Security Hub CSPM 標準リファレンス
AWS Security Hub CSPM では、セキュリティ標準とは、規制フレームワーク、業界のベストプラクティス、または会社のポリシーに基づく一連の要件を指します。Security Hub CSPM は、これらの要件をコントロールにマッピングし、コントロールに対するセキュリティチェックを実行して、標準の要件が満たされているかどうかを評価します。それぞれの標準には複数のコントロールが含まれています。
Security Hub CSPM は現在、次の標準をサポートしています。
-
AWS Foundational Security Best Practices – AWS および業界の専門家によって開発されたこの標準は、セクターや規模に関係なく、組織のセキュリティのベストプラクティスをまとめたものです。AWS アカウント およびリソースがセキュリティのベストプラクティスから逸脱した場合を検出する一連のコントロールを提供します。セキュリティ体制を改善および維持する方法について、規範的なガイダンスを提供します。
-
AWS リソースのタグ付け – Security Hub CSPM によって開発されたこの標準は、AWS リソースにタグがあるかどうかを判断するのに役立ちます。タグは、AWS リソースのメタデータとして機能するキーと値のペアです。タグは、AWS リソースの識別、整理、管理および検索に役立ちます。例えば、タグを使用して目的、所有者、環境などに基づいてリソースを分類できます。
-
CIS AWS Foundations Benchmark – Center for Internet Security (CIS) によって開発されたこの標準は、AWS の安全な設定ガイドラインを提供します。基本設定、テスト可能設定、アーキテクチャに依存しない設定に重点を置いて、AWS のサービス およびリソースのサブセットのセキュリティ設定ガイドラインとベストプラクティスのセットを指定します。ガイドラインには、明確でステップバイステップの実装と評価の手順が含まれています。
-
NIST SP 800-53 Revision 5 – この標準は、情報システムと重要なリソースの機密性、完全性、可用性を保護するための米国国立標準技術研究所 (NIST) の要件に準拠しています。関連するフレームワークは、通常、米国の連邦機関、または米国の連邦機関や情報システムと連携する組織に適用されます。ただし、民間組織は要件をガイドフレームワークとして使用することもできます。
-
NIST SP 800-171 Revision 2 – この標準は、米国連邦政府の一部ではないシステムや組織で管理された未分類情報 (CUI) の機密性を保護するための NIST セキュリティの推奨事項と要件に準拠しています。CUI は、政府の分類基準を満たしていないものの、機密と見なされ、米国連邦政府または米国連邦政府に代わって他の団体によって作成または所有されている情報です。
-
PCI DSS – この標準は、PCI Security Standards Council (SSC) によって定義された Payment Card Industry Data Security Standard (PCI DSS) コンプライアンスフレームワークに準拠しています。このフレームワークは、クレジットカードとデビットカードの情報を安全に処理するための一連のルールとガイドラインを提供します。フレームワークは通常、カード所有者データを保存、処理、または送信する組織に適用されます。
-
サービスマネージド標準、AWS Control Tower – この標準は、Security Hub CSPM が提供する検出コントロールとともに、AWS Control Tower が提供するプロアクティブコントロールを設定するのに役立ちます。AWS Control Tower は、規範的なベストプラクティスに従って、AWS マルチアカウント環境を簡単にセットアップして管理する方法を提供します。AWS 環境のプロアクティブコントロールと検出コントロールを両方とも有効にすることで、開発のさまざまな段階でセキュリティ体制を強化できます。
Security Hub CSPM の標準とコントロールは、規制のフレームワークや監査への準拠を保証するものではありません。代わりに、AWS アカウント およびリソースの状態を評価およびモニタリングする方法を提供します。ビジネスニーズ、業界、ユースケースに関連する標準をそれぞれ有効にすることをお勧めします。
個々のコントロールは、複数の標準に適用できます。複数の標準を有効にする場合は、統合コントロールの検出結果も有効にすることをお勧めします。これを行うと、コントロールが複数の標準に適用されていても、Security Hub CSPM はコントロールごとに 1 つの検出結果を生成します。統合されたコントロールの検出結果を有効にしない場合、Security Hub CSPM は、コントロールが適用される有効な標準ごとに個別の検出結果を生成します。たとえば、2 つの標準を有効にし、その両方にコントロールが適用される場合、コントロールには 2 つの個別の検出結果が表示され、各標準に 1 つずつ表示されます。統合されたコントロールの検出結果を有効にすると、コントロールの検出結果が 1 つのみになります。詳細については、「統合されたコントロールの検出結果」を参照してください。
標準ごとの詳細なリファレンス
