翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービスマネージドスタンダード: AWS Control Tower
このセクションでは、サービスマネージドスタンダードについて説明します。 AWS Control Tower.
サービスマネージドスタンダードとは AWS Control Tower?
この標準は、 のユーザー向けに設計されています。 AWS Security Hub と AWS Control Tower。 これにより、 のプロアクティブコントロールを設定できます。 AWS Control Tower で Security Hub の検出コントロールと並行して AWS Control Tower サービス。
プロアクティブコントロールは、 AWS アカウント ポリシー違反や設定ミスにつながる可能性のあるアクションにフラグを付けるため、コンプライアンスを維持します。検出コントロールは、 内のリソースのコンプライアンス違反 (設定ミスなど) を検出します。 AWS アカウント。 のプロアクティブコントロールと検出コントロールを有効にする AWS 環境では、開発のさまざまな段階でセキュリティ体制を強化できます。
ヒント
サービスマネージド標準は、 の標準とは異なります。 AWS Security Hub が管理します。例えば、サービスマネージドスタンダードの作成および削除は、管理サービスで行う必要があります。詳細については、「Security Hub のサービスマネージド標準」を参照してください。
Security Hub コンソールと ではAPI、サービスマネージドスタンダードを表示できます。 AWS Control Tower を他の Security Hub 標準と一緒に使用します。
標準の作成
この標準は、 で標準を作成する場合にのみ使用できます。 AWS Control Tower. AWS Control Tower は、次のいずれかの方法を使用して、該当するコントロールを最初に有効にするときに標準を作成します。
-
AWS Control Tower コンソール
-
AWS Control Tower API (
EnableControl
を呼び出すAPI) -
AWS CLI (
enable-control
コマンドを実行する)
Security Hub コントロールは、 で識別されます。 AWS Control Tower SH としての コンソール。ControlID
(SH..1 など)CodeBuild。
標準を作成するときに、Security Hub をまだ有効にしていない場合は、 AWS Control Tower は Security Hub も有効にします。
をセットアップしていない場合 AWS Control Tower、Security Hub コンソール、Security Hub 、または でこの標準を表示APIまたはアクセスすることはできません。 AWS CLI。 をセットアップした場合でも AWS Control Towerでは、最初に で標準を作成しないと、Security Hub でこの標準を表示またはアクセスすることはできません。 AWS Control Tower は、前述の方法のいずれかを使用します。
この標準は、 でのみ使用できます。 AWS リージョン この場合、次のようになります。 AWS Control Tower は、以下を含む で利用できます。 AWS GovCloud (US).
標準のコントロールの有効化と無効化
で標準を作成した後 AWS Control Tower コンソールでは、両方のサービスで標準とその使用可能なコントロールを表示できます。
最初に標準を作成すると、これに自動的に有効化されたコントロールはありません。さらに、Security Hub が新しいコントロールを追加すると、サービスマネージドスタンダードでそれらが自動的に有効になることはありません。 AWS Control Tower。 で標準のコントロールを有効または無効にする必要があります AWS Control Tower 次のいずれかの方法を使用します。
-
AWS Control Tower コンソール
-
AWS Control Tower API (
EnableControl
とDisableControl
を呼び出すAPIs) -
AWS CLI (
enable-control
および disable-control
コマンドを実行します)
でコントロールの有効化ステータスを変更する場合 AWS Control Tower、変更は Security Hub にも反映されます。
ただし、 で有効になっている Security Hub のコントロールを無効にする AWS Control Tower コントロールドリフトが発生します。のコントロールステータス AWS Control Tower は として表示されますDrifted
。このドリフトは、 で OU の再登録 を選択することで解決できます。 AWS Control Tower コンソール、または でコントロールを無効化および再有効化する AWS Control Tower は、前述の方法のいずれかを使用します。
での有効化アクションと無効化アクションの完了 AWS Control Tower は、制御ドリフトを回避するのに役立ちます。
でコントロールを有効または無効にする場合 AWS Control Tower、アクションはアカウントとリージョン全体に適用されます。Security Hub でコントロールを有効または無効にした場合 (標準では推奨されません)、アクションは現在のアカウントとリージョンにのみ適用されます。
注記
中央設定は、サービスマネージドスタンダードの管理には使用できません。 AWS Control Tower。 中央設定を使用する場合、 のみを使用できます。 AWS Control Tower この標準で一元管理されたアカウントのコントロールを有効または無効にする サービス。
有効化ステータスとコントロールステータスの表示
次のいずれかの方法を使用して、コントロールの有効化ステータスを表示できます。
-
Security Hub コンソール、Security Hub API、または AWS CLI
-
AWS Control Tower コンソール
-
AWS Control Tower API 有効になっているコントロールのリストを表示するには (
ListEnabledControls
を呼び出しますAPI) -
AWS CLI 有効になっているコントロールのリストを表示するには (
list-enabled-controls
コマンドを実行)
で無効にするコントロール AWS Control Tower Security Hub Disabled
でそのコントロールを明示的に有効にしない限り、Security Hub の有効化ステータスは です。
Security Hub は、ワークフローステータスおよびコントロール検出結果のコンプライアンスステータスに基づき、コントロールステータスを計算します。有効化ステータスとコントロールステータスの詳細については、「コントロールの詳細の表示」 を参照してください。
コントロールのステータスに基づいて、Security Hub はサービスマネージドスタンダードのセキュリティスコアを計算します。 AWS Control Tower。 このスコアは Security Hub でのみ使用できます。また、Security Hub で表示できるのは統制結果のみです。標準のセキュリティスコアとコントロールの検出結果は、 では使用できません。 AWS Control Tower.
注記
サービスマネージドスタンダードのコントロールを有効にする場合: AWS Control Tower、Security Hub は、既存の を使用するコントロールの検出結果を生成するまでに最大 18 時間かかる場合があります。 AWS Config サービスにリンクされたルール。Security Hub で他の標準やコントロールを有効にしている場合、既存のサービスリンクルールが存在する可能性があります。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。
標準を削除する
この標準は で削除できます。 AWS Control Tower 次のいずれかの方法を使用して、該当するすべてのコントロールを無効にします。
-
AWS Control Tower コンソール
-
AWS Control Tower API (
DisableControl
を呼び出すAPI) -
AWS CLI (
disable-control
コマンドを実行する)
すべてのコントロールを無効にすると、 のすべてのマネージドアカウントと管理対象リージョンの標準が削除されます。 AWS Control Tower。 での標準の削除 AWS Control Tower は Security Hub コンソールの標準ページから削除し、Security Hub APIまたは を使用してアクセスできなくなります。 AWS CLI.
注記
Security Hub で標準のすべてのコントロールを無効にしても、標準が無効化または削除されることはありません。
Security Hub サービスを無効にすると、サービスマネージドスタンダードが削除されます。 AWS Control Tower および有効化したその他の標準。
サービスマネージドスタンダードの検出結果フィールド形式: AWS Control Tower
サービスマネージドスタンダードを作成する場合: AWS Control Tower と でコントロールを有効にすると、Security Hub でコントロールの検出結果を受信し始めます。Security Hub は、AWS セキュリティ検出結果形式 (ASFF) で統制結果をレポートします。これらは、この標準の Amazon リソースネーム (ARN) と ASFFの値ですGeneratorId
。
-
標準 ARN –
arn:aws:us-east-1
:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
GeneratorId –
service-managed-aws-control-tower/v/1.0.0/
CodeBuild.1
サービスマネージドスタンダードの検出結果の例: AWS Control Tower「Security Hub でのコントロールの検出結果の例」を参照してください。
サービスマネージドスタンダードに適用されるコントロール: AWS Control Tower
サービスマネージドスタンダード: AWS Control Tower は、 の一部であるコントロールのサブセットをサポートします。 AWS Foundational Security Best Practices (FSBP) 標準。次の表からコントロールを選択すると、失敗した結果の修正手順など、そのコントロールに関する情報が表示されます。
次のリストは、サービスマネージドスタンダードで使用可能なコントロールを示しています。 AWS Control Tower。 コントロールのリージョン制限は、FSBP標準のコロラリコントロールのリージョン制限と一致します。このリストは、標準に依存しないセキュリティコントロール を示していますIDs。左 AWS Control Tower コンソール、コントロールIDsは SH 形式です。ControlID
(SH..1 など)CodeBuild。Security Hub では、[統合されたコントロールの検出結果] が無効になっている場合、ProductFields.ControlId
フィールドに標準ベースのコントロール ID が使用されます。標準ベースのコントロール ID は CT 形式です。ControlId
(CT..1 など)CodeBuild。
-
によって管理される [ACM.2] RSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
-
〔APIGateway.1] API ゲートウェイRESTと WebSocket API実行のログ記録を有効にする必要があります
-
〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります
-
〔APIGateway.3] API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化
-
〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります
-
〔AutoScaling.2] Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります
-
[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスには、パブリック IP アドレスを指定しないでください
-
〔AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります
-
〔AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2起動テンプレートを使用する必要があります
-
〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン追跡を有効にして設定する必要があります
-
〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります
-
〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする
-
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
-
〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration
-
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
-
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
-
[DynamoDB.2] DynamoDB テーブルでは point-in-time リカバリを有効にする必要があります
-
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください
-
〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります
-
〔EC2.10] Amazon EC2 は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定する必要があります
-
〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください
-
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
-
〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください
-
〔ECS.10] ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります
-
〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
-
〔ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーが有効になっている必要があります
-
〔ElastiCache.4] ElastiCache (Redis OSS) レプリケーショングループは保管時に暗号化する必要があります
-
〔ElastiCache.5] ElastiCache (Redis OSS) レプリケーショングループは転送中に暗号化する必要があります
-
〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります
-
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
-
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
-
〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS
-
〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager
-
〔ELB.3] Classic Load Balancer リスナーは、 HTTPSまたは TLS終了で設定する必要があります
-
〔ELB.4] Application Load Balancer は http ヘッダーを削除するように設定する必要があります
-
〔ELB.5] Application and Classic Load Balancer のログ記録を有効にする必要があります
-
〔ELB.6] Application、Gateway、Network Load Balancer では、削除保護を有効にする必要があります
-
〔ELB.7] Classic Load Balancer では、Connection Draining を有効にする必要があります
-
〔ELB.8] SSLリスナーを持つ Classic Load Balancer は、強力な を持つ事前定義されたセキュリティポリシーを使用する必要があります AWS Config uration
-
〔ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります
-
〔ELB.13] Application、Network、Gateway Load Balancer は複数のアベイラビリティーゾーンにまたがる必要があります
-
〔ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります
-
[ES.4] Logs への Elasticsearch CloudWatch ドメインエラーのログ記録を有効にする必要があります
-
[ES.8] Elasticsearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります
-
作成する [IAM.21] IAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください
-
〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません
-
[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります
-
〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります
-
〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります
-
〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください
-
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
-
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
-
[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります
-
〔RDS.2] RDS DB インスタンスは、 によって決定されるパブリックアクセスを禁止する必要があります PubliclyAccessible AWS Config uration
-
〔RDS.20] 重要なデータベースインスタンスRDSイベントには、既存のイベント通知サブスクリプションを設定する必要があります
-
〔RDS.21] 重要なデータベースパラメータグループRDSイベントにはイベント通知サブスクリプションを設定する必要があります
-
〔RDS.22] 重要なデータベースセキュリティグループRDSイベントに対してイベント通知サブスクリプションを設定する必要があります
-
[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります
-
[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります
-
[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください
-
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
-
〔SecretsManager.1] Secrets Manager シークレットでは、自動ローテーションを有効にする必要があります
-
〔SecretsManager.2] 自動ローテーションで設定された Secrets Manager シークレットは正常にローテーションする必要があります
-
〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります
-
〔SSM.1] Amazon EC2インスタンスは によって管理する必要があります AWS Systems Manager
-
〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT
-
〔WAF.4] AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
この標準の詳細については、「」の「Security Hub コントロール」を参照してください。 AWS Control Tower ユーザーガイド 。