個々のコントロールの無効化と有効化 - AWS Security Hub

個々のコントロールの無効化と有効化

標準を有効化すると、その標準のすべてのコントロールがデフォルトで有効になります。その後、有効な標準内の特定のコントロールを無効化または有効化できます。

コントロールを無効化すると、次のようになります。

  • コントロールのチェックが実行されなくなります。

  • そのコントロールに対して追加の結果が生成されません。

  • 既存の結果は 3~5 日後に自動的にアーカイブされます (これはベストエフォートであり保証されないことに注意してください)。

  • Security Hub により作成された関連 AWS Config ルールが削除されます。

コントロールの無効化は、環境に関係のないコントロールのセキュリティチェックをオフにするために役立ちます。例えば、CloudWatch アラームの代わりに Amazon GuardDuty を使用して、AWS CloudTrail ログに関連付けられた異常なアクティビティを監視するとします。この場合、CloudWatch アラームを重視する AWS Foundations Benchmark コントロール 3.1~3.14 を無効にできます。

無関係なコントロールを無効化すると、無関係な結果の数を減らすことができます。また、関連付けられた標準のセキュリティスコアから失敗したチェックが削除されます。

Security Hub はリージョン別であることを忘れないでください。コントロールを無効化または有効化すると、そのコントロールは現在のリージョン、または API リクエストで指定したリージョンでのみ無効になります。

また、標準全体を無効化すると、Security Hub ではどのコントロールが無効にされたかを追跡しません。その後、標準を再度有効化すると、すべてのコントロールが有効になります。詳細については、「セキュリティ標準の無効化または有効化」を参照してください。

注記

コントロールは、Security Hub コンソール、API、または CLI を使用して、リージョンごとに有効または無効にします。集約リージョンを設定すると、リンクされたすべてのリージョンのコントロールが表示されます。リンクされたリージョンでコントロールを使用できるが、集約リージョンでは使用できない場合は、集約リージョンからそのコントロールを有効または無効にすることはできません。マルチアカウントおよびマルチリージョンコントロールの無効化スクリプトについては、「Disabling Security Hub Controls in a multi-account environment」を参照してください。

コントロールの無効化 (コンソール)

Security Hub コンソールでは、標準の詳細ページのコントロールリストまたはコントロールの詳細ページからコントロールを無効にできます。

コントロールを無効化するには (コンソール)

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. コントロールを無効化するリージョンで Security Hub を使用していることを確認します。

  3. Security Hub ナビゲーションペインで、[Security standards] (セキュリティ標準) を選択します。

  4. コントロールを無効化する標準で、[View results] (結果の表示) を選択します。

  5. 管理者アカウントの場合は、[Enabled for this account] (このアカウントでは有効) を選択します。

    他のアカウントの場合は、[Disabled] (無効) タブ以外の任意のタブからコントロールを有効にできます。

  6. 次のいずれかを実行します。

    • コントロールリストで、無効化するコントロールを選択します。次に [Disable] (無効化) を選択します。

    • コントロールタイトルを選択します。次に、コントロールの詳細ページで、[Disable] (無効化) を選択します。

  7. コントロールを無効化する理由を入力します。これは、コントロールが無効化された理由を組織内の他のユーザーが把握するのに役立ちます。

  8. [Disable] (無効化) を選択します。

コントロールの無効化 (Security Hub API、AWS CLI)

コントロールを無効化するには、API コールまたは AWS Command Line Interface を使用します。

コントロールを無効化するには (Security Hub API、AWS CLI)

  • Security Hub API - UpdateStandardsControl オペレーションを使用します。無効化するコントロールを識別するには、コントロール ARN を指定します。標準のコントロールの ARN を取得するには、DescribeStandardsControls オペレーションを使用します。

  • AWS CLI - コマンドラインで update-standards-control コマンドを実行します。

    aws securityhub update-standards-control --standards-control-arn <control ARN> --control-status "DISABLED" --disabled-reason <description of reason to disable>

    aws securityhub update-standards-control --standards-control-arn "arn:aws:securityhub:us-east-1:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/ACM.1" --control-status "DISABLED" --disabled-reason "Not applicable for my service"

コントロールの有効化 (コンソール)

標準の詳細ページでは、無効にされたコントロールが [Disabled] (無効化) タブに表示されます。

管理者アカウントの場合、[Disabled] (無効化) タブに複数のアカウントの集約リストが含まれています。個々の管理者アカウントで無効化されたコントロールは、[Disabled for this account] (このアカウントでは無効になっています) タブに表示されています。

コントロールは、[Disabled] (無効) タブのコントロールリストまたはコントロールの詳細ページから有効にできます。

無効化されたコントロールを有効化するには (コンソール)

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. コントロールを無効化するリージョンで Security Hub を使用していることを確認します。

  3. Security Hub ナビゲーションペインで、[Security standards] (セキュリティ標準) を選択します。

  4. コントロールを有効化する標準に対して、[View results] (結果の表示) を選択します。

  5. 無効なコントロールのリストを表示します。

    メンバーアカウントまたはスタンドアロンアカウントの場合は、[Disabled] (無効化) を選択します。

    管理者アカウントの場合は、[Disabled for this account] (このアカウントでは無効になっています) を選択します。

  6. 次のいずれかを実行します。

    • [Disabled] (無効化) または [Disabled for this account] (このアカウントでは無効になっています) タブのリストで、有効化するコントロールを選択します。次に、[Enable] (有効化) を選択します。

    • コントロールタイトルを選択します。次に、コントロールの詳細 ページで [Enable] (有効化) を選択します。

コントロールの有効化 (Security Hub API、AWS CLI)

コントロールを有効化するには、API コールまたは AWS Command Line Interface を使用します。

コントロールを有効化するには (Security Hub API、AWS CLI)

  • Security Hub API - UpdateStandardsControl オペレーションを使用します。有効化するコントロールを識別するには、コントロール ARN を指定します。標準のコントロールの ARN を取得するには、DescribeStandardsControls オペレーションを使用します。

  • AWS CLI - コマンドラインで update-standards-control コマンドを実行します。

    aws securityhub update-standards-control--standards-control-arn <control ARN> --control-status "ENABLED"

    aws securityhub update-standards-control --standards-control-arn "arn:aws:securityhub:us-east-1:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/ACM.1" --control-status "ENABLED"