Security Hub の中央設定について - AWS Security Hub

Security Hub の中央設定について

中央設定は、複数の AWS アカウントおよび AWS リージョンにわたって Security Hub を設定し、管理する際に役立つ Security Hub の機能です。中央設定を使用するには、まず Security Hub と AWS Organizations を統合する必要があります。組織を作成し、組織に対して委任された Security Hub 管理者アカウントを指定することで、サービスを統合できます。

委任された Security Hub 管理者アカウントで、Security Hub サービス、セキュリティ標準、およびセキュリティコントロールを複数のリージョンの組織アカウントと組織単位 (OU) で設定する方法を指定できます。これらの設定は、ホームリージョンと呼ばれる 1 つのプライマリリージョンから、わずか数ステップで設定できます。

中央設定を使用する場合、委任された管理者が設定するアカウントと OU を選択できます。委任された管理者がメンバーアカウントまたは OU をセルフマネージド型に指定した場合、メンバーは各リージョンで独自の設定を個別に構成できます。委任された管理者がメンバーアカウントまたは OU を一元管理型に指定した場合、委任された管理者のみが複数のリージョンにわたってメンバーアカウントまたは OU を設定できます。組織内のすべてのアカウントと OU を、一元管理型、すべてセルフマネージド型、または両方の組み合わせとして指定できます。

一元管理型アカウントを設定するには、委任された管理者が Security Hub の設定ポリシーを使用します。設定ポリシーにより、委任された管理者は Security Hub を有効にするか無効にするか、またどの標準とコントロールを有効または無効にするかを指定できます。またこのポリシーを使用して、特定のコントロールのパラメータをカスタマイズすることもできます。

設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。委任された管理者は、中央設定の使用を開始する前に、組織のホームリージョンとリンクされたリージョンを指定します。リンクされたリージョンの指定はオプションです。委任された管理者は、組織全体に単一の設定ポリシーを作成することも、複数の設定ポリシーを作成してさまざまなアカウントや OU の変数設定を行うこともできます。

ヒント

中央設定を使用しない場合は、各アカウントとリージョンで大幅に Security Hub を設定する必要があります。これはローカル設定と呼ばれます。ローカル設定では、委任管理者は、現在のリージョンの新しい組織アカウントで Security Hub と限定された一連のセキュリティ標準を自動的に有効にできます。ローカル設定は、既存の組織アカウントや、現在のリージョン以外のリージョンには適用されません。また、ローカル設定では設定ポリシーの使用もサポートされていません。

このセクションでは、中央設定の概要について説明します。

中央設定を使用する利点

中央設定には、次のような利点があります。

Security Hub サービスと機能の設定を簡素化する

中央設定を使用する場合、Security Hub によって組織のセキュリティ上のベストプラクティスを設定するプロセスに誘導されます。また、作成された設定ポリシーは、指定したアカウントと OU に自動的にデプロイされます。新しいセキュリティコントロールを自動的に有効にするなど、Security Hub の既存の設定がある場合は、それらの設定を設定ポリシーの開始点として使用できます。さらに、Security Hub コンソールの [設定] ページには、設定ポリシーの概要と、各ポリシーを使用するアカウントおよび OU がリアルタイムで表示されます。

複数のアカウントやリージョンにまたがる設定

中央設定を使用すると、Security Hub を複数のアカウントとリージョンにまたがって設定を行うことができます。これにより、組織の各部署で一貫した設定と適切なセキュリティ対策が確保されます。

さまざまなアカウントや OU で異なる設定に対応

中央設定により、組織のアカウントと OU をさまざまな方法で設定できます。例えば、テストアカウントと本稼働アカウントでは異なる設定が必要になる場合があります。組織に追加する際に新しいアカウントを対象とする設定ポリシーを作成することもできます。

設定のずれを防ぐ

設定のずれは、サービスや機能に対してユーザーが行った変更が、委任された管理者が行った選択と競合する場合に発生します。中央設定によりこのずれを防止します。アカウントまたは OU を一元管理型として指定する場合に設定できるのは、組織の委任管理者のみです。特定のアカウントや OU で独自の設定を行う場合は、セルフマネージド型に指定できます。

中央設定をいつ使用するのか?

中央設定は、複数の Security Hub アカウントが含まれる AWS 環境に最適です。複数のアカウントに対して Security Hub を一元管理できるように設計されています。

中央設定を使用して、Security Hub サービス、セキュリティ標準、およびセキュリティコントロールを設定できます。また、この設定を使用して特定のコントロールのパラメータをカスタマイズすることもできます。セキュリティ標準の詳細については、「Security Hub のセキュリティ標準について」を参照してください。セキュリティコントロールの詳細については、「Security Hub のセキュリティコントロールについて」を参照してください。

中央設定に関する用語と概念

以下の主要な用語と概念を理解しておくと、Security Hub の中央設定を使用する際に役立ちます。

中央設定

組織に対して委任された Security Hub 管理者アカウントが、複数のアカウントとリージョンにわたって Security Hub サービス、セキュリティ標準、およびセキュリティコントロールを設定する際に役立つ、Security Hub の機能。これらの設定を行うには、委任された管理者が組織内の一元管理型アカウントに対して Security Hub 設定ポリシーを作成し、管理します。セルフマネージド型アカウントは、リージョンごとに独自の設定を個別に行うことができます。中央設定を使用するには、Security Hub と AWS Organizations を統合する必要があります。

ホームリージョン

委任された管理者の AWS リージョンで、設定ポリシーを作成および管理して Security Hub を一元的に設定します。設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。

ホームリージョンは、リンクされたリージョンから検出結果、インサイト、その他のデータを受け取る Security Hub 集約リージョンとしても機能します。

AWS で 2019 年 3 月 20 日以降に導入されたリージョンは、オプトインリージョンと呼ばれます。オプトインリージョンをホームリージョンにすることはできませんが、リンクされたリージョンにすることはできます。オプトインリージョンのリストについては、「AWS アカウント管理リファレンスガイド」の「Considerations before enabling and disabling Regions」を参照してください。

リンクされたリージョン

ホームリージョンから設定できる AWS リージョン。設定ポリシーは、ホームリージョンの委任管理者によって作成されます。ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。リンクされたリージョンの指定はオプションです。

また、リンクされたリージョンによって、検出結果、インサイト、その他のデータがホームリージョンに送信されます。

AWS で 2019 年 3 月 20 日以降に導入されたリージョンは、オプトインリージョンと呼ばれます。設定ポリシーを適用する前に、そのようなリージョンをアカウントで有効にする必要があります。Organizations 管理アカウントでは、メンバーアカウントのオプトインリージョンを有効にできます。詳細については、「AWS アカウント管理リファレンスガイド」の「アカウントで使用できる AWS リージョン リージョンを指定する」を参照してください。

[Target] (ターゲット)

AWS アカウント、組織単位 (OU)、または組織ルート。

Security Hub の設定ポリシー

委任管理者が一元管理型ターゲットに設定できる Security Hub 設定のコレクション。これには、以下が含まれます。

  • Security Hub を有効または無効にするかどうか。

  • 1 つ以上のセキュリティ標準を有効にするかどうか。

  • 有効になっている標準でどのセキュリティコントロールを有効にするか。委任された管理者は、有効にする必要のある特定のコントロールのリストを指定することでこれを実行できます。Security Hub によって、リリース時の新しいコントロールを含め、他のすべてのコントロールが無効になります。または、委任された管理者が無効にする必要のある特定のコントロールのリストを指定し、Security Hub でリリース時の新しいコントロールを含め、他のすべてのコントロールを有効にすることもできます。

  • オプションで、有効な複数の標準で有効になっているコントロールを選択してパラメータをカスタマイズできます。

設定ポリシーは、少なくとも 1 つのアカウント、組織単位 (OU)、またはルートに関連付けられると、ホームリージョンとリンクされたすべてのリージョンで有効になります。

Security Hub コンソールでは、委任された管理者が Security Hub 推奨設定ポリシーを選択するか、カスタム設定ポリシーを作成できます。Security Hub API および AWS CLI で委任された管理者が実行できるのは、カスタム設定ポリシーの作成のみです。委任された管理者は、最大 20 のカスタム設定ポリシーを作成できます。

推奨される設定ポリシーでは、Security Hub、AWS の基本的なセキュリティのベストプラクティス (FSBP) 標準、すべての既存および新規の FSBP コントロールが有効になっています。パラメータを受け入れるコントロールは、デフォルト値を使用します。推奨される設定ポリシーは、組織全体に適用されます。

組織に異なる設定を適用したり、異なるアカウントや OU に異なる設定ポリシーを適用したりするには、カスタム設定ポリシーを作成します。

ローカル設定

Security Hub と AWS Organizations を統合した後の、組織のデフォルトの設定タイプ。ローカル設定では、委任された管理者が、現在のリージョンの新しい組織アカウントで Security Hub とデフォルトのセキュリティ標準を自動的に有効にするよう選択できます。委任された管理者がデフォルトの標準を自動的に有効にすると、これらの標準に含まれるすべてのコントロールも、新しい組織アカウントのデフォルトパラメータを使用して自動的に有効になります。これらの設定は既存のアカウントには適用されないため、アカウントを組織に追加した後に設定のずれが生じる可能性があります。デフォルトの標準に含まれる特定のコントロールの無効化、および追加の標準とコントロールの設定は、アカウントやリージョンごとに個別に行う必要があります。

ローカル設定では、設定ポリシーの使用がサポートされていません。設定ポリシーを使用するには、中央設定に切り替える必要があります。

手動アカウント管理

Security Hub を AWS Organizations と統合していない場合、またはスタンドアロンアカウントをお持ちの場合は、各リージョンで各アカウントの設定を個別に指定する必要があります。手動によるアカウント管理では、設定ポリシーの使用がサポートされていません。

中央設定 API

一元管理型アカウントの設定ポリシーを管理するために Security Hub の委任された Security Hub 管理者のみがホームリージョンで使用する Security Hub オペレーション。オペレーションは次のとおりです。

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

アカウント固有の API

Security Hub、標準、コントロールをアカウントごとに有効または無効にできる、Security Hub のオペレーション。これらのオペレーションは、個々のリージョンで使用されます。

セルフマネージド型アカウントは、アカウント固有のオペレーションを使用して独自の設定を行うことができます。一元管理型アカウントは、ホームリージョンとリンクされたリージョンでは以下のアカウント固有のオペレーションを使用することができません。これらのリージョンで中央設定オペレーションと設定ポリシーによって一元管理型アカウントを設定できるのは、委任された管理者のみです。

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

アカウントのステータスを確認するために、一元管理型アカウントの所有者が Security Hub API の Get または Describe オペレーションを使用することは可能です

中央設定の代わりにローカル設定または手動アカウント管理を使用する場合は、これらのアカウント固有のオペレーションを使用できます。

セルフマネージドアカウントは、 *Invitations および *Members オペレーションを使用することもできます。ただし、セルフマネージド型アカウントではこれらのオペレーションを使用しないことをお勧めします。メンバーアカウントに、委任管理者とは異なる組織に属する独自のメンバーがある場合、ポリシーの関連付けが失敗する可能性があります。

組織単位 (OU)

AWS Organizations と Security Hub に存在する、AWS アカウントのグループ用コンテナ。また、組織単位 (OU) は他の OU に含めることもでき、上下反転したツリーのような階層を作成できます。最上部には親 OU があり、下に向かって OU の枝が広がり、先端にはツリーの葉であるアカウントがあります。OU は、厳密に親を 1 つ持つことができ、各組織アカウントを厳密に 1 つの OU のメンバーにすることができます。

OU は AWS Organizations または AWS Control Tower で管理できます。詳細については、「AWS Organizations ユーザーガイド」の「組織単位の管理」または「AWS Control Tower ユーザーガイド」の「AWS Control Tower で組織とアカウントを管理する」を参照してください。

委任された管理者は、設定ポリシーを特定のアカウントや OU に関連付けたり、組織内のすべてのアカウントや OU を対象とするルートに関連付けたりできます。

一元管理型

委任管理者のみが設定ポリシーを使用して複数のリージョンにわたり設定できるターゲット。

委任管理者アカウントで、ターゲットが一元管理型かどうかを指定します。委任された管理者は、ターゲットのステータスを一元管理型からセルフマネージド型に、またはその逆に変更することもできます。

セルフマネージド型

独自の Security Hub 設定を管理するターゲット。セルフマネージド型ターゲットは、アカウント固有のオペレーションを使用して、各リージョンで個別に Security Hub を設定します。これとは対照的に、一元管理型ターゲットは、設定ポリシーによって複数のリージョンにわたり委任された管理者のみが設定できます。

委任管理者アカウントで、ターゲットがセルフマネージド型かどうかを指定します。委任管理者は、ターゲットにセルフマネージド型の動作を適用できます。また、アカウントや OU は親からセルフマネージド型の動作を継承することもできます。

委任管理者アカウントは、それ自体がセルフマネージド型アカウントである可能性があります。委任管理者アカウントは、ターゲットのステータスをセルフマネージド型から一元管理型、または逆に変更できます。

設定ポリシーの関連付け

設定ポリシーとアカウント、組織単位 (OU)、またはルートとの間のリンク。ポリシーが関連付けられている場合、アカウント、OU、またはルートでは設定ポリシーで定義された設定を使用します。関連付けは次のいずれかの場合に発生します。

  • 委任された管理者が設定ポリシーをアカウント、OU、またはルートに直接適用する場合

  • アカウントまたは OU が親 OU またはルートから設定ポリシーを継承する場合

関連付けは、別の設定が適用または継承されるまで発生します。

適用された設定ポリシー

委任された管理者が設定ポリシーをターゲットアカウント、OU、またはルートに直接適用する、設定ポリシーの関連付けタイプ。ターゲットは設定ポリシーで定義されている方法で設定され、委任された管理者のみが設定を変更できます。ルートに適用した場合、設定ポリシーは、アプリケーションまたは最も近い親からの継承によって異なる設定を使用していない、組織内のすべてのアカウントと OU に影響します。

委任された管理者は、特定のアカウント、OU、またはルートにセルフマネージド型の設定を適用することもできます。

継承された設定ポリシー

アカウントまたは OU が最も近い親 OU またはルートの設定を採用する、設定ポリシーの関連付けタイプ。設定ポリシーがアカウントや OU に直接適用されない場合、最も近い親 OU の設定が継承されます。ポリシーのすべての要素は継承されます。つまり、アカウントや OU はポリシーの一部だけを選択的に継承することはできません。最も近い親がセルフマネージド型の場合、子アカウントまたは OU は親のセルフマネージド型の動作を継承します。

継承によって適用された設定を上書きすることはできません。つまり、設定ポリシーまたはセルフマネージド型の設定がアカウントまたは OU に直接適用された場合、その設定が使用され、親の設定は継承されません。

ルート

AWS Organizations と Security Hub は、組織で最上位の親ノードです。委任された管理者が設定ポリシーをルートに適用すると、そのポリシーは組織内のすべてのアカウントと OU に関連付けられます。ただし、アプリケーションまたは継承によって別のポリシーが使用されている場合や、セルフマネージド型として指定されている場合は除きます。管理者がルートをセルフマネージド型として指定した場合、アプリケーションまたは継承で設定ポリシーを使用する場合を除き、組織内のすべてのアカウントと OU はセルフマネージド型になります。ルートがセルフマネージド型で、現在設定ポリシーが存在しない場合、組織内のすべての新規アカウントで現在の設定が保持されます。

組織に追加した新しいアカウントは、特定の OU に割り当てられるまではルートに属します。新しいアカウントが OU に割り当てられない場合、委任された管理者がセルフマネージド型アカウントとして指定しない限り、そのアカウントはルート設定を継承します。