Security Hub を有効にする - AWSSecurity Hub
AWS組織の Security Hub を有効にするSecurity Hub スタンドアロンアカウントを有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub を有効にする

任意の AWS アカウント に対して Security Hub を有効にできます。ドキュメントのこのセクションでは、AWS組織の Security Hub またはスタンドアロンアカウントを有効にするために必要なすべての手順について説明します。

AWS組織の Security Hub を有効にする

このセクションでは、次の 3 つのステップについて説明します。

  • ステップ 1 では、AWS組織管理アカウントがAWS組織の委任管理者を指定し、委任管理者ポリシーを作成し、オプションで自分のアカウントに対して Security Hub を有効にします。

  • ステップ 2 では、組織の委任管理者が自分のアカウントで Security Hub を有効にします。

  • ステップ 3 では、組織の委任管理者は、Security Hub およびその他のサポートされているセキュリティサービスについて、組織内のすべてのメンバーアカウントを設定します。

ステップ 1. 管理者アカウントを委任し、必要に応じてAWS組織管理アカウントで Security Hub を有効にする

注記

このステップは、組織管理アカウントの 1 つのリージョンでのみ完了する必要があります。

Security Hub の委任管理者アカウントを割り当てる場合、委任管理者に選択できるアカウントは、Security Hub CSPM の委任管理者の設定方法によって異なります。Security Hub CSPM の委任管理者を設定し、そのアカウントが組織管理アカウントでない場合、そのアカウントは自動的に Security Hub の委任管理者として設定され、別のアカウントを選択することはできません。Security Hub CSPM の委任管理者アカウントが組織管理アカウントとして設定されている場合、またはまったく設定されていない場合は、組織管理アカウントを除き、Security Hub の委任管理者アカウントとなるアカウントを選択できます。

Security Hub での委任管理者の指定については、「Designating a delegated administrator account in Security Hub」を参照してください。Security Hub での委任管理者ポリシーの作成については、「Creating the delegated administrator policy in Security Hub」を参照してください。

Security Hub のアドミストレーターを指定するには

  1. AWS組織管理AWSアカウントの認証情報を使用してアカウントにサインインします。https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. Security Hub ホームページから [Security Hub][開始] を選択します。

  3. 委任管理者セクションで、提供されたオプションに基づいて管理者アカウントを選択します。ベストプラクティスとして、一貫したガバナンスのために、すべてのセキュリティサービスで同じ委任管理者を使用することをお勧めします。

  4. Trusted access チェックボックスをオンにします。このオプションを選択すると、委任管理者アカウントは、GuardDuty Malware Protection などの特定の機能をメンバーアカウントで設定できます。このオプションのチェックを解除すると、Security Hub はユーザーに代わってこれらの機能を有効にすることができず、機能が関連付けられているサービスから直接有効にする必要があります。

  5. (オプション) アカウントを有効にするには、チェックボックスをオンにしてAWSアカウントの Security Hub を有効にします。

  6. 委任管理者ポリシーで、次のいずれかのオプションを選択してポリシーステートメントを追加します。

    1. (オプション 1) [これを更新する] を選択します。ポリシーステートメントの下にあるボックスを選択して、Security Hub が委任管理者に必要なすべてのアクセス許可を付与する委任ポリシーを自動的に作成することを確認します。

    2. (オプション 2) [手動でアタッチする] を選択します。[コピーしてアタッチ] を選択します。AWS Organizationsコンソールの の委任された管理者AWS Organizations で、委任を選択し、委任ポリシーエディタにリソースポリシーを貼り付けます。[ポリシーを作成] を選択します。Security Hub コンソールにあるタブを開きます。

  7. [設定] を選択します。

ステップ 2. 委任管理者アカウントでセキュリティを有効化する

委任管理者アカウントはこのステップを完了します。AWSOrganization 管理アカウントが組織の委任管理者を指定した後、委任管理者はAWS、Organization 全体で を有効にする前に、自分のアカウントで Security Hub を有効にする必要があります。

委任管理者アカウントで Security Hub を有効にするには

  1. 委任管理者認証情報を使用してAWSアカウントにサインインします。https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. Security Hub ホームページから、開始方法を選択します。

  3. セキュリティ機能セクションでは、自動的に有効になり、Security Hub のリソースあたりの基本料金に含まれる機能の概要を説明します。

  4. (オプション) タグでは、キーと値のペアをアカウント設定に追加するかどうかを決定します。

  5. Security Hub を有効にする を選択して、Security Hub の有効化を完了します。

  6. (推奨) ポップアップから組織の設定を選択し、ステップ 3 に進みます。

Security Hub を有効にすると、AWSServiceRoleForSecurityHubV2 というサービスにリンクされたロールとサービスにリンクされたレコーダーがアカウントに作成されます。サービスにリンクされたレコーダーは、AWSサービス固有のリソースの設定データを記録できる サービスによって管理されるAWS Configレコーダーの一種です。サービスにリンクされたレコーダーを使用することで、Security Hub は公開分析のカバレッジに必要なリソース設定項目を取得したり、リソースインベントリを報告したりするために、イベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、 AWS アカウントおよび ごとに設定されますAWS リージョン。グローバルリソースタイプの場合、 は指定されたホームリージョンのグローバルリソースタイプAWS Configのみを記録するため、追加のサービスにリンクされたレコーダーがホームリージョンに自動的に作成され、グローバルリソースの設定変更が記録されます。詳細については、「サービスにリンクされた設定レコーダーに関する考慮事項」および「リージョンおよびグローバルリソースの記録」を参照してください。

ステップ 3. すべてのメンバーアカウントで Security Hub を有効にするポリシーを作成する

組織の委任管理者アカウントで Security Hub をエンブした後、組織メンバーアカウントで有効になっているサービスと機能を定義するポリシーを作成する必要があります。詳細については、「ポリシーのタイプで設定を有効にする」を参照してください。

Security Hub スタンドアロンアカウントを有効にする

この手順では、スタンドアロンアカウントで Security Hub を有効にする方法について説明します。スタンドアロンアカウントはAWS アカウント、AWS組織を有効にしていない です。

スタンドアロンアカウントで Security Hub を有効にするには

  1. AWSアカウントの認証情報を使用してアカウントにサインインします。https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. Security Hub ホームページから、開始方法を選択します。

  3. 「セキュリティ機能」セクションで、次のいずれかを実行します。

    1. (オプション 1) すべての機能を有効にするを選択します。これにより、Security Hub の必須機能、脅威分析、その他の機能がすべてオンになります。

    2. (オプション 2) カスタマイズ機能を選択します。有効にする脅威分析と追加機能を選択します。Security Hub の必須プラン機能の一部である機能の選択を解除することはできません。

  4. 「リージョン」セクションで、「すべてのリージョンを有効にする」または「特定のリージョンを有効にする」を選択します。[すべてのリージョンを有効にする] を選択した場合、新しいリージョンを自動的に有効にするかどうかを選択できます。特定のリージョンを有効にする を選択した場合は、有効にするリージョンを選択する必要があります。

  5. (オプション) リソースタグには、設定を簡単に識別できるように、キーと値のペアとしてタグを追加します。

  6. [Enable Security Hub] (Security Hub の有効化) を選択します。

Security Hub を有効にすると、AWSServiceRoleForSecurityHubV2 というサービスにリンクされたロールとサービスにリンクされたレコーダーがアカウントに作成されます。サービスにリンクされたレコーダーは、AWSサービス固有のリソースの設定データを記録できる サービスによって管理されるAWS Configレコーダーの一種です。サービスにリンクされたレコーダーを使用することで、Security Hub は公開分析のカバレッジに必要なリソース設定項目を取得したり、リソースインベントリを報告したりするために、イベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、 AWS アカウントおよび ごとに設定されますAWS リージョン。グローバルリソースタイプの場合、 は指定されたホームリージョンのグローバルリソースタイプAWS Configのみを記録するため、追加のサービスにリンクされたレコーダーがホームリージョンに自動的に作成され、グローバルリソースの設定変更が記録されます。詳細については、「サービスにリンクされた設定レコーダーに関する考慮事項」および「リージョンおよびグローバルリソースの記録」を参照してください。