セキュリティ標準のセキュリティスコアの決定
[Security standards] (セキュリティ標準) ページで、Security Hub は有効な標準別に 0〜100% のセキュリティスコアを表示します。[Summary] (概要) ページには、すべての有効な標準の全体的なセキュリティスコアも表示されます。
Security Hub を有効にすると、Security Hub は、Security Hub コンソールの [Summary] (概要) ページまたは [Security standards] (セキュリティ標準) ページへの最初のアクセスから 30 分以内に最初の標準のセキュリティスコアを計算します。スコアは、これらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。現在有効になっている標準のリストを表示するには、GetEnabledStandards
API オペレーションを使用します。また、スコアを表示するには、AWS Config リソースレコードを設定する必要があります。全体的なセキュリティスコアは、標準のセキュリティスコアの平均値です。
最初のスコア生成の後、Security Hub はセキュリティスコアを 24 時間毎に更新します。Security Hub には、セキュリティスコアが最後に更新されたときの時刻が表示されます。
中国リージョンおよび AWS GovCloud (US) Region では、最初のセキュリティスコアが作成されるまで、最大 24 時間かかる場合があります。
セキュリティスコアの計算方法
セキュリティスコアは、有効になっているコントロールのうち、合格の状態にあるコントロールの割合を示します。スコアはパーセンテージで表示されます。例えば、標準に対して 10 個のコントロールが有効になっており、そのうち 7 個が合格である場合、セキュリティスコアは 70% になります。
お使いのアカウントが管理者アカウントである場合、セキュリティスコアでは、すべてのメンバーアカウントのコントロール結果が考慮されます。
集約リージョンを設定している場合、総合的なセキュリティスコアは、リンクされたすべてのリージョンの結果を考慮した集計スコアとなります。同様に、それぞれの標準のセキュリティスコアは、リンクされたすべてのリージョンにある標準に関連付けられた結果を、考慮した集計スコアとなります。お使いのアカウントが管理者アカウントである場合、セキュリティスコアは、すべてのメンバーアカウントおよびすべてのリージョンを考慮したものとなることに、ご注意ください。
セキュリティスコアの計算では、有効になっているコントロールのうち、結果がない (全体のステータスがデータなしである) コントロールを無視します。たとえば、標準で 12 のコントロールが有効になっている場合で、これらのコントロールのうち 6 つが合格状態であり 2 つのコントロールが [No data] (データなし) の場合は、計算では [No data] (データなし) のコントロールが省略されるため、セキュリティスコアは 60% になります。
管理者アカウントのセキュリティスコア
管理者アカウントの場合、総合的なセキュリティスコアと特定の標準のセキュリティスコアは、管理者アカウントとすべてのメンバーアカウントの両方を集計したスコアとなります。
集約リージョンを設定している場合のセキュリティスコア
集約リージョンを設定している場合、総合的なセキュリティスコアと各標準のセキュリティスコアには、リンクされているすべてのリージョンの結果が反映されます。お使いのアカウントが管理者アカウントである場合、セキュリティスコアには、すべてのメンバーアカウントも考慮されます。
概要ページのセキュリティスコア
[Summary] (概要) ページの [Security standards] (セキュリティ標準) カードに、有効な標準別にセキュリティスコアが表示されます。また、すべての有効な標準で、有効なコントロールに対する合格したコントロールの割合を表す統合セキュリティスコアも表示されます。