翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
コントロールの結果を生成および更新する
AWS Security Hub は、セキュリティコントロールに対するチェックを実行して検出結果を生成します。これらの検出結果は AWS Security Finding 形式 () を使用しますASFF。結果のサイズが最大 240 KB を超えると、Resource.Details オブジェクトが削除されます。リソースによって AWS Config バックアップされるコントロールについては、 AWS Config コンソールでリソースの詳細を表示できます。
Security Hub は通常、コントロールのセキュリティチェックごとに課金されます。ただし、複数のコントロールが同じ AWS Config ルールを使用する場合、Security Hub は AWS Config ルールに対するチェックごとに 1 回のみ課金します。[統合されたコントロールの検出結果] を有効にすると、コントロールが複数の有効化された標準に含まれている場合でも、Security Hub はセキュリティチェックに対して単一の検出結果を生成します。
例えば、 AWS Config ルールiam-password-policyは Center for Internet Security (CIS) AWS Foundations Benchmark 標準と Foundational Security Best Practices 標準の複数のコントロールで使用されます。Security Hub がその AWS Config ルールに対してチェックを実行するたびに、関連するコントロールごとに個別の検出結果が生成されますが、チェックに対して課金されるのは 1 回だけです。
統合されたコントロールの検出結果
アカウントで統合コントロールの検出結果が有効になっている場合、Security Hub は、コントロールが有効な複数の標準に適用されていても、コントロールのセキュリティチェックごとに 1 つの新しい検出結果または検出結果の更新を生成します。コントロールとそれらが適用される標準の一覧については、「Security Hub コントロールのリファレンス」を参照してください。検出結果のノイズを減らすために、統合コントロールの検出結果を有効にすることをお勧めします。
2023 年 2 月 23 日より AWS アカウント 前に の Security Hub を有効にした場合は、このセクションの後半の手順に従って、統合コントロールの検出結果を有効にできます。2023 年 2 月 23 日以降に Security Hub を有効にすると、[統合されたコントロールの検出結果] がアカウントで自動的に有効になります。ただし、Security Hub の AWS Organizationsとの統合を使用するか、手動の招待プロセスで招待されたメンバーアカウントを使用する場合、メンバーアカウントで [統合されたコントロールの検出結果] が有効になるのは、管理者アカウントで有効になっている場合のみです。管理者アカウントでこの機能が無効になっている場合、メンバーアカウントも無効になります。この挙動は、新規および既存のメンバーアカウントに適用されます。
アカウントで [統合されたコントロールの検出結果] を無効にすると、Security Hub は、コントロールを含む有効な各標準のセキュリティチェックごとに個別の検出結果を生成します。例えば、4 つの有効な標準が同じ基盤となる AWS Config ルールでコントロールを共有している場合、コントロールのセキュリティチェック後に 4 つの個別の検出結果を受け取ります。[統合されたコントロールの検出結果] を有効にすると、検出結果が 1 つのみになります。
[統合されたコントロールの検出結果] を有効にすると、Security Hub は標準と別に新しい検出結果を生成し、元の標準ベースの検出結果をアーカイブします。一部のコントロールの検出結果フィールドや値が変更され、既存のワークフローに影響を与える可能性があります。これらの変更の詳細については、「統合されたコントロールの検出結果 – ASFF変更」を参照してください。
統合統制結果を有効にすると、統合サードパーティー製品が Security Hub から受け取る結果にも影響する可能性があります。v2.0.0 AWS の自動セキュリティレスポンス
[統合されたコントロールの検出結果] を有効または無効にするには、管理者アカウントまたはスタンドアロンアカウントにサインインする必要があります。
注記
[統合されたコントロールの検出結果] を有効にした後、Security Hub が新しい統合された検出結果を生成し、元の標準ベースの検出結果をアーカイブするまで、最大 24 時間かかります。同様に、[統合されたコントロールの検出結果] を無効にした後、Security Hub が新しい標準ベースの検出結果を生成し、統合された検出結果をアーカイブするまで、最大 24 時間かかります。これらの間、アカウントには、標準に依存しない検出結果と標準に基づく検出結果が混在する可能性があります。
新しい検出結果の生成と既存の検出結果の更新
Security Hub は、スケジュールに従ってセキュリティチェックを実行します。特定のコントロールに対する後続のチェックでは、新しい結果を生成できます。たとえば、コントロールのステータスが から FAILEDに変わる場合がありますPASSED。この場合、Security Hub は最新の結果を含む新しい結果を生成します。
特定のルールに対する後続のチェックで、現在の結果と同じ結果が生成された場合、Security Hub は既存の結果を更新します。新しい結果は生成されません。
Security Hub では、関連付けられたリソースが削除されたか、リソースが存在しないか、コントロールが無効になっている場合、コントロールから結果を自動的にアーカイブします。関連付けられたサービスが現在使用されていないため、リソースが存在しない可能性があります。結果は、次のいずれかの基準に基づいて自動的にアーカイブされます:
-
検出結果は 3~5 日間更新されません (これはベストエフォートであり、保証されていないことに注意してください)。
-
関連付けられた AWS Config 評価が を返しました
NOT_APPLICABLE。
検出結果の自動化と抑制を制御する
Security Hub 自動化ルールを使用して、特定のコントロールの検出結果を更新または抑制できます。検出結果を抑制しても、アカウント内で引き続きアクセスできますが、検出結果に対処するためにアクションが必要ではないというユーザーの考えが示されます。無関係な検出結果を抑制することで、検出結果のノイズを減らすことができます。例えば、テストアカウントで生成されたコントロールの検出結果を抑制できます。または、特定のリソースに関連する検出結果を抑制することもできます。結果の自動更新または抑制の詳細については、「」を参照してくださいSecurity Hub の自動化ルールについて。
自動化ルールは、特定のコントロールの検出結果を更新または抑制する場合に適しています。ただし、コントロールが組織やユースケースに関係ない場合は、コントロールを無効にすることをお勧めします。コントロールを無効にすると、Security Hub はそのコントロールに対してセキュリティチェックを実行せず、課金もされません。
コントロールの検出結果のコンプライアンスの詳細
コントロールのセキュリティチェックによって生成された検出結果の場合、 AWS Security Finding 形式 (ASFF) の Complianceフィールドには、コントロールの検出結果に関連する詳細が含まれます。Compliance フィールドに含まれている情報は次のとおりです。
AssociatedStandards-
コントロールが有効になっている有効な標準です。
RelatedRequirements-
すべての有効な標準のコントロールに関連する要件のリストです。要件は、Payment Card Industry Data Security Standard (PCI) など、コントロールのサードパーティーのセキュリティフレームワークからのものですDSS。
SecurityControlId-
Security Hub がサポートするセキュリティ標準全体のコントロールの識別子です。
Status-
特定のコントロールに対して Security Hub によって実行された最新のチェックの結果です。前回のチェックの結果は 90 日間、アーカイブされた状態で保持されます。
StatusReasons-
Compliance.Statusの値の理由のリストが含まれています。StatusReasonsには、理由ごとの理由コードと説明が示されます。
次の表に、使用可能な状況の理由コードと説明を示します。修正手順は、どのコントロールがその理由コードを使って検出結果を生成したかによって異なります。Security Hub コントロールのリファレンス からコントロールを選択すると、そのコントロールの修正手順が表示されます。
|
理由コード |
Compliance.Status |
説明 |
|---|---|---|
|
|
|
マルチリージョン CloudTrail の証跡に有効なメトリクスフィルターがありません。 |
|
|
|
マルチリージョンの CloudTrail 証跡にはメトリクスフィルターは存在しません。 |
|
|
|
アカウントには、必要な設定のマルチリージョン CloudTrail 証跡がありません。 |
|
|
|
マルチリージョンの CloudTrail 証跡が現在のリージョンにありません。 |
|
|
|
有効なアラームアクションが存在しません。 |
|
|
|
CloudWatch アラームはアカウントに存在しません。 |
|
|
AWS Config ステータスは です |
AWS Config アクセスが拒否されました。 AWS Config が有効で、十分なアクセス許可が付与されていることを確認します。 |
|
|
|
AWS Config は、ルールに基づいてリソースを評価しました。 ルールがスコープ内の AWS リソースに適用されなかったか、指定されたリソースが削除されたか、評価結果が削除されました。 |
|
|
|
AWS Config レコーダーは、 AWS Config サービスにリンクされたIAMロールの代わりにカスタムロールを使用します。Config.1 の |
|
|
|
AWS Config 設定レコーダーをオンにすると、 は有効になっていません。 |
|
|
|
AWS Config は、有効な Security Hub コントロールに対応するすべてのリソースタイプを記録しているわけではありません。次のリソースの記録を有効にします: |
|
|
|
コンプライアンスステータスは です。 はステータスを「該当なし」と AWS Config 返した AWS Config はステータスの理由を提供しません。ステータスが Not Applicable である理由は、以下のように考えられます。
|
|
|
AWS Config ステータスは です |
この理由コードは、いくつかの異なる種類の評価エラーに使用されます。 説明には、具体的な理由の情報が含まれます。 エラーの種類は、次のいずれかになります。
|
|
|
AWS Config ステータスは です |
AWS Config ルールは作成中です。 |
|
|
|
不明なエラーが発生しました。 |
|
|
FAILED |
Security Hub が カスタム Lambda ランタイムのチェックを実行できません。 |
|
|
|
このルールに関連付けられた S3 バケットが別のリージョンまたはアカウントにあるため、結果が このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。 このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。 |
|
|
|
CloudWatch Logs メトリクスフィルターに有効な Amazon SNSサブスクリプションがありません。 |
|
|
WARNING |
結果が このルールに関連付けられたSNSトピックは、別の アカウントによって所有されています。現在のアカウントでは、サブスクリプション情報を取得できません。 SNS トピックを所有するアカウントは、現在のアカウントにSNSトピックの |
|
|
|
このルールに関連付けられているSNSトピックが別のリージョンまたはアカウントにあるため、検出結果は このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。 このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。 |
|
|
|
このルールに関連付けられたSNSトピックが無効です。 |
|
|
|
関連するAPIオペレーションが許容レートを超えました。 |
ProductFields コントロールの検出結果の詳細
Security Hub がセキュリティチェックを実行してコントロールの検出結果を生成する場合、 の ProductFields 属性には次のフィールドASFFが含まれます。
ArchivalReasons:0/Description-
Security Hub が既存の結果をアーカイブした理由について説明します。
例えば、統制または標準を無効にしたり、統合統制結果を有効または無効にしたりすると、Security Hub は既存の結果をアーカイブします。
ArchivalReasons:0/ReasonCode-
Security Hub が既存の検出結果をアーカイブした理由を示します。
例えば、統制または標準を無効にしたり、統合統制結果を有効または無効にしたりすると、Security Hub は既存の結果をアーカイブします。
StandardsGuideArn、またはStandardsArn-
コントロールに関連付けられたARN標準の 。
CIS AWS Foundations Benchmark 標準の場合、 フィールドは です
StandardsGuideArn。PCI DSS および AWS Foundational Security Best Practices 標準の場合、 フィールドは です
StandardsArn。[統合されたコントロールの検出結果] を有効にすると、これらのフィールドは
Compliance.AssociatedStandardsに合わせて削除されます。 StandardsGuideSubscriptionArn、またはStandardsSubscriptionArn-
アカウントの標準へのサブスクリプションARNの 。
CIS AWS Foundations Benchmark 標準の場合、 フィールドは です
StandardsGuideSubscriptionArn。PCI DSS および AWS Foundational Security Best Practices 標準の場合、 フィールドは です
StandardsSubscriptionArn。[統合されたコントロールの検出結果] を有効にすると、これらのフィールドは削除されます。
RuleId、またはControlId-
コントロールの識別子。
CIS AWS Foundations Benchmark 標準の場合、 フィールドは です
RuleId。他の標準の場合、このフィールドは
ControlIdです。[統合されたコントロールの検出結果] を有効にすると、これらのフィールドは
Compliance.SecurityControlIdに合わせて削除されます。 RecommendationUrl-
コントロールURLの修復情報への 。[統合されたコントロールの検出結果] を有効にすると、このフィールドは
Remediation.Recommendation.Urlに合わせて削除されます。 RelatedAWSResources:0/name-
結果に関連付けられたリソースの名前。
RelatedAWSResource:0/type-
コントロールに関連付けられたリソースのタイプ。
StandardsControlArn-
コントロールARNの 。[統合されたコントロールの検出結果] を有効にすると、このフィールドは削除されます。
aws/securityhub/ProductName-
コントロールベースの結果の場合、製品名は Security Hub になります。
aws/securityhub/CompanyName-
コントロールベースの検出結果の場合、会社名は です AWS。
aws/securityhub/annotation-
コントロールによって検出された問題の説明。
aws/securityhub/FindingId-
結果の識別子。[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。
コントロールの検出結果の重要度レベル
Security Hub コントロールに割り当てられる重要度は、コントロールの重要性を特定します。コントロールの重要度により、コントロールの結果に割り当てられる重要度ラベルが決まります。
重要度の基準
コントロールの重要度は、以下の基準の評価に基づいて決定されます:
-
脅威アクターがコントロールに関連する設定の弱点を利用する際の難易度
この難易度は、弱点を利用して脅威シナリオを実行するために必要な洗練度または複雑さの度合いによって決まります。
-
弱点が AWS アカウント または リソースの侵害につながる可能性はどの程度ありますか?
AWS アカウント または リソースの侵害は、データまたは AWS インフラストラクチャの機密性、完全性、可用性が何らかの形で損なわれることを意味します。
侵害の可能性は、脅威シナリオが AWS サービスまたはリソースの中断または侵害につながる可能性を示します。
例えば、次の設定の弱点について検討します。
-
ユーザーアクセスキーが 90 日ごとにローテーションされません。
-
IAM ルートユーザーキーが存在します。
どちらの弱点も、攻撃者が悪用する際の難易度は同程度です。両方の弱点とも、攻撃者は認証情報の盗難やその他の方法を使用してユーザーキーを取得します。その後、このユーザーキーを使用して、許可されない方法でリソースにアクセスします。
ただし、脅威アクターによって取得されたアクセスキーがルートユーザーのものである場合、よりアクセス性が高いため、侵害の可能性はより高くなります。この結果、ルートユーザーキーの弱点は、重要度が高くなります。
重要度では、基になるリソースの重大度は考慮されていません。重大度は、結果に関連付けられているリソースの重要性の程度として定義されます。例えば、ミッションクリティカルなアプリケーションに関連付けられているリソースは、非本番稼働用テストに関連付けられたリソースより重大度が高くなります。リソース重要度情報をキャプチャするには、 AWS Security Finding 形式 () の Criticalityフィールドを使用しますASFF。
次の表に、悪用行為の難易度と、セキュリティラベルが侵害される可能性を示します。
|
侵害の可能性が非常に高い |
侵害の可能性が高い |
侵害の可能性が低い |
侵害の可能性が非常に低い |
|
|
悪用行為が非常に簡単 |
重大 |
重大 |
高 |
中 |
|
悪用行為がやや簡単 |
重大 |
高 |
中 |
中 |
|
悪用行為がやや難しい |
高 |
中 |
中 |
低 |
|
悪用行為が非常に難しい |
中 |
中 |
低 |
低 |
重要度の定義
重要度ラベルは次のように定義されています。
- 重大 - この問題は、さらに悪化しないように直ちに修復する必要があります。
-
例えば、公開された S3 バケットは重大な重要度の結果と考えられます。非常に多くの脅威アクターによって、公開された S3 バケットがスキャンされるため、公開された S3 バケット内のデータは、他者によって発見およびアクセスされる可能性があります。
一般に、パブリックにアクセス可能なリソースは、セキュリティ上の重大な問題と見なされます。重大な結果への対応は、緊急性が最も高くなります。また、リソースの重大度も考慮する必要があります。
- 高 - この問題は短期的な優先事項として対処する必要があります。
-
例えば、デフォルトのVPCセキュリティグループがインバウンドトラフィックとアウトバウンドトラフィックに対して開かれている場合、そのセキュリティグループは重要度が高いと見なされます。この方法VPCを使用すると、脅威アクターが を侵害することはいくらか簡単です。また、脅威アクターは、リソースが にあると、リソースを中断または盗み出すことができる可能性もありますVPC。
Security Hub では、重要度の高い結果を短期的な優先事項として扱うことを推奨しています。すぐに修復手順を実行する必要があります。また、リソースの重大度も考慮する必要があります。
- 中 - この問題は、中期的な優先事項として対処する必要があります。
-
例えば、転送中のデータの暗号化が欠如している場合、重要度が中程度の結果と考えられます。この弱点を利用するには、高度な man-in-the-middle攻撃が必要です。つまり、やや難しい攻撃手法です。脅威シナリオが成功すると、一部のデータが侵害される可能性があります。
Security Hub では、できるだけ早く、関連するリソースを調査することを推奨しています。また、リソースの重大度も考慮する必要があります。
- 低 - この問題には、独自のアクションは必要ありません。
-
例えば、フォレンジック情報の収集に失敗した場合、重要度が低いと考えられます。この管理は将来の侵害を防ぐのに役立ちますが、フォレンジックが実行されない限り、侵害に直接つながりません。
重要度の低い結果については、すぐにアクションを実行する必要はありませんが、他の問題と相関関係がある場合は、コンテキストを入手できます。
- 情報 - 設定の弱点は見つかりませんでした。
-
つまり、ステータスは
PASSED、WARNING、またはNOT AVAILABLEです。推奨されるアクションはありません。通知目的の結果は、顧客が準拠状態であることを実証するのに役立ちます。
