サービスマネージドスタンダード: AWS Control Tower - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスマネージドスタンダード: AWS Control Tower

このセクションでは、サービスマネージドスタンダードに関する情報を提供します:. AWS Control Tower

サービスマネージドスタンダードとは:? AWS Control Tower

この標準は、 AWS Security Hub および AWS Control Tower. のユーザー向けに設計されています。これにより、サービス内の Security Hub AWS Control Tower の検出制御と並行して予防的制御を設定できます。 AWS Control Tower

プロアクティブコントロールは、ポリシー違反や設定ミスの原因となる可能性のあるアクションにフラグを立てるため、 AWS アカウント コンプライアンスを維持するのに役立ちます。検出コントロールは、 AWS アカウント内のリソースのコンプライアンス違反 (設定ミスなど) を検出します。 AWS 環境に合わせた予防的かつ検出的な制御を有効にすることで、開発のさまざまな段階でセキュリティ体制を強化できます。

ヒント

サービス管理の標準は、 AWS Security Hub が管理する標準とは異なります。例えば、サービスマネージドスタンダードの作成および削除は、管理サービスで行う必要があります。詳細については、「サービスマネージドスタンダード」を参照してください。

Security Hub コンソールと API では、サービス管理標準:を他のSecurity Hub AWS Control Tower 標準とともに表示できます。

標準の作成

この標準は、で標準を作成した場合にのみ使用できます。 AWS Control Tower AWS Control Tower 次のいずれかの方法を使用して該当するコントロールを初めて有効にしたときに、標準が作成されます。

  • AWS Control Tower コンソール

  • AWS Control Tower API (API を呼び出す EnableControl)

  • AWS CLI (enable-controlコマンドを実行)

Security Hub コントロールは、 AWS Control Tower コンソールでは SH として識別されます。 コントロール ID (SH など)。 CodeBuild.1)。

標準を作成するときに、セキュリティハブをまだ有効にしていない場合は、Security Hub AWS Control Tower もSecurity Hub 有効になります。

設定していない場合 AWS Control Tower、セキュリティハブコンソール、Security Hub API、またはでこの標準を表示したりアクセスしたりすることはできません AWS CLI。設定しても AWS Control Tower、 AWS Control Tower 先に前述の方法のいずれかを使用して標準を作成しない限り、Security Hub でこの標準を表示またはアクセスすることはできません。

この標準は、など AWS GovCloud (US)、AWS リージョンAWS Control Tower 利用可能な場所でのみ利用できます

標準のコントロールの有効化と無効化

AWS Control Tower コンソールで標準を作成すると、その標準と使用可能なコントロールを両方のサービスで確認できます。

最初に標準を作成すると、これに自動的に有効化されたコントロールはありません。また、Security Hub が新しいコントロールを追加しても、サービス管理スタンダード:では自動的に有効になりません。 AWS Control Tower以下のいずれかの方法を使用して、標準のコントロールを有効または無効にする必要があります。 AWS Control Tower

でコントロールの有効化ステータスを変更すると AWS Control Tower、その変更は Security Hub にも反映されます。

ただし、Security Hub で有効になっているコントロールを無効にすると、 AWS Control Tower コントロールがドリフトします。のコントロールステータスはと表示されます。 AWS Control Tower Driftedこのドリフトは、 AWS Control Tower コンソールで [Re-register OU] を選択するか、 AWS Control Tower 前述の方法のいずれかを使用してコントロールを無効にしてから再度有効にすることで解決できます。

で有効化アクションと無効化アクションを完了することで、コントロールドリフトを回避できます。 AWS Control Tower

でコントロールを有効または無効にすると AWS Control Tower、そのアクションはアカウントとリージョン全体に適用されます。Security Hub でコントロールを有効または無効にした場合 (標準では推奨されません)、アクションは現在のアカウントとリージョンにのみ適用されます。

注記

中央設定は、サービス管理スタンダード:の管理には使用できません。 AWS Control Tower中央設定を使用する場合、 AWS Control Tower この標準で規定されている集中管理アカウントの制御を有効または無効にできるのはサービスのみです

有効化ステータスとコントロールステータスの表示

次のいずれかの方法を使用して、コントロールの有効化ステータスを表示できます。

  • セキュリティハブコンソール、Security Hub API、または AWS CLI

  • AWS Control Tower コンソール

  • AWS Control Tower API: 有効なコントロールのリストを表示する (ListEnabledControlsAPI を呼び出す)

  • AWS CLI 有効なコントロールのリストを表示するには (list-enabled-controlsコマンドを実行)

AWS Control Tower で無効にしたコントロールは、Security Hub でそのコントロールを明示的に有効にしない限り、Security Hub では有効化ステータスになります。Disabled

Security Hub は、ワークフローステータスおよびコントロール検出結果のコンプライアンスステータスに基づき、コントロールステータスを計算します。有効化ステータスとコントロールステータスの詳細については、「コントロールの詳細の表示」 を参照してください。

コントロールステータスに基づいて、Security Hub はサービス管理スタンダードのセキュリティスコアを計算します。 AWS Control Towerこのスコアは Security Hub のみで確認できます。また、Security Hub で表示できるのは統制結果のみです。標準セキュリティスコアと統制結果はでは使用できません。 AWS Control Tower

注記

Service-Managed Standard: の統制を有効にすると AWS Control Tower、Security Hub AWS Config が既存のサービスにリンクされたルールを使用する統制の結果を生成するまでに最大 18 時間かかることがあります。Security Hub で他の標準やコントロールを有効にしている場合、既存のサービスリンクルールが存在する可能性があります。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

標準を削除する

この標準は、 AWS Control Tower 次のいずれかの方法を使用して該当するすべての統制を無効にすることで削除できます。

すべてのコントロールを無効にすることにより、 AWS Control Tower のすべてのマネージドアカウントと管理対象リージョンの標準が削除されます。で標準を削除すると、Security Hub AWS Control Tower コンソールの標準ページから削除され、Security Hub API またはを使用してもアクセスできなくなります AWS CLI。

注記

Security Hub で標準のすべてのコントロールを無効にしても、標準が無効化または削除されることはありません。

Security Hub サービスを無効にすると、サービス管理標準: AWS Control Tower および有効にしたその他の標準がすべて削除されます。

サービス管理スタンダードのフィールドフォーマットの検索: AWS Control Tower

サービスマネージドスタンダードを作成し、そのコントロールを有効にすると、Security Hub にコントロール結果が表示されるようになります AWS Control Tower 。Security Hub は、AWS セキュリティ検索フォーマット (ASFF) で統制結果をレポートします。これらは、この標準の Amazon リソースネーム (ARN) および GeneratorId の ASFF 値です。

  • 標準 ARNarn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0

  • GeneratorIdservice-managed-aws-control-tower/v/1.0.0/CodeBuild.1

サービス管理スタンダードのサンプル結果については、を参照してください。 AWS Control Towerコントロールの検出結果のサンプル

サービスマネージドスタンダードに適用される統制: AWS Control Tower

サービス管理標準: AWS 基礎セキュリティベストプラクティス (FSBP) AWS Control Tower 標準の一部である統制のサブセットをサポートします。次の表からコントロールを選択すると、失敗した結果の修正手順など、そのコントロールに関する情報が表示されます。

以下のリストは、サービス管理標準で利用できるコントロールを示しています。 AWS Control Towerコントロールに対するリージョンの制限は、FSBP 標準のコロラリーコントロールに対するリージョンの制限と一致します。このリストには、標準に依存しないセキュリティコントロール ID が表示されます。 AWS Control Tower コンソールでは、コントロール ID は SH 形式になっています。 コントロール ID (SH など)。 CodeBuild.1)。Security Hub では、[統合されたコントロールの検出結果] が無効になっている場合、ProductFields.ControlId フィールドに標準ベースのコントロール ID が使用されます。標準ベースのコントロール ID は CT 形式です。 ControlId(たとえば、CT。 CodeBuild.1)。

この標準の詳細については、「AWS Control Tower ユーザーガイド」の「Security Hub controls」(Security Hub コントロール) を参照してください。