すべての標準におけるコントロールの有効化と無効化 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

すべての標準におけるコントロールの有効化と無効化

AWS Security Hub は、有効なコントロールの検出結果を生成し、セキュリティスコアを計算するときに有効なすべてのコントロールを考慮します。すべてのセキュリティ標準でコントロールを有効または無効にしたり、有効化ステータスを標準ごとに異なる方法で設定したりできます。有効なすべての標準でコントロールの有効化ステータスを一致させる前者のオプションを使用することをお勧めします。このセクションでは、標準全体でコントロールを有効および無効にする方法について説明します。1 つまたは複数の特定の標準でコントロールを有効または無効にするには、「特定の標準コントロールの有効化と無効化」を参照してください。

集約リージョンを設定すると、Security Hub コンソールには、リンクされたすべてのリージョンのコントロールが表示されます。リンクされたリージョンでコントロールを使用できるが、集約リージョンでは使用できない場合は、集約リージョンからそのコントロールを有効または無効にすることはできません。

注記

コントロールを有効または無効にする手順は、中央設定を使用するかどうかによって異なります。このセクションでは、その違いについて説明します。Security Hub と を統合するユーザーは、中央設定を使用できます AWS Organizations。マルチアカウント、マルチリージョン環境でコントロールを有効または無効にするプロセスを簡略化するために、中央設定を使用することをお勧めします。

コントロールの有効化

標準でコントロールを有効にすると、Security Hub はそのコントロールのセキュリティチェックを開始し、コントロールの検出結果を生成します。

Security Hub では、全体のセキュリティスコアと標準セキュリティスコアの計算にコントロールステータスを含みます。[統合されたコントロールの検出結果] を有効にすると、コントロールを複数の標準で有効にしている場合でも、セキュリティチェックの検出結果を 1 つ受け取ります。詳細については、統合コントロールの検出結果を参照してください。

複数のアカウントおよびリージョンのすべての標準でコントロールを有効にする

複数のアカウントおよび でセキュリティコントロールを有効にするには AWS リージョン、中央設定 を使用する必要があります。

中央設定を使用する場合、委任管理者は、有効な標準全体で指定されたコントロールを有効にする Security Hub 設定ポリシーを作成できます。その後、設定ポリシーを特定のアカウントおよび組織単位 (OUs) またはルートに関連付けることができます。設定ポリシーは、ホームリージョン (集約リージョンとも呼ばれる) およびリンクされているすべてのリージョンで有効になります。

設定ポリシーではカスタマイズが可能です。例えば、1 つの OU ですべてのコントロールを有効にし、別の OU で Amazon Elastic Compute Cloud (EC2) コントロールのみを有効にするように選択できます。詳細度のレベルは、組織のセキュリティカバレッジについて目指す目標によって異なります。標準全体で指定されたコントロールを有効にする設定ポリシーの作成手順については、「設定ポリシーの作成と関連付け」を参照してください。

注記

委任管理者は、サービスマネージドスタンダード: AWS Control Towerを除くすべての標準でコントロールを管理するための設定ポリシーを作成できます。この標準のコントロールは、 AWS Control Tower サービスで設定する必要があります。

委任管理者ではなく一部のアカウントに独自のコントロールを設定させたい場合は、委任管理者がそれらのアカウントをセルフマネージドとして指定できます。セルフマネージドアカウントは、リージョンごとにコントロールを個別に設定する必要があります。

1 つのアカウントおよびリージョンのすべての標準でコントロールを有効にする

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントおよびリージョンでコントロールを一元的に有効にすることはできません。ただし、次の手順を使用して、1 つのアカウントおよびリージョンでコントロールを有効にすることができます。

Security Hub console
1 つのアカウントおよびリージョンの標準全体でコントロールを有効にするには
  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

  2. ナビゲーションペインで [コントロール] を選択します。

  3. [無効] タブを選択します。

  4. コントロールの横にあるオプションを選択します。

  5. [コントロールの有効化] を選択します (このオプションは、既に有効になっているコントロールには表示されません)。

  6. コントロールを有効にするリージョンごとに、これらの手順を繰り返します。

Security Hub API
1 つのアカウントおよびリージョンの標準全体でコントロールを有効にするには
  1. を呼び出しますListStandardsControlAssociationsAPI。セキュリティコントロール ID を指定します。

    リクエストの例:

    { "SecurityControlId": "IAM.1" }
  2. を呼び出しますBatchUpdateStandardsControlAssociationsAPI。コントロールが有効になっていない標準の Amazon リソースネーム (ARN) を指定します。標準 を取得するにはARNs、 を実行しますDescribeStandards

  3. AssociationStatus パラメータを ENABLED と等しい値に設定します。既に有効になっているコントロールに対してこれらのステップを実行すると、 はHTTPステータスコード 200 レスポンスAPIを返します。

    リクエストの例:

    { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}] }
  4. コントロールを有効にするリージョンごとに、これらの手順を繰り返します。

AWS CLI
1 つのアカウントおよびリージョンの標準全体でコントロールを有効にするには
  1. list-standards-control-associations コマンドを実行します。セキュリティコントロール ID を指定します。

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
  2. batch-update-standards-control-associations コマンドを実行します。コントロールが有効になっていない標準の Amazon リソースネーム (ARN) を指定します。標準 を取得するにはARNs、 describe-standards コマンドを実行します。

  3. AssociationStatus パラメータを ENABLED と等しい値に設定します。既に有効になっているコントロールに対してこれらのステップを実行すると、コマンドはHTTPステータスコード 200 レスポンスを返します。

    aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
  4. コントロールを有効にするリージョンごとに、これらの手順を繰り返します。

有効な標準で新しいコントロールを自動的に有効化する

Security Hub は定期的に新しいセキュリティコントロールをリリースし、1 つ以上の標準に追加しています。有効化した標準で新しいコントロールを自動的に有効化するかどうかは、ユーザーが選択できます。

注記

新しいコントロールを自動的に有効にするには、中央設定を使用することをお勧めします。設定ポリシーに無効にするコントロールのリストが含まれている場合 (プログラム上、これは DisabledSecurityControlIdentifiers パラメータを反映しています)、Security Hub は、他のすべてのコントロール (新しくリリースされたコントロールを含む) を標準全体で自動的に有効にします。ポリシーに有効にするコントロールのリストが含まれている場合 (これは EnabledSecurityControlIdentifiers パラメータを反映しています)、Security Hub は、他のすべてのコントロール (新しくリリースされたコントロールを含む) を標準全体で自動的に無効にします。詳細については、「Security Hub での設定ポリシーの仕組み」を参照してください。

お好みのアクセス方法を選択し、次の手順に従って、有効な標準の新しいコントロールを自動的に有効化します。以下の手順は、中央設定を使用しない場合にのみ適用されます。

Security Hub console
新しいコントロールを自動的に有効化するには
  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

  2. ナビゲーションペインで、[Settings] (設定)、[General] (一般) タブの順に選択します。

  3. [コントロール][編集] を選択します。

  4. [有効になっている標準で新しいコントロールを自動的に有効にする] をオンにします。

  5. [Save] を選択します。

Security Hub API
新しいコントロールを自動的に有効化するには
  1. を呼び出しますUpdateSecurityHubConfigurationAPI。

  2. 有効な標準で新しいコントロールを自動的に有効にするには、AutoEnableControlstrue に設定します。新しいコントロールを自動的に有効化しない場合は、AutoEnableControls を false に設定します。

AWS CLI
新しいコントロールを自動的に有効化するには
  1. update-security-hub-configuration コマンドを実行します。

  2. 有効な標準で新しいコントロールを自動的に有効にするには、--auto-enable-controls を指定します。新しいコントロールを自動的に有効化しない場合は、--no-auto-enable-controls を指定します。

    aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls

    コマンドの例

    aws securityhub update-security-hub-configuration --auto-enable-controls

コントロールを無効化する

すべての標準でコントロールを無効化すると、次のようになります。

  • コントロールのセキュリティチェックは実行されなくなります。

  • そのコントロールに対して追加の結果が生成されません。

  • 既存の検出結果は 3~5 日後に自動的にアーカイブされます (これはベストエフォートである点に注意してください)。

  • Security Hub が作成した関連 AWS Config ルールはすべて削除されます。

すべての標準でコントロールを無効にするのではなく、1 つ以上の特定の標準でコントロールを無効にするだけで済みます。これを行うと、Security Hub は、無効にした標準のコントロールのセキュリティチェックを実行しなくなるため、それらの標準のセキュリティスコアには影響しません。ただし、Security Hub は AWS Config ルールを保持し、他の標準で有効になっているコントロールのセキュリティチェックを引き続き実行します。これは概要セキュリティスコアに影響する可能性があります。特定の標準でコントロールを設定する手順については、「特定の標準コントロールの有効化と無効化」を参照してください。

検出結果のノイズを減らすには、環境に関係のないコントロールを無効にするとよいでしょう。無効にするコントロールに関する推奨事項については、「無効にする可能性のある Security Hub コントロール」を参照してください。

標準を無効にすると、その標準に適用されるすべてのコントロールが無効になります (ただし、それらのコントロールは他の標準では有効のままです)。標準の無効化の詳細については、「Security Hub で標準を有効または無効にする」を参照してください。

標準を無効にすると、Security Hub はどの該当するコントロールが無効になったかを追跡しません。その後、同じ標準を再度有効にすると、その標準に適用されるすべてのコントロールが自動的に有効になります。さらに、コントロールを無効にすることは永続的なアクションではありません。コントロールを無効にしてから、以前に無効になっていた標準を有効にしたとします。標準にそのコントロールが含まれている場合、コントロールはその標準で有効になります。Security Hub で標準を有効にすると、その標準に適用されるすべてのコントロールが自動的に有効になります。特定のコントロールを無効にすることができます。

複数のアカウントおよびリージョンのすべての標準でコントロールを無効にする

複数のアカウントおよび でセキュリティコントロールを無効にするには AWS リージョン、中央設定 を使用する必要があります。

中央設定を使用する場合、委任管理者は、有効な標準全体で指定されたコントロールを無効にする Security Hub 設定ポリシーを作成できます。その後、設定ポリシーを特定のアカウント、OUs、またはルートに関連付けることができます。設定ポリシーは、ホームリージョン (集約リージョンとも呼ばれる) およびリンクされているすべてのリージョンで有効になります。

設定ポリシーではカスタマイズが可能です。例えば、1 つの OU のすべての AWS CloudTrail コントロールを無効にすることや、別の OU のすべてのIAMコントロールを無効にすることを選択できます。詳細度のレベルは、組織のセキュリティカバレッジについて目指す目標によって異なります。標準全体で指定されたコントロールを無効にする設定ポリシーの作成手順については、「設定ポリシーの作成と関連付け」を参照してください。

注記

委任管理者は、サービスマネージドスタンダード: AWS Control Towerを除くすべての標準でコントロールを管理するための設定ポリシーを作成できます。この標準のコントロールは、 AWS Control Tower サービスで設定する必要があります。

委任管理者ではなく一部のアカウントに独自のコントロールを設定させたい場合は、委任管理者がそれらのアカウントをセルフマネージドとして指定できます。セルフマネージドアカウントは、リージョンごとにコントロールを個別に設定する必要があります。

1 つのアカウントおよびリージョンのすべての標準でコントロールを無効にする

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントおよびリージョンでコントロールを一元的に無効にすることはできません。ただし、次の手順を使用して、1 つのアカウントおよびリージョンでコントロールを無効にすることができます。

Security Hub console
1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには
  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

  2. ナビゲーションペインで [コントロール] を選択します。

  3. コントロールの横にあるオプションを選択します。

  4. [コントロールの無効化] を選択します (このオプションは、既に無効になっているコントロールには表示されません)。

  5. コントロールを無効にする理由を選択し、[無効化] を選択して確定します。

  6. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。

Security Hub API
1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには
  1. を呼び出しますListStandardsControlAssociationsAPI。セキュリティコントロール ID を指定します。

    リクエストの例:

    { "SecurityControlId": "IAM.1" }
  2. を呼び出しますBatchUpdateStandardsControlAssociationsAPI。コントロールが有効になっているARN標準の を指定します。標準 を取得するにはARNs、 を実行しますDescribeStandards

  3. AssociationStatus パラメータを DISABLED と等しい値に設定します。既に無効になっているコントロールに対してこれらのステップを実行すると、 はHTTPステータスコード 200 レスポンスAPIを返します。

    リクエストの例:

    { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}] }
  4. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。

AWS CLI
1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには
  1. list-standards-control-associations コマンドを実行します。セキュリティコントロール ID を指定します。

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
  2. batch-update-standards-control-associations コマンドを実行します。コントロールが有効になっているARN標準の を指定します。標準 を取得するにはARNs、 describe-standards コマンドを実行します。

  3. AssociationStatus パラメータを DISABLED と等しい値に設定します。既に無効になっているコントロールに対してこれらのステップを実行すると、コマンドはHTTPステータスコード 200 レスポンスを返します。

    aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
  4. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。