セキュリティチェックの実行スケジュール

セキュリティ標準を有効にすると、2 AWS Security Hub 時間以内にすべてのチェックの実行を開始します。ほとんどのチェックは 25 分以内に実行開始されます。Security Hub は、コントロールの基礎となるルールを評価することによってチェックを実行します。コントロールのチェックの最初の実行が完了するまで、ステータスは [No data] (データなし) です。

新しい標準を有効にすると、Security Hub は、 AWS Config 他の有効な標準で有効になっている統制と同じ基盤となるサービスにリンクされたルールを使用する統制の結果を生成するまでに最大 24 時間かかる場合があります。たとえば、 AWS 基本的なセキュリティベストプラクティス (FSBP) 標準で Lambda.1 を有効にすると、Security Hub はサービスにリンクされたルールを作成し、通常は数分で結果を生成します。その後、Payment Card Industry Data Security Standard (PCI DSS) で Lambda.1 を有効にすると、Security Hub は Lambda.1 と同じサービスリンクルールを使用するため、このコントロールの検出結果を生成するまでに最大 24 時間かかります。

最初のチェックの後、各コントロールのスケジュールは、定期的に実行されるか、変更によってトリガーされます。

• 定期的なチェック – このチェックは、最後の実行から 12 時間または 24 時間以内に自動的に実行されます。周期は Security Hub によって決定され、変更はできません。定期的なコントロールは、チェック実行時の評価を反映したものになります。定期的な統制結果のワークフローステータスを更新し、次のチェックで検出結果のコンプライアンスステータスが同じままであっても、ワークフローステータスは変更された状態のままです。たとえば、KMS.4 の検索結果に失敗した場合、 AWS KMS key ローテーションを有効にしてからその結果を修正すると、Security Hub はワークフローのステータスをからに変更します。NEW RESOLVED次の定期チェックの前に KMS キーローテーションを無効にすると、検出結果のワークフローステータスは RESOLVED のままになります。

• 変更トリガーチェック — これらのチェックは、関連するリソースの状態が変化したときに実行されます。 AWS Config リソースの状態の変化を継続的に記録するか、毎日記録するかを選択できます。日次記録を選択した場合、リソースの状態に変化があった場合、24 AWS Config 時間ごとの終了時にリソース設定データが配信されます。変化がなければ、データは配信されません。これにより、24 時間経過するまで、Security Hub の検出結果の生成が遅れる場合があります。選択した記録期間にかかわらず、Security Hub は 18 時間ごとにチェックして、 AWS Config からのリソースの更新が見逃されていないことを確認します。

一般的に、Security Hub は、可能な限り、チェックが変更によってトリガーされるルールを使用します。リソースが変更トリガー型ルールを使用するには、 AWS Config そのリソースが設定項目をサポートしている必要があります。

AWS Config マネージドルールに基づくコントロールの場合、AWS Config コントロールの説明には開発者ガイドのルール説明へのリンクが含まれます。この説明には、ルールが変更によってトリガーされるか、定期的に実行されるかについての記述が含まれます。

Security Hub カスタム Lambda 関数を使用するチェックは、定期的に実行されます。