Security Hub で無効にする推奨コントロール

検出結果のノイズを減らし、コストを制限するために、一部の AWS Security Hub コントロールを無効にすることをお勧めします。

グローバルリソースを使用するコントロール

一部の はグローバルリソース AWS のサービス をサポートしているため、任意の からリソースにアクセスできます AWS リージョン。のコストを節約するために AWS Config、1 つのリージョンを除くすべてのリージョンでグローバルリソースの記録を無効にすることができます。ただし、これを行った後、Security Hub は引き続きコントロールが有効になっているすべてのリージョンでセキュリティチェックを実行し、リージョンごとにアカウントごとのチェック数に基づいて料金を請求します。したがって、検出結果のノイズを減らし、Security Hub のコストを削減するには、グローバルリソースを記録するリージョンを除くすべてのリージョンで、グローバルリソースを含むコントロールを無効にする必要があります。

コントロールにグローバルリソースが含まれるが、1 つのリージョンでのみ利用可能な場合、そのリージョンでコントロールを無効にすると、基盤となるリソースの検出結果を取得できなくなります。この場合、コントロールを有効にしておくことをお勧めします。クロスリージョン集約を使用する場合、コントロールが利用可能なリージョンは、集約リージョンまたはリンクされたリージョンの 1 つである必要があります。次のコントロールにはグローバルリソースが含まれますが、1 つのリージョンでのみ使用できます。

• すべての CloudFront コントロール – 米国東部 (バージニア北部) でのみ利用可能

• GlobalAccelerator.1 – 米国西部 (オレゴン) でのみ利用可能

• Route53.2 – 米国東部 (バージニア北部) でのみ利用可能

• WAF.1、WAF.6、WAF.7、.WAF8 – 米国東部 (バージニア北部) でのみ利用可能

注記

中央設定を使用する場合、Security Hub はホームリージョンを除くすべてのリージョンのグローバルリソースを含むコントロールを自動的に無効にします。設定ポリシーが利用可能なすべてのリージョンで有効になっているが、有効にするその他のコントロール。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにできます。中央設定を使用する場合、ホームリージョンまたはリンクされたリージョンのいずれでも利用できないコントロールのカバレッジがありません。中央設定の詳細については、「Security Hub の中央設定について」を参照してください。

定期的なスケジュールタイプを持つコントロールの場合、課金を防ぐには Security Hub でコントロールを無効にする必要があります。 AWS Config パラメータを に設定includeGlobalResourceTypesfalseしても、定期的な Security Hub コントロールには影響しません。

以下は、グローバルリソースを使用する Security Hub コントロールのリストです。

• [Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント

• 〔アカウント.2] AWS アカウント は の一部である必要があります AWS Organizations 組織

• 〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

• 〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

• 〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

• 〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

• 〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

• 〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります

• 〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

• 〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

• 〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください

• 〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません

• 〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります

• 〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

• 〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

• 〔IAM.1] IAMポリシーでは、完全な「*」管理権限を許可しないでください

• 〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

• 〔IAM.3] IAMユーザーのアクセスキーは 90 日ごとにローテーションする必要があります

• 〔IAM.4] IAMルートユーザーアクセスキーが存在しません

• コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

• 〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

• 〔IAM.7] IAMユーザーのパスワードポリシーには強力な設定が必要です

• 〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります

• ルートユーザーに対して [IAM.9] を有効にするMFA必要があります

• 〔IAM.10] IAMユーザーのパスワードポリシーには強力な AWS Config urations が必要です

• 〔IAM.11] IAMパスワードポリシーに少なくとも 1 つの大文字が含まれていることを確認する

• 〔IAM.12] IAMパスワードポリシーに少なくとも 1 つの小文字が必要であることを確認する

• 〔IAM.13] IAMパスワードポリシーに少なくとも 1 つの記号が必要であることを確認する

• 〔IAM.14] IAMパスワードポリシーに少なくとも 1 つの番号が必要であることを確認する

• 〔IAM.15] IAMパスワードポリシーでパスワードの長さが 14 以上であることを確認してください

• 〔IAM.16] IAMパスワードポリシーがパスワードの再利用を防ぐようにする

• 〔IAM.17] IAMパスワードポリシーが 90 日以内にパスワードの有効期限が切れることを確認する

• 〔IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support

• 〔IAM.19] MFA はすべてのIAMユーザーに対して有効にする必要があります

• 〔IAM.21] 作成したIAMカスタマー管理ポリシーでは、サービスのワイルドカードアクションを許可しないでください

• 45 日間使用されていない [IAM.22] IAM ユーザー認証情報は削除する必要があります

• 〔IAM.24] IAMロールにはタグを付ける必要があります

• 〔IAM.25] IAM ユーザーはタグ付けする必要があります

• 〔IAM.26] で管理されている期限切れSSL/TLS証明書を削除IAMする必要があります

• 〔IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください

• 〔IAM.28] IAM Access Analyzer の外部アクセスアナライザーを有効にする必要があります

• 〔KMS.1] IAMカスタマー管理ポリシーでは、すべてのKMSキーで復号アクションを許可しないでください

• 〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません

• [Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

• 〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

• 〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

• 〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

• 〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

• 〔WAF0.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です

• 〔WAF0.11] AWS WAF ウェブACLログ記録を有効にする必要があります

CloudTrail ログ記録コントロール

このコントロールは、 AWS Key Management Service （AWS KMS) を使用して AWS CloudTrail 証跡ログを暗号化します。集中ログ記録アカウントでこれらの追跡をログ記録する場合、このコントロールは集中ログ記録が行われるアカウントとリージョンを有効化するだけで済みます。

注記

中央設定を使用した場合、コントロールの有効化ステータスは、ホームリージョンおよびリンクされたリージョンで統一されます。一部のリージョンでコントロールを無効にして、他のリージョンで有効にすることはできません。この場合は、以下のコントロールの検出結果を抑制し、検出結果のノイズを減らします。

• 〔CloudTrail.2]保管時の暗号化を有効にする CloudTrail 必要があります

CloudWatch アラームコントロール

Amazon CloudWatch アラームの代わりに異常検出 GuardDuty に Amazon を使用する場合は、 CloudWatch アラームに焦点を当てたこれらのコントロールを無効にすることができます。

• 〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります

• 〔CloudWatch.2] 不正なAPI呼び出しに対してログメトリクスフィルターとアラームが存在することを確認する

• 〔CloudWatch.3] を使用しない マネジメントコンソールのサインインにログメトリクスフィルターとアラームが存在することを確認する MFA

• 〔CloudWatch.4] IAMポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する

• 〔CloudWatch.5] のログメトリクスフィルターとアラームが存在することを確認する CloudTrail AWS Config URL の変更

• 〔CloudWatch.6] のログメトリクスフィルターとアラームが存在することを確認する AWS Management Console 認証の失敗

• 〔CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除のためのログメトリクスフィルターとアラームが存在することを確認する

• 〔CloudWatch.8] S3 バケットポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する

• 〔CloudWatch.9] のログメトリクスフィルターとアラームが存在することを確認する AWS Config 設定の変更

• 〔CloudWatch.10] セキュリティグループの変更に対してログメトリクスフィルターとアラームが存在することを確認する

• 〔CloudWatch.11] ネットワークアクセスコントロールリストの変更に対するログメトリクスフィルターとアラームが存在することを確認する (NACL）

• 〔CloudWatch.12] ネットワークゲートウェイの変更に対するログメトリクスフィルターとアラームが存在することを確認する

• 〔CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認する

• 〔CloudWatch.14] VPC変更に対するログメトリクスフィルターとアラームが存在することを確認する