すべての標準におけるコントロールの有効化と無効化 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

すべての標準におけるコントロールの有効化と無効化

AWS Security Hub セキュリティスコアを計算する際には、有効になっている統制の結果を生成し、有効になっているすべての統制を考慮します。すべてのセキュリティ標準でコントロールを有効または無効にしたり、有効化ステータスを標準ごとに異なる方法で設定したりできます。有効なすべての標準でコントロールの有効化ステータスを一致させる前者のオプションを使用することをお勧めします。このセクションでは、標準全体でコントロールを有効および無効にする方法について説明します。1 つまたは複数の特定の標準でコントロールを有効または無効にするには、「特定の標準コントロールの有効化と無効化」を参照してください。

集約リージョンを設定すると、Security Hub コンソールには、リンクされたすべてのリージョンのコントロールが表示されます。リンクされたリージョンでコントロールを使用できるが、集約リージョンでは使用できない場合は、集約リージョンからそのコントロールを有効または無効にすることはできません。

注記

コントロールを有効または無効にする手順は、中央設定を使用するかどうかによって異なります。このセクションでは、その違いについて説明します。Security Hub とを統合するユーザは、中央設定を使用できます AWS Organizations。マルチアカウント、マルチリージョン環境でコントロールを有効または無効にするプロセスを簡略化するために、中央設定を使用することをお勧めします。

コントロールの有効化

標準でコントロールを有効にすると、Security Hub はそのコントロールのセキュリティチェックを開始し、コントロールの検出結果を生成します。

Security Hub では、全体のセキュリティスコアと標準セキュリティスコアの計算にコントロールステータスを含みます。[統合されたコントロールの検出結果] を有効にすると、コントロールを複数の標準で有効にしている場合でも、セキュリティチェックの検出結果を 1 つ受け取ります。詳細については、統合コントロールの検出結果を参照してください。

複数のアカウントおよびリージョンのすべての標準でコントロールを有効にする

複数のアカウントとにわたるセキュリティ制御を有効にするには AWS リージョン、中央設定を使用する必要があります

中央設定を使用する場合、委任管理者は、有効な標準全体で指定されたコントロールを有効にする Security Hub 設定ポリシーを作成できます。そして、設定ポリシーを特定のアカウントや組織単位 (OU)、またはルートに関連付けることができます。設定ポリシーは、ホームリージョン (集約リージョンとも呼ばれる) およびリンクされているすべてのリージョンで有効になります。

設定ポリシーではカスタマイズが可能です。例えば、ある OU ではすべてのコントロールを有効にし、別の OU では Amazon Elastic Compute Cloud (EC2) コントロールのみを有効にすることができます。詳細度のレベルは、組織のセキュリティカバレッジについて目指す目標によって異なります。標準全体で指定されたコントロールを有効にする設定ポリシーの作成手順については、「Security Hub 設定ポリシーの作成と関連付け」を参照してください。

注記

委任管理者は、サービス管理標準を除くすべての標準の統制を管理する設定ポリシーを作成できます。 AWS Control Towerこの規格の統制はサービスで設定する必要があります。 AWS Control Tower

委任管理者ではなく一部のアカウントに独自のコントロールを設定させたい場合は、委任管理者がそれらのアカウントをセルフマネージドとして指定できます。セルフマネージドアカウントは、リージョンごとにコントロールを個別に設定する必要があります。

1 つのアカウントおよびリージョンのすべての標準でコントロールを有効にする

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントおよびリージョンでコントロールを一元的に有効にすることはできません。ただし、次の手順を使用して、1 つのアカウントおよびリージョンでコントロールを有効にすることができます。

Security Hub console
1 つのアカウントおよびリージョンの標準全体でコントロールを有効にするには
  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub でコンソールを開きます。

  2. ナビゲーションペインで [コントロール] を選択します。

  3. [無効] タブを選択します。

  4. コントロールの横にあるオプションを選択します。

  5. [コントロールの有効化] を選択します (このオプションは、既に有効になっているコントロールには表示されません)。

  6. コントロールを有効にするリージョンごとに、これらの手順を繰り返します。

Security Hub API
1 つのアカウントおよびリージョンの標準全体でコントロールを有効にするには
  1. ListStandardsControlAssociations API を呼び出します。セキュリティコントロール ID を指定します。

    リクエストの例:

    { "SecurityControlId": "IAM.1" }
  2. BatchUpdateStandardsControlAssociations API を呼び出します。コントロールが有効になっていない標準の Amazon リソースネーム (ARN) を指定します。標準 ARN を取得するには、DescribeStandards を実行します。

  3. AssociationStatus パラメータを ENABLED と等しい値に設定します。既に有効化されているコントロールに対してこれらの手順を実行すると、API は HTTP ステータスコード 200 の応答を返します。

    リクエストの例:

    { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}] }
  4. コントロールを有効にするリージョンごとに、これらの手順を繰り返します。

AWS CLI
1 つのアカウントおよびリージョンの標準全体でコントロールを有効にするには
  1. list-standards-control-associations コマンドを実行します。セキュリティコントロール ID を指定します。

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
  2. batch-update-standards-control-associations コマンドを実行します。コントロールが有効になっていない標準の Amazon リソースネーム (ARN) を指定します。標準 ARN を取得するには、describe-standards コマンドを実行します。

  3. AssociationStatus パラメータを ENABLED と等しい値に設定します。既に有効化されているコントロールに対してこれらの手順を実行すると、コマンドは HTTP ステータスコード 200 の応答を返します。

    aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
  4. コントロールを有効にするリージョンごとに、これらの手順を繰り返します。

有効な標準で新しいコントロールを自動的に有効化する

Security Hub は定期的に新しいセキュリティコントロールをリリースし、1 つ以上の標準に追加しています。有効化した標準で新しいコントロールを自動的に有効化するかどうかは、ユーザーが選択できます。

注記

新しいコントロールを自動的に有効にするには、中央設定を使用することをお勧めします。設定ポリシーに無効にするコントロールのリストが含まれている場合 (プログラム上、これは DisabledSecurityControlIdentifiers パラメータを反映しています)、Security Hub は、他のすべてのコントロール (新しくリリースされたコントロールを含む) を標準全体で自動的に有効にします。ポリシーに有効にするコントロールのリストが含まれている場合 (これは EnabledSecurityControlIdentifiers パラメータを反映しています)、Security Hub は、他のすべてのコントロール (新しくリリースされたコントロールを含む) を標準全体で自動的に無効にします。詳細については、「Security Hub 設定ポリシーの仕組み」を参照してください。

お好みのアクセス方法を選択し、次の手順に従って、有効な標準の新しいコントロールを自動的に有効化します。以下の手順は、中央設定を使用しない場合にのみ適用されます。

Security Hub console
新しいコントロールを自動的に有効化するには
  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub でコンソールを開きます。

  2. ナビゲーションペインで、[Settings] (設定)、[General] (一般) タブの順に選択します。

  3. [コントロール][編集] を選択します。

  4. [有効になっている標準で新しいコントロールを自動的に有効にする] をオンにします。

  5. [保存] を選択します。

Security Hub API
新しいコントロールを自動的に有効化するには
  1. UpdateSecurityHubConfiguration API を呼び出します。

  2. 有効な標準で新しいコントロールを自動的に有効にするには、AutoEnableControlstrue に設定します。新しいコントロールを自動的に有効化しない場合は、AutoEnableControls を false に設定します。

AWS CLI
新しいコントロールを自動的に有効化するには
  1. update-security-hub-configuration コマンドを実行します。

  2. 有効な標準で新しいコントロールを自動的に有効にするには、--auto-enable-controls を指定します。新しいコントロールを自動的に有効化しない場合は、--no-auto-enable-controls を指定します。

    aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls

    コマンドの例

    aws securityhub update-security-hub-configuration --auto-enable-controls

コントロールを無効化する

すべての標準でコントロールを無効化すると、次のようになります。

  • コントロールのセキュリティチェックは実行されなくなります。

  • そのコントロールに対して追加の結果が生成されません。

  • 既存の検出結果は 3~5 日後に自動的にアーカイブされます (これはベストエフォートである点に注意してください)。

  • Security Hub AWS Config が作成した関連ルールはすべて削除されます。

すべての標準でコントロールを無効にするのではなく、1 つ以上の特定の標準でコントロールを無効にするだけで済みます。これを行うと、Security Hub は、無効にした標準のコントロールのセキュリティチェックを実行しなくなるため、それらの標準のセキュリティスコアには影響しません。ただし、Security Hub AWS Config はルールを保持し、他の標準で有効になっているコントロールのセキュリティチェックを引き続き実行します。これは概要セキュリティスコアに影響する可能性があります。特定の標準でコントロールを設定する手順については、「特定の標準コントロールの有効化と無効化」を参照してください。

検出結果のノイズを減らすには、環境に関係のないコントロールを無効にするとよいでしょう。無効にするコントロールに関する推奨事項については、「無効にする可能性のある Security Hub コントロール」を参照してください。

標準を無効にすると、その標準に適用されるすべてのコントロールが無効になります (ただし、それらのコントロールは他の標準では有効のままです)。標準の無効化の詳細については、「セキュリティ標準の有効化および無効化」を参照してください。

標準を無効化すると、Security Hub ではどのコントロールが無効にされたかを追跡しません。その後、標準を再度有効化すると、適用されるすべてのコントロールが自動的に有効になります。また、コントロールの無効化は 1 回限りのアクションになります。コントロールを無効にしてから、以前に無効になっていた標準を有効にしたとします。標準にそのコントロールが含まれている場合、コントロールはその標準で有効になります。Security Hub で標準を有効にすると、その標準に適用されるすべてのコントロールが自動的に有効になります。

複数のアカウントおよびリージョンのすべての標準でコントロールを無効にする

複数のアカウントとでセキュリティ制御を無効にするには AWS リージョン、中央設定を使用する必要があります

中央設定を使用する場合、委任管理者は、有効な標準全体で指定されたコントロールを無効にする Security Hub 設定ポリシーを作成できます。そして、設定ポリシーを特定のアカウント、OU、またはルートに関連付けることができます。設定ポリシーは、ホームリージョン (集約リージョンとも呼ばれる) およびリンクされているすべてのリージョンで有効になります。

設定ポリシーではカスタマイズが可能です。たとえば、ある OU AWS CloudTrail ではすべてのコントロールを無効にし、別の OU ではすべての IAM コントロールを無効にすることができます。詳細度のレベルは、組織のセキュリティカバレッジについて目指す目標によって異なります。標準全体で指定されたコントロールを無効にする設定ポリシーの作成手順については、「Security Hub 設定ポリシーの作成と関連付け」を参照してください。

注記

委任管理者は、サービス管理標準を除くすべての標準の統制を管理する設定ポリシーを作成できます。 AWS Control Towerこの規格の統制はサービスで設定する必要があります。 AWS Control Tower

委任管理者ではなく一部のアカウントに独自のコントロールを設定させたい場合は、委任管理者がそれらのアカウントをセルフマネージドとして指定できます。セルフマネージドアカウントは、リージョンごとにコントロールを個別に設定する必要があります。

1 つのアカウントおよびリージョンのすべての標準でコントロールを無効にする

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントおよびリージョンでコントロールを一元的に無効にすることはできません。ただし、次の手順を使用して、1 つのアカウントおよびリージョンでコントロールを無効にすることができます。

Security Hub console
1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには
  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub でコンソールを開きます。

  2. ナビゲーションペインで [コントロール] を選択します。

  3. コントロールの横にあるオプションを選択します。

  4. [コントロールの無効化] を選択します (このオプションは、既に無効になっているコントロールには表示されません)。

  5. コントロールを無効にする理由を選択し、[無効化] を選択して確定します。

  6. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。

Security Hub API
1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには
  1. ListStandardsControlAssociations API を呼び出します。セキュリティコントロール ID を指定します。

    リクエストの例:

    { "SecurityControlId": "IAM.1" }
  2. BatchUpdateStandardsControlAssociations API を呼び出します。コントロールが有効になっている標準の ARN を指定します。標準 ARN を取得するには、DescribeStandards を実行します。

  3. AssociationStatus パラメータを DISABLED と等しい値に設定します。既に無効化されているコントロールに対してこれらの手順を実行すると、API は HTTP ステータスコード 200 の応答を返します。

    リクエストの例:

    { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}] }
  4. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。

AWS CLI
1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには
  1. list-standards-control-associations コマンドを実行します。セキュリティコントロール ID を指定します。

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
  2. batch-update-standards-control-associations コマンドを実行します。コントロールが有効になっている標準の ARN を指定します。標準 ARN を取得するには、describe-standards コマンドを実行します。

  3. AssociationStatus パラメータを DISABLED と等しい値に設定します。既に無効化されているコントロールに対してこれらの手順を実行すると、コマンドは HTTP ステータスコード 200 の応答を返します。

    aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
  4. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。