セキュリティ標準の詳細の確認 - AWSSecurity Hub
標準セキュリティスコアについて標準のコントロールの確認

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ標準の詳細の確認

AWSSecurity Hub CSPM でセキュリティ標準を有効にしたら、 コンソールを使用して標準の詳細を確認できます。 コンソールの標準の詳細ページには、以下の情報が含まれます。

  • 標準の現在のセキュリティスコア。

  • 標準に適用されるコントロールのテーブル。

  • 標準に適用されるコントロールの集計統計。

  • 標準に適用されるコントロールのステータスの視覚的要約。

  • 標準で有効化および適用されたコントロールのセキュリティチェックの視覚的要約。と統合するとAWS Organizations、少なくとも 1 つの組織アカウントで有効になっているコントロールは有効と見なされます。

これらの詳細を確認するには、コンソールのナビゲーションペインで [セキュリティ標準] を選択します。次に、標準のセクションで、[結果の表示] を選択します。より詳細な分析を行うには、データをフィルタリングしてソートし、ドリルダウンして標準に適用される個々のコントロールの詳細を確認することができます。

標準セキュリティスコアについて

AWSSecurity Hub CSPM コンソールで、標準の詳細ページに標準のセキュリティスコアが表示されます。スコアは、その標準に適用され、有効化され、評価データがあるコントロールの総数に対して、評価に合格したコントロールの割合を示します。スコアの下には、標準で有効化されているコントロールのセキュリティチェックの概要図が表示されます。これにはセキュリティチェックの合格と不合格の合計数が含まれます。管理者アカウントの場合、標準のスコアと図は、管理者アカウントとメンバーアカウントの両方を合わせて集計されます。特定の重要度を持つコントロールの失敗したセキュリティチェックを確認するには、重要度を選択します。

標準を有効化すると、Security Hub CSPM はその標準に対して予備的なセキュリティスコアを生成します。これは通常、Security Hub CSPM コンソールの [概要] ページまたは [セキュリティ標準] ページに初めてアクセスしてから約 30 分以内に生成されます。スコアは、これらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。さらに、スコアが表示されるようにAWS Configリソース記録を設定する必要があります。中国リージョン および ではAWS GovCloud (US) Regions、Security Hub CSPM が予備スコアを生成するまでに最大 24 時間かかる場合があります。Security Hub CSPM が標準の予備スコアを生成した後、24 時間ごとにスコアを更新します。詳細については、「セキュリティスコアの計算」を参照してください。

セキュリティ標準の詳細ページのすべてのデータは、集約リージョンを設定AWS リージョンしない限り、現在の に固有です。集約リージョンを設定している場合、セキュリティスコアは複数リージョンにまたがって適用され、リンクされたすべてのリージョンの検出結果がスコアに含まれます。加えて、コントロールのコンプライアンスステータスにはリンクされたリージョンの検出結果も反映され、セキュリティチェックの数にはリンクされたリージョンの検出結果が含まれます。

標準のコントロールの確認

AWSSecurity Hub CSPM コンソールを使用して、有効にした標準の詳細を確認すると、標準に適用されるセキュリティコントロールの表を確認できます。この表には、各コントロールについて以下の情報が含まれています。

  • コントロール ID とタイトル。

  • コントロールのステータス。詳細については、「コンプライアンスステータスとコントロールステータスの評価」を参照してください。

  • コントロールに関連付けられた重要度。

  • チェックの合計数および失敗したチェックアウトの数。該当する場合は、[Failed checks] (不合格になったチェック) フィールドに、ステータスが [Unknown] (不明) の検出結果の数も指定されます。

  • コントロールがカスタムパラメータをサポートしているかどうか。詳細については、「Security Hub CSPM のコントロールパラメータについて」を参照してください。

Security Hub CSPM では 24 時間ごとにコントロールステータスとセキュリティチェック数が更新されます。ページ上部のタイムスタンプは、Security Hub CSPM がこのデータを最後に更新した日時を示します。

管理者アカウントの場合、コントロールのステータスとセキュリティチェック数は、管理者アカウントとメンバーアカウントの両方を合わせて集計されます。有効なコントロールの数は、管理者アカウントまたは 1 つ以上のメンバーアカウントの標準で有効になっているコントロールが含まれています。無効はコントロールの数は、管理者アカウントまたはすべてのメンバーアカウントの標準で無効になっているコントロールが含まれています。

標準に適用されるコントロールのテーブルをフィルタリングできます。表の横にある [フィルター条件] オプションを使用して、標準で有効または無効にされたコントロールのみを表示するように選択できます。有効なコントロールのみを表示する場合は、コントロールステータスでテーブルをさらにフィルタリングできます。その後、特定のコントロールステータスを持つコントロールに集中できます。[フィルター条件] オプションに加えて、[フィルターコントロール] ボックスにフィルター基準を入力できます。例えば、コントロール ID またはタイトルでフィルタリングできます。

任意のアクセス方法を選択します。次に、ステップに従って、有効にした標準に適用されるコントロールを確認します。

Security Hub CSPM console
有効な標準のコントロールを確認するには

  1. https://console.aws.amazon.com/securityhub/ で AWSSecurity Hub CSPM コンソールを開きます。

  2. ナビゲーションペインで、[セキュリティ基準] を選択します。

  3. 標準のセクションで、[結果の表示] を選択します。

ページの下部にあるテーブルに、標準に適用されるすべてのコントロールが一覧表示されます。テーブルのフィルタリングおよびソートを行うことができます。テーブルの現在のページを CSV ファイルとしてダウンロードすることもできます。これを行うには、テーブルの上の [ダウンロード] を選択します。テーブルをフィルタリングした場合、ダウンロードされたファイルには、現在のフィルター設定に一致するコントロールのみが含まれます。

Security Hub CSPM API
有効な標準のコントロールを確認するには

  1. Security Hub CSPM API の ListSecurityControlDefinitions オペレーションを使用します。を使用している場合はAWS CLI、list-security-control-definitions コマンドを実行します。

    コントロールを確認する標準の Amazon リソースネーム (ARN) を特定します。標準の ARN を取得するには、DescribeStandards オペレーションを使用するか、describe-standards コマンドを実行します。標準の ARN を指定しない場合、Security Hub CSPM はすべてのセキュリティコントロール ID を返します。

  2. Security Hub CSPM API の ListStandardsControlAssociationsオペレーション、または list-standards-control-associations コマンドを実行します。このオペレーションは、コントロールが有効になっている標準を示します。

    セキュリティコントロール ID または ARN を指定してコントロールを特定します。ページ分割パラメータはオプションです。

次の例では、Config.1 コントロールが有効になっている標準を示します。

$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1