コントロールの検出結果の統合コントロールの結果の Compliance 詳細コントロールの結果の ProductFields 詳細コントロール結果への重要度の割り当てコントロールの結果を更新するためのルール

コントロールの結果を生成および更新する

AWS Security Hub は、セキュリティコントロールに対するチェックを実行して検出結果を生成します。これらの検出結果は、を使用します。 AWS セキュリティ検出結果形式 (ASFF）。結果のサイズが最大 240 KB を超えると、Resource.Details オブジェクトが削除されます。によってバックアップされるコントロールの場合 AWS Config リソースでは、でリソースの詳細を表示できます。 AWS Config console。

Security Hub は通常、コントロールのセキュリティチェックごとに課金されます。ただし、複数のコントロールが同じを使用する場合 AWS Config ルールの場合、Security Hub はに対するチェックごとに 1 回のみ課金します。 AWS Config ルール。統合統制結果を有効にすると、コントロールが有効な複数の標準に含まれている場合でも、Security Hub はセキュリティチェック用に 1 つの結果を生成します。

例えば、 AWS Config ルールiam-password-policyは、Center for Internet Security (CIS) の複数のコントロールで使用されます。 AWS Foundations Benchmark 標準と Foundational Security Best Practices 標準。Security Hub がそれに対してチェックを実行するたびに AWS Config ルールでは、関連するコントロールごとに個別の結果を生成しますが、チェックに対して 1 回だけ課金されます。

コントロールの検出結果の統合

アカウントで統合統制結果機能を有効にすると、コントロールが有効な複数の標準に適用されていても、Security Hub はコントロールのセキュリティチェックごとに 1 つの新しい検出結果または検出結果の更新を生成します。コントロールとそれらが適用される標準の一覧については、「Security Hub コントロールのリファレンス」を参照してください。検出結果のノイズを減らすために、統合コントロールの検出結果を有効にすることをお勧めします。

の Security Hub を有効にした場合 AWS アカウント 2023 年 2 月 23 日より前には、このセクションの後半の手順に従って、統合統制結果を有効にできます。2023 年 2 月 23 日以降に Security Hub を有効にすると、アカウントで統合統制結果が自動的に有効になります。ただし、Security Hub との統合を使用する場合 AWS Organizations または手動の招待プロセスを通じて招待されたメンバーアカウントでは、統合コントロールの検出結果は、管理者アカウントで有効になっている場合にのみメンバーアカウントで有効になります。管理者アカウントでこの機能が無効になっている場合、メンバーアカウントでは無効になります。この挙動は、新規および既存のメンバーアカウントに適用されます。

アカウントで統合統制結果を無効にすると、Security Hub は、統制を含む有効な標準ごとにセキュリティチェックごとに個別の結果を生成します。例えば、有効な 4 つの標準が同じ基盤を持つコントロールを共有する場合 AWS Config ルールでは、コントロールのセキュリティチェック後に 4 つの個別の結果を受け取ります。統合統制結果を有効にすると、1 つの結果のみが表示されます。統合が検出結果に与える影響の詳細については、「Security Hub でのコントロールの検出結果の例」を参照してください。

統合統制結果を有効にすると、Security Hub は新しい標準に依存しない結果を作成し、元の標準ベースの結果をアーカイブします。一部のコントロールの検出結果フィールドや値が変更され、既存のワークフローに影響を与える可能性があります。これらの変更の詳細については、「統合コントロールの検出結果 – ASFF変更」を参照してください。

[統合されたコントロールの検出結果] を有効にすると、[サードパーティの統合] が Security Hub から受け取る検出結果にも影響する可能性があります。での自動セキュリティレスポンス AWS v2.0.0 は、統合統制結果をサポートします。

統合統制結果を有効化または無効化するには、管理者アカウントまたはスタンドアロンアカウントにサインインする必要があります。

注記

統合統制結果を有効にした後、Security Hub が新しい統合結果を生成し、元の標準ベースの結果をアーカイブするまでに最大 24 時間かかる場合があります。同様に、統合統制結果を無効にすると、Security Hub が新しい標準ベースの結果を生成し、統合結果をアーカイブするまでに最大 24 時間かかる場合があります。この間、アカウントで標準に依存しない検出結果と標準ベースの検出結果が混在することがあります。

コントロールの結果の `Compliance` 詳細

コントロールのセキュリティチェックによって生成された検出結果の場合、の Complianceフィールド AWS Security Finding 形式 (ASFF) には、コントロールの検出結果に関連する詳細が含まれています。Compliance フィールドに含まれている情報は次のとおりです。

AssociatedStandards: コントロールが有効になっている有効な標準です。
RelatedRequirements: すべての有効な標準のコントロールに関連する要件のリストです。要件は、Payment Card Industry Data Security Standard (PCI) など、コントロールのサードパーティーセキュリティフレームワークからのものですDSS。
SecurityControlId: Security Hub がサポートするセキュリティ標準全体のコントロールの識別子です。
Status: 特定のコントロールに対して Security Hub によって実行された最新のチェックの結果です。前回のチェックの結果は 90 日間、アーカイブされた状態で保持されます。
StatusReasons: Compliance.Status の値の理由のリストが含まれています。StatusReasons には、理由ごとの理由コードと説明が示されます。

次の表に、使用可能な状況の理由コードと説明を示します。修正手順は、どのコントロールがその理由コードを使って検出結果を生成したかによって異なります。Security Hub コントロールのリファレンスからコントロールを選択すると、そのコントロールの修正手順が表示されます。

理由コード	Compliance.Status	説明
`CLOUDTRAIL_METRIC_FILTER_NOT_VALID`	`FAILED`	マルチリージョン CloudTrail の証跡に有効なメトリクスフィルターがありません。
`CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`	`FAILED`	マルチリージョン証 CloudTrail 跡にはメトリクスフィルターはありません。
`CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`	`FAILED`	アカウントには、必要な設定のマルチリージョン CloudTrail 証跡がありません。
`CLOUDTRAIL_REGION_INVAILD`	`WARNING`	マルチリージョンの CloudTrail 証跡が現在のリージョンにありません。
`CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`	`FAILED`	有効なアラームアクションが存在しません。
`CLOUDWATCH_ALARMS_NOT_PRESENT`	`FAILED`	CloudWatch アラームはアカウントに存在しません。
`CONFIG_ACCESS_DENIED`	`NOT_AVAILABLE` AWS Config ステータスは `ConfigError`	AWS Config アクセスが拒否されました。以下を確認する AWS Config が有効で、十分なアクセス許可が付与されている。
`CONFIG_EVALUATIONS_EMPTY`	`PASSED`	AWS Config は、ルールに基づいてリソースを評価しました。ルールがに適用されませんでした AWS スコープ内のリソース、指定されたリソースが削除された、または評価結果が削除されました。
`CONFIG_RETURNS_NOT_APPLICABLE`	`NOT_AVAILABLE`	コンプライアンスステータスはです`NOT_AVAILABLE`。 AWS Config は、該当なしのステータスを返しました。 AWS Config はステータスの理由を提供しません。ステータスが Not Applicable である理由は、以下のように考えられます。リソースがのスコープから削除されました AWS Config ルール。 - AWS Config ルールが削除されました。リソースが削除された。 - AWS Config ルールロジックは、該当なしステータスを生成できます。
`CONFIG_RULE_EVALUATION_ERROR`	`NOT_AVAILABLE` AWS Config ステータスは `ConfigError`	この理由コードは、いくつかの異なる種類の評価エラーに使用されます。説明には、具体的な理由の情報が含まれます。エラーの種類は、次のいずれかになります。許可が不足しているため、評価を実行できない。説明には、欠落している特定の許可が含まれます。パラメータの値が欠落しているか、無効。説明には、パラメータとパラメータ値の要件が含まれます。 S3 バケットからの読み取り中のエラー。説明では、バケットが識別され、特定のエラーが表示されます。欠落している AWS サブスクリプション。評価の一般的なタイムアウト。停止中のアカウント。
`CONFIG_RULE_NOT_FOUND`	`NOT_AVAILABLE` AWS Config ステータスは `ConfigError`	- AWS Config ルールは作成中です。
`INTERNAL_SERVICE_ERROR`	`NOT_AVAILABLE`	不明なエラーが発生しました。
`LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`	FAILED	Security Hub がカスタム Lambda ランタイムのチェックを実行できません。
`S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	このルールに関連付けられた S3 バケットが別のリージョンまたはアカウントにあるため、結果が `WARNING` 状態になっています。このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。
`SNS_SUBSCRIPTION_NOT_PRESENT`	`FAILED`	CloudWatch Logs メトリクスフィルターに有効な Amazon SNSサブスクリプションがありません。
`SNS_TOPIC_CROSS_ACCOUNT`	WARNING	結果が `WARNING` 状態です。このルールに関連付けられたSNSトピックは、別のアカウントによって所有されています。現在のアカウントでは、サブスクリプション情報を取得できません。 SNS トピックを所有するアカウントは、現在のアカウントにSNSトピックの`sns:ListSubscriptionsByTopic`アクセス許可を付与する必要があります。
`SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	このルールに関連付けられているSNSトピックが別のリージョンまたはアカウントにあるため、検出結果は `WARNING`状態です。このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。
`SNS_TOPIC_INVALID`	`FAILED`	このルールに関連付けられているSNSトピックが無効です。
`THROTTLING_ERROR`	`NOT_AVAILABLE`	関連するAPIオペレーションが許容レートを超えました。

コントロールの結果の `ProductFields` 詳細

Security Hub がセキュリティチェックを実行してコントロールの検出結果を生成する場合、の ProductFields 属性には次のフィールドASFFが含まれます。

ArchivalReasons:0/Description

Security Hub が既存の結果をアーカイブした理由について説明します。

例えば、統制または標準を無効にしたり、統合統制結果を有効または無効にしたりすると、Security Hub は既存の結果をアーカイブします。

ArchivalReasons:0/ReasonCode

Security Hub が既存の結果をアーカイブした理由を示します。

例えば、統制または標準を無効にしたり、統合統制結果を有効または無効にしたりすると、Security Hub は既存の結果をアーカイブします。

StandardsGuideArn、または StandardsArn

コントロールに関連付けられたARN標準の。

の場合 CIS AWS Foundations Benchmark 標準、フィールドはですStandardsGuideArn。

PCI DSS およびの場合 AWS Foundational Security Best Practices 標準では、フィールドはですStandardsArn。

これらのフィールドは、統合統制結果を有効にするCompliance.AssociatedStandardsと、に代わって削除されます。コントロールの検出結果の統合

StandardsGuideSubscriptionArn、または StandardsSubscriptionArn

標準へのARNアカウントのサブスクリプションの。

の場合 CIS AWS Foundations Benchmark 標準、フィールドはですStandardsGuideSubscriptionArn。

PCI DSS およびの場合 AWS Foundational Security Best Practices 標準では、フィールドはですStandardsSubscriptionArn。

統合統制結果を有効にすると、これらのフィールドは削除されます。

RuleId、または ControlId

コントロールの識別子。

の場合 CIS AWS Foundations Benchmark 標準、フィールドはですRuleId。

他の標準の場合、このフィールドは ControlId です。

これらのフィールドは、統合統制結果を有効にするCompliance.SecurityControlIdと、に代わって削除されます。コントロールの検出結果の統合

RecommendationUrl

コントロールURLの修復情報への。統合統制結果を有効にするRemediation.Recommendation.Urlと、このフィールドはに代わって削除されます。

RelatedAWSResources:0/name

結果に関連付けられたリソースの名前。

RelatedAWSResource:0/type

コントロールに関連付けられたリソースのタイプ。

StandardsControlArn

コントロールARNの。統合統制結果を有効にすると、このフィールドは削除されます。

aws/securityhub/ProductName

コントロールベースの結果の場合、製品名は Security Hub になります。

aws/securityhub/CompanyName

コントロールベースの検出結果の場合、会社名はです。 AWS.

aws/securityhub/annotation

コントロールによって検出された問題の説明。

aws/securityhub/FindingId

結果の識別子。統合統制結果を有効にした場合、このフィールドは標準を参照しません。

コントロール結果への重要度の割り当て

Security Hub コントロールに割り当てられる重要度は、コントロールの重要性を特定します。コントロールの重要度により、コントロールの結果に割り当てられる重要度ラベルが決まります。

重要度の基準

コントロールの重要度は、以下の基準の評価に基づいて決定されます:

脅威アクターがコントロールに関連する設定の弱点を利用する際の難易度

この難易度は、弱点を利用して脅威シナリオを実行するために必要な洗練度または複雑さの度合いによって決まります。
弱点がの侵害につながる可能性はどの程度ありますか AWS アカウントまたはリソース？

の侵害 AWS アカウントまたはリソースとは、お客様のデータの機密性、完全性、または可用性を意味します。 AWS インフラストラクチャが何らかの形で破損している。

侵害の可能性は、脅威シナリオがの中断または違反につながる可能性を示します。 AWS サービスまたはリソース。

例えば、次の設定の弱点について検討します。

ユーザーアクセスキーが 90 日ごとにローテーションされません。
IAM ルートユーザーキーが存在します。

どちらの弱点も、攻撃者が悪用する際の難易度は同程度です。両方の弱点とも、攻撃者は認証情報の盗難やその他の方法を使用してユーザーキーを取得します。その後、このユーザーキーを使用して、許可されない方法でリソースにアクセスします。

ただし、脅威アクターによって取得されたアクセスキーがルートユーザーのものである場合、よりアクセス性が高いため、侵害の可能性はより高くなります。この結果、ルートユーザーキーの弱点は、重要度が高くなります。

重要度では、基になるリソースの重大度は考慮されていません。重大度は、結果に関連付けられているリソースの重要性の程度として定義されます。例えば、ミッションクリティカルなアプリケーションに関連付けられているリソースは、非本番稼働用テストに関連付けられたリソースより重大度が高くなります。リソース重要度情報をキャプチャするには、の Criticalityフィールドを使用します。 AWS セキュリティ検出結果形式 (ASFF）。

次の表に、悪用行為の難易度と、セキュリティラベルが侵害される可能性を示します。

	侵害の可能性が非常に高い	侵害の可能性が高い	侵害の可能性が低い	侵害の可能性が非常に低い
悪用行為が非常に簡単	重大	重大	高	中
悪用行為がやや簡単	重大	高	中	中
悪用行為がやや難しい	高	中	中	低
悪用行為が非常に難しい	中	中	低	低

重要度の定義

重要度ラベルは次のように定義されています。

重大 - この問題は、さらに悪化しないように直ちに修復する必要があります。

例えば、公開された S3 バケットは重大な重要度の結果と考えられます。非常に多くの脅威アクターによって、公開された S3 バケットがスキャンされるため、公開された S3 バケット内のデータは、他者によって発見およびアクセスされる可能性があります。

一般に、パブリックにアクセス可能なリソースは、セキュリティ上の重大な問題と見なされます。重大な結果への対応は、緊急性が最も高くなります。また、リソースの重大度も考慮する必要があります。

高 - この問題は短期的な優先事項として対処する必要があります。

例えば、デフォルトのVPCセキュリティグループがインバウンドトラフィックとアウトバウンドトラフィックに対して開いている場合、重要度が高いと見なされます。脅威アクターがこの方法VPCを使用してを侵害することは、ある程度簡単です。また、脅威アクターは、リソースがに入ると、リソースを中断または抽出できる可能性もありますVPC。

Security Hub では、重要度の高い結果を短期的な優先事項として扱うことを推奨しています。すぐに修復手順を実行する必要があります。また、リソースの重大度も考慮する必要があります。

中 - この問題は、中期的な優先事項として対処する必要があります。

例えば、転送中のデータの暗号化が欠如している場合、重要度が中程度の結果と考えられます。この弱点を利用するには、高度な man-in-the-middle 攻撃が必要です。つまり、やや難しい攻撃手法です。脅威シナリオが成功すると、一部のデータが侵害される可能性があります。

Security Hub では、できるだけ早く、関連するリソースを調査することを推奨しています。また、リソースの重大度も考慮する必要があります。

低 - この問題には、独自のアクションは必要ありません。

例えば、フォレンジック情報の収集に失敗した場合、重要度が低いと考えられます。この管理は将来の侵害を防ぐのに役立ちますが、フォレンジックが実行されない限り、侵害に直接つながりません。

重要度の低い結果については、すぐにアクションを実行する必要はありませんが、他の問題と相関関係がある場合は、コンテキストを入手できます。

情報 - 設定の弱点は見つかりませんでした。

つまり、ステータスは PASSED、WARNING、または NOT AVAILABLE です。

推奨されるアクションはありません。通知目的の結果は、顧客が準拠状態であることを実証するのに役立ちます。

コントロールの結果を更新するためのルール

特定のルールで後続のチェックを行うと、新しい結果が生成される場合があります。例えば、「ルートユーザーの使用を避ける」のステータスが FAILED から PASSED に変更される場合があります。この場合、最新の結果を含む新しい結果が生成されます。

指定されたルールで行われた後続のチェックで結果が生成され、その結果が現在の結果と同じ場合、既存の結果が更新されます。新しい結果は生成されません。

Security Hub では、関連付けられたリソースが削除されたか、リソースが存在しないか、コントロールが無効になっている場合、コントロールから結果を自動的にアーカイブします。関連付けられたサービスが現在使用されていないため、リソースがすでに存在しない可能性もあります。結果は、次のいずれかの基準に基づいて自動的にアーカイブされます:

結果が 3～5 日間更新されていません (これはベストエフォートであり、保証されません)。
関連付けられた AWS Config 評価がを返しましたNOT_APPLICABLE。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

セキュリティチェックの実行スケジュール

コンプライアンスステータスとコントロールステータス