標準の詳細の表示 - AWS Security Hub
有効化された標準の詳細ページの表示 (コンソール)標準セキュリティスコアとセキュリティチェックの概要有効化された標準のコントロールの表示コントロールリストのダウンロード

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

標準の詳細の表示

AWS Security Hub コンソールでは、標準の詳細ページに次の情報が含まれます。

  • 標準セキュリティスコアと、その標準で有効化されたコントロールのセキュリティチェックの視覚的要約。と統合すると AWS Organizations、少なくとも 1 つの組織アカウントで有効になっているコントロールが有効と見なされます。

  • 標準に適用されるコントロールを有効または無効にする設定。

  • 標準に適用されるコントロールのリスト。コントロールは、有効化のステータスに基づき、いくつかのタブに分かれています。[すべて有効] 列のコントロールの数は、[失敗][不明][データなし][合格] の各列におけるコントロールの合計です。

Security Hub APIと を使用して AWS CLI 、標準の詳細を取得することもできます。次のセクションでは、標準の詳細を取得する方法について説明します。

有効化された標準の詳細ページの表示 (コンソール)

[セキュリティ基準] ページから、有効化された標準の詳細ページを表示できます。

管理者アカウントにサインインしている場合、1 つ以上のメンバーアカウントで有効化されたすべての標準の詳細を確認できます。

  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

  2. Security Hub ナビゲーションペインで、[Security standards] (セキュリティ標準) を選択します。

  3. 詳細を表示したい標準で、[View results] (結果の表示) を選択します。

標準セキュリティスコアとセキュリティチェックの概要

標準の詳細ページの上部には、標準のセキュリティスコアが表示されます。スコアは、有効化された (データのある) 標準のコントロールに対して、合格の状態にあるコントロールの割合を示します。

Security Hub は、Security Hub コンソールの [Summary] (概要) ページまたは [Security standards] (セキュリティ標準) ページへの最初のアクセスから 30 分以内に最初のセキュリティスコアを計算します。スコアは、これらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。現在有効になっている標準のリストを表示するには、 GetEnabledStandardsAPIオペレーションを使用します。また、スコアを表示するには、 AWS Config リソースレコードを設定する必要があります。最初のスコア生成の後、Security Hub はセキュリティスコアを 24 時間毎に更新します。Security Hub には、セキュリティスコアが最後に更新されたときの時刻が表示されます。詳細については、「セキュリティスコアの決定」を参照してください。

注記

中国リージョンおよび AWS GovCloud (US) Regionでは、最初のセキュリティスコアが作成されるまで、最大 24 時間かかる場合があります。

スコアの隣には、標準で有効化されているコントロールのセキュリティチェックの概要図が表示されます。この図には、不合格となったセキュリティチェックと合格したセキュリティチェックの割合が表示されます。図を一時停止すると、ポップアップに次の情報が表示されます。

  • 各重要度のコントロールの不合格になったセキュリティチェックの数

  • ステータスが [不明] になっているコントロールのセキュリティチェックの数

  • 合格したセキュリティチェックの数

管理者アカウントの場合、標準のスコアと図は、管理者アカウントとメンバーアカウントの両方を合わせて集計されます。

集約リージョンを設定している場合を除き、[Security standards] (セキュリティ標準) の詳細ページにあるデータはすべて現在のリージョンに固有のものとなります。集約リージョンを設定している場合、セキュリティスコアは、リージョン全体に適用され、リンクされたすべてのリージョンの検出結果を含みます。標準の詳細ページにあるコントロールのコンプライアンスステータスには、リンクされたリージョンの結果も反映されており、セキュリティチェックの数には、リンクされたリージョンの結果が含まれています。

有効化された標準のコントロールの表示

標準の詳細ページに移動すると、その標準に適用されるセキュリティコントロールのリストが表示されます。このリストは、コントロールの現在のコンプライアンスステータスと、各コントロールに割り当てられた重要度に基づいてソートされます。Security Hub では 24 時間ごとにコントロールステータスとセキュリティチェック数が更新されます。各タブのタイムスタンプは、コントロールステータスとセキュリティチェック数が最後に更新された日時を示します。詳細については、「コンプライアンスステータスとコントロールステータス」を参照してください。

管理者アカウントの場合、コントロールコンプライアンスのステータスとセキュリティチェック数は、管理者アカウントとメンバーアカウントの両方を合わせて集計されます。

[すべて有効] タブには、標準で現在有効になっているコントロールがすべて一覧表示されます。管理者アカウントの場合、[すべて有効] タブには、アカウントまたは 1 つ以上のメンバーアカウントの標準で有効になっているコントロールが含まれています。

[失敗][不明][データなし][合格] タブでは、[すべて有効] タブからのコントロールは特定のステータスの有効なコントロールのみを含むようにフィルタリングされます。

[無効] タブには、標準で無効になっているコントロールの一覧が含まれます。管理者アカウントの場合、[無効] タブには、アカウントまたはすべてのメンバーアカウントの標準で無効になっているコントロールが含まれています。

各コントロールについて、タブには次の情報が表示されます。

  • コントロールのステータス (「コンプライアンスステータスとコントロールステータス」を参照)

  • コントロールに関連付けられた重要度

  • コントロール ID とタイトル

  • アクティブな検出結果の合計数のうち、不合格となったアクティブな検出結果の数。該当する場合は、[Failed checks] (不合格になったチェック) 列に、ステータスが [Unknown] (不明) の結果の数も表示されます。

各タブの検索フィルターに加えて、以下のフィールドに基づきリストをソートできます。

  • コンプライアンス状況

  • 重要度

  • ID

  • [Title] (タイトル)

  • 不合格のチェック

任意の列を使用して各リストをソートできます。デフォルトでは、[All enabled] (すべて有効) タブは、不合格になったコントロールがリストの上部に表示されるようにソートされます。これにより、修復が必要な問題にすぐに焦点を当てることができます。

他のタブでは、コントロールはデフォルトで重要度の降順でソートされます。言い換えると、非常事態のコントロールが最初にあり、次に重要度が高、中、低のコントロールが続きます。

お好みのアクセス方法を選択し、以下の手順に従って、有効な標準で利用できるコントロールを表示します。これらの手順の代わりに、 DescribeStandardsControlAPIオペレーションを使用することもできます。

Security Hub console

  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

  2. ナビゲーションペインで、[セキュリティ基準] を選択します。

  3. 標準の [結果を表示する] を選択します。ページの下部に、標準に適用されるコントロール (タブ区切り) が一覧表示されます。

Security Hub API

  1. ListSecurityControlDefinitions を実行して、標準の Amazon リソースネーム (ARN) を指定し、IDsその標準のコントロールのリストを取得します。標準 を取得するにはARNs、 を実行しますDescribeStandards。標準 を指定しない場合ARN、すべての Security Hub コントロール APIが返されますIDs。これにより、標準固有のコントロール ではなくIDs、標準に依存しないセキュリティコントロール APIが返されますIDs。

    リクエストの例:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. ListStandardsControlAssociations を実行して、アカウントで有効にした各標準でコントロールが有効になっているかどうかを確認します。

  3. SecurityControlId または SecurityControlArn を提供してコントロールを特定します。ページ分割パラメータはオプションです。

    リクエストの例:

    {
    SecurityControlId: Config.1
    NextToken: lkeyusdlk-sdlflsnd-ladfterb
    MaxResults: 5
}
AWS CLI

  1. list-security-control-definitions コマンドを実行し、1 つ以上の標準 を指定ARNsしてコントロール のリストを取得しますIDs。標準 を取得するにはARNs、 describe-standards コマンドを実行します。標準 を指定しない場合ARN、このコマンドはすべての Security Hub コントロール を返しますIDs。このコマンドは、標準固有のコントロール ではなくIDs、標準に依存しないセキュリティコントロール を返しますIDs。

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. list-standards-control-associations コマンドを実行して、アカウントで有効にした各標準でコントロールが有効になっているかどうかを確認します。

  3. security-control-id または security-control-arn を提供してコントロールを特定します。

    コマンドの例:

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id Config.1

コントロールリストのダウンロード

コントロールリストの現在のページを .csv ファイルにダウンロードできます。

コントロールリストをフィルタリングした場合、ダウンロードされたファイルには、フィルター設定に一致するコントロールのみが含まれます。

特定のコントロールをリストから選択した場合、ダウンロードされたファイルにはそのコントロールのみが含まれます。

コントロールリストの現在のページ、または現在選択されているコントロールをダウンロードするには、[ダウンロード] を選択します。