスにリンクされたルールは、元のルール名のsecurityhub前に を追加し、ルール名の後に一意の識別子を追加します。たとえば、 AWS Config マネージドルール の場合vpc-flow-logs-enabled、サービスにリンクされたルール名は ですsecurityhub-vpc-flow-logs-enabled-12345

コントロールの評価に使用できる AWS Config マネージドルールの数にはクォータがあります。Security Hub が作成する AWS Config ルールは、これらのクォータにはカウントされません。アカウントのマネージドルール AWS Config のクォータにすでに達している場合でも、セキュリティ標準を有効にできます。 AWS Config ルールのクォータの詳細については、「 AWS Config デベロッパーガイド」の「 のサービス制限 AWS Config」を参照してください。

コストに関する考慮事項

Security Hub は、 AWS Config 設定項目を更新することで、AWS::Config::ResourceCompliance設定レコーダーのコストに影響を与える可能性があります。更新は、 AWS Config ルールに関連付けられた Security Hub コントロールがコンプライアンス状態を変更する、有効または無効になる、またはパラメータが更新されるたびに発生する可能性があります。Security Hub にのみ AWS Config 設定レコーダーを使用し、他の目的でこの設定項目を使用しない場合は、その記録をオフにすることをお勧めします AWS Config。これにより、 AWS Config コストを削減できます。Security Hub でセキュリティチェックを行うために AWS::Config::ResourceCompliance を記録する必要はありません。

リソースの記録に関連するコストの詳細については、「AWS Security Hub の料金」と「AWS Config の料金」を参照してください。