セキュリティ標準の無効化または有効化 - AWS Security Hub

セキュリティ標準の無効化または有効化

Security Hub でサポートされている各セキュリティ標準を、無効にまたは有効にすることができます。一部のセキュリティ標準はデフォルトで有効化されていますが、自動で有効化された標準はオプトアウトできます。

Security Hub はリージョン別のサービスです。セキュリティ標準を有効または無効にすると、そのセキュリティ標準は、現在のリージョンまたは指定したリージョンでのみ有効または無効になります。

セキュリティ標準を無効にすると、次のようになります。

  • そのコントロールのチェックは実行されなくなります。

  • そのコントロールに対して追加の結果は生成されません。

  • 既存の結果は 3~5 日後に自動的にアーカイブされます (これはベストエフォートであり保証されないことに注意してください)。

  • Security Hub により作成された関連する AWS Config ルールが削除されます。

    これは通常、標準を無効にしてから数分以内に発生しますが、時間がかかる場合があります。

    AWS Config ルール削除の最初のリクエストが失敗した場合、Security Hub は 12 時間ごとに再試行します。ただし、Security Hub を無効にした場合、または他の標準を有効にしていない場合、Security Hub はこのリクエストを再試行できません。つまり、AWS Config ルールは削除できません。この問題が発生し、AWS Config ルールを削除する必要がある場合は、AWS Support にお問い合わせください。

セキュリティ標準を有効にする前に、AWS Config が有効化済みで、リソースレコードが設定されていることを確認してください。「AWS Config を有効にして設定する」を参照してください。

セキュリティ標準を有効にすると、その標準のすべてのコントロールがデフォルトで有効になります。その後、個々のコントロールを無効にできます。「個々のコントロールの無効化と有効化」を参照してください。

Security Hub を有効にすると、Security Hub は、Security Hub コンソールの [Summary] (概要) ページまたは [Security standards] (セキュリティ標準) ページへの最初のアクセスから 30 分以内に最初の標準のセキュリティスコアを計算します。スコアは、これらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。また、スコアを表示するには、AWS Config リソースレコードを設定する必要があります。最初のスコア生成の後、Security Hub はセキュリティスコアを 24 時間毎に更新します。Security Hub には、セキュリティスコアが最後に更新されたときの時刻が表示されます。現在有効になっている標準のリストを表示するには、GetEnabledStandards API オペレーションを使用します。

注記

中国リージョンおよび AWS GovCloud (US) Region では、最初のセキュリティスコアが作成されるまで、最大 24 時間かかる場合があります。

自動的に有効化されるセキュリティ標準

Security Hub は、新しいアカウントのデフォルトのセキュリティ標準を自動的に有効にします。さらに、AWS Organizations との統合を使用している場合、Security Hub は、新しいメンバーアカウントのデフォルトのセキュリティ標準を自動的に有効にします。自動的に有効化された標準はオプトアウトできます。

現在、自動的に有効になるデフォルトのセキュリティ標準は、AWS Foundational Security Best Practices (FSBP) 標準と Center for Internet Security (CIS) v1.2.0 AWS Foundations Benchmark です。

自動で有効化された標準をオプトアウトする

以下のオプトアウトステップは、AWS Organizations との統合を使用する場合にのみ適用されます。この統合を使用しない場合は、Security Hub を最初に有効にするときにデフォルトの標準をオプトアウトするか、標準を無効にするためのステップを使用することができます。

自動で有効化された標準をオプトアウトするには (コンソール)

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. 管理者アカウントにログインします。

  3. Security Hub のナビゲーションバーで、[Settings] (設定) を選択します。

  4. [Accounts] (アカウント) タブで、[Auto-enable standards] (標準を自動的に有効にする) をオフにします。

自動で有効化された標準をオプトアウトするには (Security Hub API、AWS CLI)

  • Security Hub API — Security Hub 管理者アカウントから UpdateOrganizationConfiguration オペレーションを使用します。AutoEnabledStandards パラメータのデフォルト値は、DEFAULT と等しい値です。新規メンバーアカウントで、自動で有効化された標準をオプトアウトするには、AutoEnableStandardsNONE に等しい値に設定します。

  • AWS CLI - コマンドラインで update-organization-configuration コマンドを実行します。

    aws securityhub update-organization-configuration --auto-enable-standards

セキュリティ標準の無効化

[Security standards] (セキュリティ標準) ページでは、有効な標準それぞれに標準を無効にするオプションがあります。標準を無効にするには、次の手順に従います。

セキュリティ標準を無効化するには (コンソール)

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. 標準を無効にするリージョンで Security Hub を使用していることを確認します。

  3. Security Hub ナビゲーションペインで、[Security standards] (セキュリティ標準) を選択します。

  4. 無効にする標準に対して、[Disable] (無効化) を選択します。

セキュリティ標準を無効にするには (Security Hub API、AWS CLI)

  • Security Hub API - BatchDisableStandards オペレーションを使用します。各標準を無効化するには、標準へサブスクリプションの ARN を提供します。有効な標準に対してサブスクリプション ARN を取得するには、GetEnabledStandards オペレーションを使用します。

  • AWS CLI - コマンドラインで batch-disable-standards コマンドを実行します。

    aws securityhub batch-disable-standards --standards-subscription-arns <subscription ARN>

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

セキュリティ標準の有効化

[Security standards] (セキュリティ標準) ページでは、無効な標準それぞれに標準を有効にするオプションがあります。標準を有効にするには、次の手順に従います。

セキュリティ標準を有効化するには (コンソール)

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. 標準を有効にするリージョンで Security Hub を使用していることを確認します。

  3. Security Hub ナビゲーションペインで、[Security standards] (セキュリティ標準) を選択します。

  4. 有効にする標準に対して、[Enable] (有効化) を選択します。

セキュリティ標準を有効化するには (Security Hub API、AWS CLI)

  • Security Hub API - BatchEnableStandards オペレーションを使用します。有効にする標準を識別するには、標準 ARN を提供する必要があります。標準 ARN を取得するには、DescribeStandards オペレーションを使用します。

  • AWS CLI - コマンドラインで batch-enable-standards コマンドを実行します。

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "<standard ARN>"}'

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'