セキュリティ標準の有効化および無効化 - AWS Security Hub
セキュリティ標準の有効化セキュリティ標準の無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ標準の有効化および無効化

Security Hub で利用可能な各セキュリティ標準を有効化または無効化できます。

セキュリティ標準を有効にする前に、 AWS Config リソースレコーディングを有効にして設定していることを確認してください。確認されていない場合、標準に適用されるコントロールの検出結果を Security Hub が生成できない可能性があります。詳細については、「の設定 AWS Config」を参照してください。

注記

標準を有効または無効にする手順は、中央設定を使用するかどうかによって異なります。このセクションでは、その違いについて説明します。Security Hub とを統合するユーザは、中央設定を使用できます AWS Organizations。マルチアカウント、マルチリージョン環境で標準を有効または無効にするプロセスを簡略化するために、中央設定を使用することをお勧めします。

セキュリティ標準の有効化

セキュリティ標準を有効にすると、その標準に適用されるすべてのコントロールが自動的に有効になります。Security Hub は、標準に適用されるコントロールの検出結果の生成も開始します。

それぞれの標準で有効または無効にするコントロールを選択することができます。コントロールを無効にすると、コントロールの検出結果の生成が停止し、セキュリティスコアの計算時にコントロールが無視されます。

Security Hub を有効にすると、Security Hub は、Security Hub コンソールの [Summary] (概要) ページまたは [Security standards] (セキュリティ標準) ページへの最初のアクセスから 30 分以内に最初の標準のセキュリティスコアを計算します。中国リージョンおよび AWS GovCloud (US) Regionでは、最初のセキュリティスコアが作成されるまで、最大 24 時間かかる場合があります。スコアは、これらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。また、 AWS Config スコアが表示されるようにリソースレコーディングを設定する必要があります。最初のスコア生成の後、Security Hub はセキュリティスコアを 24 時間毎に更新します。Security Hub には、セキュリティスコアが最後に更新されたときの時刻が表示されます。アカウントで現在有効になっている標準のリストを表示するには、GetEnabledStandards API を呼び出します。

複数のアカウントおよびリージョンで標準を有効にする

複数のアカウントとでセキュリティ標準を有効にするには AWS リージョン、一元的な設定を使用する必要があります

中央設定を使用する場合、委任管理者は 1 つ以上の標準を有効にする Security Hub 設定ポリシーを作成できます。そして、設定ポリシーを特定のアカウントや組織単位 (OU)、またはルートに関連付けることができます。設定ポリシーは、ホームリージョン (集約リージョンとも呼ばれる) およびリンクされているすべてのリージョンで有効になります。

設定ポリシーではカスタマイズが可能です。たとえば、ある OU AWS では基本的なセキュリティベストプラクティス (FSBP) のみを有効にし、別の OU では FSBP と Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 を有効にすることを選択できます。指定された標準を有効にする設定ポリシーの作成手順については、「Security Hub 設定ポリシーの作成と関連付け」を参照してください。

中央設定を使用する場合、Security Hub は新規または既存のアカウントの標準を自動的に有効にしません。代わりに、設定ポリシーを作成するときに、委任管理者がさまざまなアカウントでどの標準を有効にするかを定義します。Security Hub では、FSBP のみを有効にする推奨設定ポリシーが提供されています。詳細については、「設定ポリシーのタイプ」を参照してください。

注記

委任管理者は、サービス管理標準:を除くすべての標準を有効にする構成ポリシーを作成できます。 AWS Control Towerこの標準はサービス内でのみ有効にできます。 AWS Control Tower 中央設定を使用する場合、この標準のコントロールは、 AWS Control Towerで一元管理されたアカウントに対してのみ有効または無効にできます。

委任管理者ではなく一部のアカウントに独自の標準を設定させたい場合は、委任管理者がそれらのアカウントをセルフマネージドとして指定できます。セルフマネージドアカウントは、リージョンごとに標準を個別に設定する必要があります。

1 つのアカウントおよびリージョンで標準を有効にする

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントおよびリージョンで標準を一元的に有効にすることはできません。ただし、次の手順を使用して、1 つのアカウントおよびリージョンで標準を有効にすることができます。

Security Hub console
1 つのアカウントおよびリージョンで標準を有効にするには

  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub でコンソールを開きます。

  2. 標準を有効にするリージョンで Security Hub を使用していることを確認します。

  3. Security Hub ナビゲーションペインで、[Security standards] (セキュリティ標準) を選択します。

  4. 有効にする標準に対して、[Enable] (有効化) を選択します。これでその標準内に存在するすべてのコントロールも有効になります。

  5. 標準を有効にするリージョンごとに、これらの手順を繰り返します。

Security Hub API
1 つのアカウントおよびリージョンで標準を有効にするには

  1. BatchEnableStandards API を呼び出します。

  2. 有効化する標準の Amazon リソースネーム (ARN) を提供します。標準 ARN を取得するには、DescribeStandards API を呼び出します。

  3. 標準を有効にするリージョンごとに、これらの手順を繰り返します。

AWS CLI
1 つのアカウントおよびリージョンで標準を有効にするには

  1. batch-enable-standards コマンドを実行します。

  2. 有効化する標準の Amazon リソースネーム (ARN) を提供します。標準 ARN を取得するには、describe-standards コマンドを実行します。

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. 標準を有効にするリージョンごとに、これらの手順を繰り返します。

デフォルトのセキュリティ標準を自動的に有効にする

中央設定を使用しない場合、Security Hub は、新しいアカウントが組織に参加したときに、そのアカウントのデフォルトのセキュリティ標準を自動的に有効にします。デフォルトの標準に含まれるすべてのコントロールも自動的に有効になります。現在、自動的に有効になっているデフォルトのセキュリティ標準は、 AWS 基礎セキュリティベストプラクティス (FSBP) とインターネットセキュリティセンター (CIS) Foundations Benchmark v1.2.0 です。 AWS 新規アカウントの標準を手動で有効にしたい場合は、標準の自動有効化をオフにできます。

中央設定を使用する場合は、デフォルトの標準を有効にする設定ポリシーを作成し、このポリシーをルートに関連付けることができます。組織アカウントと OU は、別のポリシーに関連付けられている場合やセルフマネージドの場合を除き、すべてこの構成ポリシーを継承します。

標準の自動有効化をオフにする

以下の手順は、中央構成と統合するが、使用していない場合にのみ適用されます。 AWS Organizations Organizations 統合を使用しない場合は、Security Hub を最初に有効にするときにデフォルトの標準をオフにするか、標準を無効にするためのステップを使用することができます。

Security Hub console
標準の自動有効化をオフにするには

  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub でコンソールを開きます。

    管理者アカウントの認証情報を使用してサインインします。

  2. Security Hub のナビゲーションペインの [設定] で、[設定] を選択します。

  3. [アカウント] セクションで、[デフォルトの標準を自動的に有効にする] をオフにします。

Security Hub API
標準の自動有効化をオフにするには

  1. Security Hub 管理者アカウントで、UpdateOrganizationConfiguration API を呼び出します。

  2. 新規メンバーアカウントで、標準の自動有効化をオフにするには、AutoEnableStandardsNONE に等しい値に設定します。

AWS CLI
標準の自動有効化をオフにするには

  1. update-organization-configuration コマンドを実行します。

  2. auto-enable-standards パラメータを含めて、新規メンバーアカウントでの標準の自動有効化をオフにします。

    aws securityhub update-organization-configuration --auto-enable-standards

セキュリティ標準の無効化

Security Hub でセキュリティ標準を無効にすると、次のようになります。

  • その標準に適用されるすべてのコントロールも、他の標準と関連付けられていない限り無効になります。

  • 無効化されたコントロールのチェックは実行されなくなります。また、無効化されたコントロールの追加の検出結果は生成されません。

  • 無効化されたコントロールの既存の検出結果は、約 3~5 日後に自動的にアーカイブされます。

  • Security Hub AWS Config が作成した無効化されたコントロールのルールは削除されます。

    これは通常、標準を無効にしてから数分以内に発生しますが、時間がかかる場合があります。 AWS Config ルールを削除する最初のリクエストが失敗すると、Security Hub は 12 時間ごとに再試行します。ただし、Security Hub を無効にした場合、または他の標準を有効にしていない場合、Security Hub はこのリクエストを再試行できません。つまり、 AWS Config ルールは削除できません。これが発生し、 AWS Config ルールを削除する必要がある場合は、お問い合わせください AWS Support。

複数のアカウントおよびリージョンで標準を無効にする

複数のアカウントおよびリージョンでセキュリティ標準を無効にするには、中央設定を使用する必要があります。

中央設定を使用する場合、委任管理者は 1 つ以上の標準を無効にする設定ポリシーを作成できます。そして、設定ポリシーを特定のアカウントや OU、またはルートに関連付けることができます。設定ポリシーは、ホームリージョン (集約リージョンとも呼ばれる) およびリンクされているすべてのリージョンで有効になります。

設定ポリシーではカスタマイズが可能です。例えば、ある OU では Payment Card Industry Data Security Standard (PCI DSS) を無効にするように選択し、別の OU では PCI DSS と米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5 の両方を無効にするように選択することができます。指定された標準を無効にする設定ポリシーの作成手順については、「Security Hub 設定ポリシーの作成と関連付け」を参照してください。

注記

委任管理者は、サービス管理標準を除くすべての標準を無効にする設定ポリシーを作成できます。 AWS Control Towerこの標準はサービス内でのみ無効にできます。 AWS Control Tower 中央設定を使用する場合、この標準のコントロールは、 AWS Control Towerで一元管理されたアカウントに対してのみ有効または無効にできます。

委任管理者ではなく一部のアカウントに独自の標準を設定させたい場合は、委任管理者がそれらのアカウントをセルフマネージドとして指定できます。セルフマネージドアカウントは、リージョンごとに標準を個別に設定する必要があります。

1 つのアカウントおよびリージョンで標準を無効にする

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントおよびリージョンで標準を一元的に無効にすることはできません。ただし、次の手順を使用して、1 つのアカウントおよびリージョンで標準を無効にすることができます。

Security Hub console
1 つのアカウントおよびリージョンで標準を無効にするには

  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub でコンソールを開きます。

  2. 標準を無効にするリージョンで Security Hub を使用していることを確認します。

  3. Security Hub ナビゲーションペインで、[Security standards] (セキュリティ標準) を選択します。

  4. 無効にする標準に対して、[Disable] (無効化) を選択します。

  5. 標準を無効にするリージョンごとに、これらの手順を繰り返します。

Security Hub API
1 つのアカウントおよびリージョンで標準を無効にするには

  1. BatchDisableStandards API を呼び出します。

  2. 無効化する各標準に対し、標準サブスクリプションの ARN を提供します。有効な標準のサブスクリプション ARN を取得するには、GetEnabledStandards API を呼び出します。

  3. 標準を無効にするリージョンごとに、これらの手順を繰り返します。

AWS CLI
1 つのアカウントおよびリージョンで標準を無効にするには

  1. batch-disable-standards コマンドを実行します。

  2. 無効化する各標準に対し、標準サブスクリプションの ARN を提供します。有効な標準のサブスクリプション ARN を取得するには、get-enabled-standards コマンドを実行します。

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. 標準を無効にするリージョンごとに、これらの手順を繰り返します。