Security Hub CSPM におけるセキュリティチェックとセキュリティスコアについて
有効化した各コントロールごとに、AWS Security Hub CSPM がセキュリティチェックを実行します。セキュリティチェックでは、特定の AWS リソースがコントロールに含まれるルールに準拠しているかどうかを示す検出結果が生成されます。
一部のチェックは定期的なスケジュールで実行されます。その他のチェックは、リソースの状態が変更された場合にのみ実行されます。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。
多くのセキュリティチェックでは、AWS Config マネージドルールまたはカスタムルールを使用してコンプライアンス要件を確立します。これらのチェックを実行するには、必要なリソースに対して AWS Config を設定し、リソース記録を有効にする必要があります。AWS Config の設定の詳細については、「Security Hub CSPM の AWS Config の有効化と設定」を参照してください。標準ごとに記録する必要がある AWS Config リソースの一覧については、「コントロール検出結果に必要な AWS Config リソース」を参照してください。他のコントロールは、Security Hub CSPM によって管理され、前提条件を必要としないカスタム Lambda 関数を使用します。
Security Hub CSPM はセキュリティチェックを実行すると、検出結果を生成してコンプライアンスステータスを割り当てます。コンプライアンスステータスの詳細については、「Security Hub CSPM の検出結果のコンプライアンスステータスの評価」を参照してください。
Security Hub CSPM は、コントロール検出結果のコンプライアンスステイタスを使用して、全体的なコントロールステータスを決定します。コントロールステータスに基づいて、Security Hub CSPM は、有効になっているすべてのコントロールと特定の標準に対するセキュリティスコアも計算します。詳細については、「コンプライアンスステータスとコントロールステータスの評価」および「セキュリティスコアの計算」を参照してください。
[統合されたコントロールの検出結果] を有効にしている場合、コントロールが複数の標準に関連付けられていても、Security Hub CSPM は単一の検出結果を生成します。詳細については、「統合されたコントロールの検出結果」を参照してください。
トピック
