Security Hub CSPM のセキュリティ標準を理解する
AWS Security Hub CSPM では、セキュリティ標準とは、規制フレームワーク、業界のベストプラクティス、または会社のポリシーに基づく一連の要件を指します。それぞれに適用されるセキュリティコントロールなど、Security Hub CSPM が現在サポートしている標準の詳細については、「Security Hub CSPM 標準リファレンス」を参照してください。
標準を有効にすると、Security Hub CSPM は、その標準に適用されるすべてのコントロールを自動的に有効化します。次に、Security Hub CSPM はコントロールに対してセキュリティチェックを実行し、Security Hub CSPM の検出結果を生成します。必要に応じて、個々のコントロールを無効化したり、後ほど再有効化したりできます。標準を完全に無効化することもできます。標準を無効にすると、Security Hub CSPM はその標準に適用されるコントロールに対するセキュリティチェックの実行を停止します。コントロールの検出結果は生成されなくなります。
Security Hub CSPM は、検出結果に加えて、有効にした標準ごとにセキュリティスコアを生成します。スコアは、標準に適用されるコントロールのステータスに基づきます。集約リージョンを設定すると、標準のセキュリティスコアは、リンクされているすべてのリージョンにおけるコントロールの状態を反映します。組織の Security Hub CSPM 管理者である場合、スコアには組織内のすべてのアカウントのコントロールのステータスが反映されます。詳細については、「セキュリティスコアの計算」を参照してください。
標準を確認および管理するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用できます。コンソールでは、[セキュリティ標準] ページに Security Hub CSPM が現在サポートしているすべてのセキュリティ標準が表示されます。これには、各標準の説明と標準の現在のステータスが含まれます。標準を有効にすると、このページを使用して標準の追加の詳細にアクセスすることもできます。たとえば、以下を確認できます。
-
標準の現在のセキュリティスコア。
-
標準に適用されるコントロールの集計統計。
-
各コントロールのコンプライアンスステータスなど、標準に適用され、現在有効になっているコントロールのリスト。
-
標準に適用されているが、現在無効になっているコントロールのリスト。
より詳細な分析を行うには、データをフィルタリングしてソートし、ドリルダウンして標準に適用される個々のコントロールの詳細を確認することができます。
1 つの アカウントと AWS リージョン で標準を個別に有効にできます。ただし、マルチアカウント環境およびマルチリージョン環境での時間を節約して設定ドリフトを削減するには、中央設定を使用し、標準を有効にして管理することをお勧めします。中央設定では、委任された Security Hub CSPM 管理者は、複数のアカウントとリージョンで標準を設定する方法を指定するポリシーを作成できます。
