翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# コントロールの結果を生成および更新する
AWS Security Hub CSPM は、セキュリティコントロールに対してチェックを実行すると、コントロールの検出結果を生成および更新します。コントロールの検出結果は、[AWS Security Finding Format (ASFF)](securityhub-findings-format.md) を使用しています。
Security Hub CSPM は通常、コントロールのセキュリティチェックごとに課金されます。ただし、複数のコントロールが同じ AWS Config ルールを使用する場合、Security Hub CSPM はルールに対するチェックごとに 1 回のみ課金します。たとえば、この AWS Config `iam-password-policy`ルールは CIS AWS Foundations Benchmark 標準と AWS Foundational Security Best Practices 標準の複数のコントロールで使用されます。Security Hub CSPM がそのルールでチェックを実行するたびに、関連するコントロールごとに個別の検出結果が生成されますが、チェックに対して課金されるのは 1 回だけです。
コントロール検出結果のサイズが最大 240 KB を超える場合、Security Hub CSPM は検出結果から `Resource.Details` オブジェクトを削除します。リソースによって AWS Config バックアップされるコントロールについては、 AWS Config コンソールを使用してリソースの詳細を確認できます。
**Topics**
+ [統合されたコントロールの検出結果](#consolidated-control-findings)
+ [コントロールの検出結果の生成、更新、アーカイブ](#securityhub-standards-results-updating)
+ [コントロールの検出結果の自動化と抑制](#automation-control-findings)
+ [コントロールの検出結果のコンプライアンスの詳細](#control-findings-asff-compliance)
+ [コントロールの検出結果の ProductFields の詳細](#control-findings-asff-productfields)
+ [コントロールの検出結果の重要度](#control-findings-severity)
## 統合されたコントロールの検出結果
アカウントで [統合されたコントロールの検出結果] が有効な場合、コントロールが複数の有効化された標準に適用されている場合でも、Security Hub CSPM はコントロールのセキュリティチェックごとに単一の検出結果または検出結果の更新を生成します。コントロールとそれらが適用される標準のリストについては、「[Security Hub CSPM のコントロールリファレンス](securityhub-controls-reference.md)」を参照してください。検出結果のノイズを減らすために、統合コントロールの検出結果を有効にすることをお勧めします。
2023 年 2 月 23 日より AWS アカウント 前に で Security Hub CSPM を有効にした場合は、このセクションの後半の手順に従って、統合コントロールの検出結果を有効にできます。2023 年 2 月 23 日以降に Security Hub CSPM を有効にすると、[統合されたコントロールの検出結果] がアカウントで自動的に有効になります。
[Security Hub CSPM の AWS Organizationsとの統合](securityhub-accounts-orgs.md)を使用するか、[手動の招待プロセス](account-management-manual.md)で招待されたメンバーアカウントを使用する場合、メンバーアカウントで [統合されたコントロールの検出結果] が有効になるのは、管理者アカウントで有効になっている場合のみです。管理者アカウントでこの機能が無効になっている場合、メンバーアカウントも無効になります。この挙動は、新規および既存のメンバーアカウントに適用されます。さらに、管理者が[中央設定](central-configuration-intro.md)を使用して複数のアカウントの Security Hub CSPM を管理する場合、中央設定ポリシーを使用してアカウントの [統合されたコントロールの検出結果] を有効または無効にすることはできません。
アカウントで [統合されたコントロールの検出結果] を無効にすると、Security Hub CSPM は、コントロールを含む有効な各標準の個別のコントロール検出結果を生成または更新します。例えば、コントロールを共有している 4 つの標準を有効にする場合、コントロールのセキュリティチェック後に 4 つの検出結果が表示されます。[統合されたコントロールの検出結果] を有効にすると、検出結果が 1 つのみになります。
[統合されたコントロールの検出結果] を有効にすると、Security Hub CSPM は標準と別に新しい検出結果を生成し、元の標準ベースの検出結果をアーカイブします。一部のコントロールの検出結果フィールドや値が変更されると、既存のワークフローに影響を与える可能性があります。これらの変更の詳細については、「[統合されたコントロールの検出結果 – ASFF の変更](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings)」を参照してください。[統合されたコントロールの検出結果] を有効にすると、統合されたサードパーティの製品が Security Hub CSPM から受け取る検出結果にも影響する可能性があります。[v2.0.0 AWS での自動化されたセキュリティ対応](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)ソリューションを使用する場合は、統合統制結果をサポートしていることに注意してください。
[統合されたコントロールの検出結果] を有効または無効にするには、管理者アカウントまたはスタンドアロンアカウントにサインインする必要があります。
**注記**
[統合されたコントロールの検出結果] を有効にした後、Security Hub CSPM が新しい統合された検出結果を生成し、既存の標準ベースの検出結果をアーカイブするまで、最大 24 時間かかる可能性があります。同様に、[統合されたコントロールの検出結果] を無効にした後、Security Hub CSPM が新しい標準ベースの検出結果を生成し、既存の統合された検出結果をアーカイブするまで、最大 24 時間かかる可能性があります。これらの間、アカウントには、標準に依存しない検出結果と標準に基づく検出結果が混在する可能性があります。
------
#### [ Security Hub CSPM console ]
**統合コントロールの検出結果を有効または無効にするには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインの **[設定]**で、**[全般設定]** を選択します。
1. **[コントロール]** セクションで、**[編集]** を選択します。
1. **[統合されたコントロールの検出結果]** スイッチを使用して、統合されたコントロールの検出結果を有効または無効にします。
1. **[保存]** を選択します。
------
#### [ Security Hub CSPM API ]
プログラムで [統合されたコントロールの検出結果] を有効または無効にするには、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html) コマンドを実行します。
`control-finding-generator` パラメータで、`SECURITY_CONTROL` を指定して [統合されたコントロールの検出結果] を有効にします。[統合されたコントロールの検出結果] を無効にするには、`STANDARD_CONTROL` を指定します。
たとえば、次の AWS CLI コマンドは、統合コントロールの検出結果を有効にします。
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```
次の AWS CLI コマンドは、統合コントロールの検出結果を無効にします。
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```
------
## コントロールの検出結果の生成、更新、アーカイブ
Security Hub CSPM は、[スケジュール](securityhub-standards-schedule.md)に従ってセキュリティチェックを実行します。Security Hub CSPM がコントロールのセキュリティチェックを初めて実行すると、コントロールがチェックする AWS リソースごとに新しい検出結果が生成されます。Security Hub CSPM がその後コントロールのセキュリティチェックを実行するたびに、既存の検出結果を更新してチェックの結果を報告します。つまり、個々の検出結果から提供されたデータを使用して、特定のコントロールに対する特定のリソースのコンプライアンス変更を追跡できます。
例えば、特定のコントロールのリソースのコンプライアンスステータスが `FAILED` から `PASSED` に変わった場合、Security Hub CSPM は新しい検出結果を生成しません。代わりに、Security Hub CSPM はコントロールとリソースの既存の検出結果を更新します。検出結果では、Security Hub CSPM はコンプライアンスステータス (`Compliance.Status`) フィールドの値を `PASSED` に変更します。Security Hub CSPM は、チェックの結果を反映するために追加のフィールドの値も更新します。例えば、Security Hub CSPM が最後にチェックを実行し、検出結果を更新した日時を示す重要度ラベル、ワークフローステータス、タイムスタンプなどです。
コンプライアンスステータスの変更を報告すると、Security Hub CSPM はコントロール検出結果の次のいずれかのフィールドを更新することがあります。
+ `Compliance.Status` – 指定されたコントロールのリソースの新しいコンプライアンスステータス。
+ `FindingProviderFields.Severity.Label` – `LOW`、`MEDIUM`、`HIGH` など検出結果の重要度の新しい定性的表現。
+ `FindingProviderFields.Severity.Original` – 準拠リソースの `0` など、検出結果の重要度の新しい定量的表現。
+ `FirstObservedAt` – リソースのコンプライアンスステータスが最後に変更されたタイミング。
+ `LastObservedAt` – Security Hub CSPM が最後に指定されたコントロールとリソースのセキュリティチェックを実行したタイミング。
+ `ProcessedAt` – Security Hub CSPM が最近検出結果の処理を開始したタイミング。
+ `ProductFields.PreviousComplianceStatus` – 指定されたコントロールのリソースのコンプライアンスステータス (`Compliance.Status`)。
+ `UpdatedAt` – Security Hub CSPM が最近検出結果を更新したタイミング。
+ `Workflow.Status` – 指定されたコントロールのリソースの新しいコンプライアンスステータスに基づく、検出結果の調査のステータス。
Security Hub CSPM がフィールドを更新するかどうかは、主に該当するコントロールとリソースの最新のセキュリティチェックの結果によって異なります。例えば、リソースのコンプライアンスステータスが特定のコントロールで `PASSED` から `FAILED` に変わった場合、Security Hub CSPM は検出結果のワークフローステータスを `NEW` に変更します。個々の検出結果の更新を追跡するには、検出結果の履歴を参照できます。検出結果の個々のフィールドの詳細については、「[AWS Security Finding Format (ASFF)](securityhub-findings-format.md)」を参照してください。
場合によっては、Security Hub CSPM は、既存の検出結果を更新する代わりに、コントロールによって後続のチェック用に新しい検出結果を生成します。これは、コントロールをバックアップする AWS Config ルールに問題がある場合に発生する可能性があります。この場合、Security Hub CSPM は既存の検出結果をアーカイブし、チェックごとに新しい検出結果を生成します。新しい検出結果では、コンプライアンスステータスは `NOT_AVAILABLE` で、レコードステータスは `ARCHIVED` です。 AWS Config ルールの問題に対処すると、Security Hub CSPM は新しい検出結果を生成し、個々のリソースのコンプライアンスステータスに対するその後の変更を追跡するために更新を開始します。
Security Hub CSPM は、コントロールの検出結果の生成と更新に加えて、特定の基準を満たすコントロールの検出結果を自動的にアーカイブします。Security Hub CSPM は、コントロールが無効になっている場合、指定されたリソースが削除された場合、または指定されたリソースが存在しなくなった場合に、検出結果をアーカイブします。関連付けられたサービスが現在使用されていないため、リソースがすでに存在しない可能性もあります。より具体的には、Security Hub CSPM は、検出結果が次のいずれかの基準を満たす場合、コントロール検出結果を自動的にアーカイブします。
+ 検出結果は 3~5 日間更新されていません。この時間枠に基づくアーカイブはベストエフォートベースであり、保証されないので注意してください。
+ 指定されたリソースのコンプライアンスステータス`NOT_APPLICABLE`に対して返される関連付けられた AWS Config 評価。
検出結果がアーカイブされているかどうかを判断するには、検出結果のレコードの状態 (`RecordState`) フィールドを参照できます。検出結果がアーカイブされている場合、このフィールドの値は `ARCHIVED` です。
Security Hub CSPM は、アーカイブされたコントロールの検出結果を 30 日間保存します。30 日後、検出結果は期限切れになり、Security Hub CSPM によって完全に削除されます。アーカイブされたコントロールの検出結果の有効期限が切れているかどうかを判断するために、Security Hub CSPM は検出結果の `UpdatedAt` フィールドの値に基づいてその計算を行います。
アーカイブされたコントロールの検出結果を 30 日以上保存するには、検出結果を S3 バケットにエクスポートできます。これを行うには、Amazon EventBridge ルールでカスタムアクションを使用します。詳細については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。
**注記**
2025 年 7 月 3 日以前は、コントロールのリソースのコンプライアンスステータスが変更されると、Security Hub CSPM はコントロールの検出結果を生成および更新しました。以前は、Security Hub CSPM は新しいコントロール検出結果を作成し、リソースの既存の検出結果をアーカイブしていました。したがって、検出結果の有効期限が切れる (30 日後) まで、特定のコントロールとリソースに対してアーカイブされた複数の検出結果が存在する可能性があります。
## コントロールの検出結果の自動化と抑制
Security Hub CSPM オートメーションルールを使用して、特定のコントロール検出結果を更新または抑制できます。検出結果を抑制すると、引き続きその検出結果にアクセスできます。ただし、抑制とは、検出結果に対処するためのアクションは必要ないと考えていることを示しています。
検出結果を抑制することで、検出結果のノイズを減らすことができます。例えば、テストアカウントで生成されたコントロールの検出結果を抑制できます。または、特定のリソースに関連する検出結果を抑制することもできます。検出結果の自動更新または抑制の詳細については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。
自動化ルールは、特定のコントロールの検出結果を更新または抑制する場合に適しています。ただし、コントロールが組織やユースケースに関連しない場合は、[コントロールを無効にする](disable-controls-overview.md)ことをお勧めします。コントロールを無効にすると、Security Hub CSPM はコントロールのセキュリティチェックを実行せず、課金も発生しません。
## コントロールの検出結果のコンプライアンスの詳細
コントロールのセキュリティチェックによって生成された検出結果では、 AWS Security Finding 形式 (ASFF) の [Compliance](asff-top-level-attributes.md#asff-compliance) オブジェクトとフィールドは、コントロールがチェックした個々のリソースのコンプライアンスの詳細を提供します。これには、次の情報が含まれます。
+ `AssociatedStandards` – コントロールが有効になっている有効な標準です。
+ `RelatedRequirements` – すべての有効な標準のコントロールに関連する要件です。これらは、Payment Card Industry Data Security Standard (PCI DSS) または NIST SP 800-171 Revision 2 標準など、コントロールに関するサードパーティのセキュリティフレームワークから派生した要件です。
+ `SecurityControlId` – Security Hub CSPM がサポートする標準全体のコントロールの識別子です。
+ `Status` – コントロールに対して Security Hub CSPM によって実行された最新のチェックの結果です。以前のチェックの結果は、検出結果の履歴に保持されます。
+ `StatusReasons` – `Status` フィールドで指定された値の理由を一覧表示する配列。これには、理由ごとの理由コードと説明が示されます。
次の表に、検出結果の `StatusReasons` 配列に含まれる可能性のある理由コードと説明を示します。修正手順は、どのコントロールが特定の理由コードを使って検出結果を生成したかによって異なります。コントロールの修正ガイダンスを確認するには、「[Security Hub CSPM のコントロールリファレンス](securityhub-controls-reference.md)」を参照してください。
| 理由コード | コンプライアンスステータス | 説明 |
| --- | --- | --- |
| `CLOUDTRAIL_METRIC_FILTER_NOT_VALID` | `FAILED` | マルチリージョンの CloudTrail 追跡に有効なメトリクスフィルターが設定されていません。 |
| `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT` | `FAILED` | マルチリージョンの CloudTrail 追跡用のメトリクスフィルターがありません。 |
| `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT` | `FAILED` | アカウントに、必要な設定のマルチリージョンの CloudTrail 追跡が存在しません。 |
| `CLOUDTRAIL_REGION_INVAILD` | `WARNING` | マルチリージョンの CloudTrail 追跡が現在のリージョンに存在しません。 |
| `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID` | `FAILED` | 有効なアラームアクションが存在しません。 |
| `CLOUDWATCH_ALARMS_NOT_PRESENT` | `FAILED` | CloudWatch アラームがアカウントに存在しません。 |
| `CONFIG_ACCESS_DENIED` | `NOT_AVAILABLE` AWS Config ステータスは です `ConfigError` | AWS Config アクセスが拒否されました。 AWS Config が有効で、十分なアクセス許可が付与されていることを確認します。 |
| `CONFIG_EVALUATIONS_EMPTY` | `PASSED` | AWS Config は、ルールに基づいてリソースを評価しました。 ルールがスコープ内の AWS リソースに適用されなかったか、指定されたリソースが削除されたか、評価結果が削除されました。 |
| `CONFIG_RECORDER_CUSTOM_ROLE` | `FAILED` (Config.1 の場合) | AWS Config レコーダーはサービス AWS Config にリンクされたロールの代わりにカスタム IAM ロールを使用し、Config.1 の`includeConfigServiceLinkedRoleCheck`カスタムパラメータは に設定されません`false`。 |
| `CONFIG_RECORDER_DISABLED` | `FAILED` (Config.1 の場合) | AWS Config 設定レコーダーをオンにすると、 は有効になっていません。 |
| `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES` | `FAILED` (Config.1 の場合) | AWS Config は、有効な Security Hub CSPM コントロールに対応するすべてのリソースタイプを記録しているわけではありません。次のリソースの記録を有効にします: *記録されていないリソース*。 |
| `CONFIG_RETURNS_NOT_APPLICABLE` | `NOT_AVAILABLE` | コンプライアンスステータスは、 が**該当なし**のステータスを AWS Config 返した`NOT_AVAILABLE`ためです。 AWS Config はステータスの理由を提供しません。ステータスが **Not Applicable** である理由は、以下のように考えられます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_EVALUATION_ERROR` | `NOT_AVAILABLE` AWS Config ステータスは です `ConfigError` | この理由コードは、いくつかの異なる種類の評価エラーに使用されます。 説明には、具体的な理由の情報が含まれます。 エラーの種類は、次のいずれかになります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_NOT_FOUND` | `NOT_AVAILABLE` AWS Config ステータスは です `ConfigError` | AWS Config ルールは作成中です。 |
| `INTERNAL_SERVICE_ERROR` | `NOT_AVAILABLE` | 不明なエラーが発生しました。 |
| `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE` | `FAILED` | Security Hub CSPM がカスタム Lambda ランタイムのチェックを実行できません。 |
| `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | このルールに関連付けられた S3 バケットが別のリージョンまたはアカウントにあるため、結果が `WARNING` 状態になっています。 このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。 このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。 |
| `SNS_SUBSCRIPTION_NOT_PRESENT` | `FAILED` | CloudWatch Logs メトリクスフィルターに有効な Amazon SNS サブスクリプションが含まれていません。 |
| `SNS_TOPIC_CROSS_ACCOUNT` | `WARNING` | 結果が `WARNING` 状態です。 このルールに関連付けられた SNS トピックは、別のアカウントによって所有されています。現在のアカウントでは、サブスクリプション情報を取得できません。 SNS トピックを所有するアカウントは、SNS トピックへの `sns:ListSubscriptionsByTopic` 許可を現在のアカウントに付与する必要があります。 |
| `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | このルールに関連付けられた SNS トピックが別のリージョンまたはアカウントにあるため、結果が `WARNING` 状態です。 このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。 このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。 |
| `SNS_TOPIC_INVALID` | `FAILED` | このルールに関連付けられている SNS トピックが無効です。 |
| `THROTTLING_ERROR` | `NOT_AVAILABLE` | 関連する API オペレーションが許可されたレートを超えました。 |
## コントロールの検出結果の ProductFields の詳細
コントロールのセキュリティチェックによって生成された検出結果では、 AWS Security Finding Format (ASFF) の [ProductFields](asff-top-level-attributes.md#asff-productfields) 属性に次のフィールドを含めることができます。
`ArchivalReasons:0/Description`
Security Hub CSPM が検出結果をアーカイブした理由について説明します。
例えば、統制または標準を無効にしたり、[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効または無効にしたりすると、Security Hub CSPM は既存の検出結果をアーカイブします。
`ArchivalReasons:0/ReasonCode`
Security Hub CSPM が検出結果をアーカイブした理由を指定します。
例えば、統制または標準を無効にしたり、[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効または無効にしたりすると、Security Hub CSPM は既存の検出結果をアーカイブします。
`PreviousComplianceStatus`
検出結果の最新の更新時点での、指定されたコントロールのリソースの以前のコンプライアンスステータス (`Compliance.Status`)。リソースのコンプライアンスステータスが最新の更新中に変更されなかった場合、この値は検出結果の `Compliance.Status` フィールドの値と同じです。可能な値の一覧については、[コンプライアンスステータスとコントロールステータスの評価](controls-overall-status.md) を参照してください。
`StandardsGuideArn` または `StandardsArn`
コントロールに関連付けられた標準の ARN。
CIS AWS Foundations Benchmark 標準の場合、 フィールドは です`StandardsGuideArn`。PCI DSS および AWS Foundational Security Best Practices 標準の場合、 フィールドは です`StandardsArn`。
[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効にすると、これらのフィールドは `Compliance.AssociatedStandards` に合わせて削除されます。
`StandardsGuideSubscriptionArn` または `StandardsSubscriptionArn`
標準へのアカウントのサブスクリプションの ARN。
CIS AWS Foundations Benchmark 標準の場合、 フィールドは です`StandardsGuideSubscriptionArn`。PCI DSS および AWS Foundational Security Best Practices 標準の場合、 フィールドは です`StandardsSubscriptionArn`。
[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効にすると、これらのフィールドは削除されます。
`RuleId`、または `ControlId`
コントロールの識別子。
CIS AWS Foundations Benchmark 標準のバージョン 1.2.0 の場合、 フィールドは です`RuleId`。CIS AWS Foundations Benchmark 標準の後続バージョンを含む他の標準の場合、フィールドは `ControlId` です。
[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効にすると、これらのフィールドは `Compliance.SecurityControlId` に合わせて削除されます。
`RecommendationUrl`
コントロールの修復情報の URL。[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効にすると、このフィールドは `Remediation.Recommendation.Url` に合わせて削除されます。
`RelatedAWSResources:0/name`
結果に関連付けられたリソースの名前。
`RelatedAWSResource:0/type`
コントロールに関連付けられたリソースのタイプ。
`StandardsControlArn`
コントロールの ARN。[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効にすると、このフィールドは削除されます。
`aws/securityhub/ProductName`
コントロールの検出結果の場合、製品名は `Security Hub` になります。
`aws/securityhub/CompanyName`
コントロールの検出結果の場合、会社名は `AWS` です。
`aws/securityhub/annotation`
コントロールによって検出された問題の説明。
`aws/securityhub/FindingId`
検出結果の識別子。
[[統合されたコントロールの検出結果]](#consolidated-control-findings) を有効にした場合、このフィールドは標準を参照しません。
## コントロールの検出結果の重要度
Security Hub CSPM コントロールに割り当てられる重要度は、コントロールの重要性を示します。コントロールの重要度により、コントロールの結果に割り当てられる重要度ラベルが決まります。
### 重要度の基準
コントロールの重要度は、以下の基準の評価に基づいて決定されます:
+ **脅威アクターがコントロールに関連する設定の弱点を利用する際の難易度** この難易度は、弱点を利用して脅威シナリオを実行するために必要な洗練度または複雑さの度合いによって決まります。
+ **弱点が AWS アカウント または リソースの侵害につながる可能性はどの程度ありますか?** AWS アカウント または リソースの侵害は、データまたは AWS インフラストラクチャの機密性、完全性、可用性が何らかの形で損なわれることを意味します。侵害の可能性は、脅威シナリオが AWS のサービス または リソースの中断または違反につながる可能性を示します。
例えば、次の設定の弱点について検討します。
+ ユーザーアクセスキーが 90 日ごとにローテーションされません。
+ IAM ルートユーザーキーが存在します。
どちらの弱点も、攻撃者が悪用する際の難易度は同程度です。両方の弱点とも、攻撃者は認証情報の盗難やその他の方法を使用してユーザーキーを取得します。その後、このユーザーキーを使用して、許可されない方法でリソースにアクセスします。
ただし、脅威アクターによって取得されたアクセスキーがルートユーザーのものである場合、よりアクセス性が高いため、侵害の可能性はより高くなります。この結果、ルートユーザーキーの弱点は、重要度が高くなります。
重要度では、基になるリソースの重大度は考慮されていません。重大度は、結果に関連付けられているリソースの重要性の程度として定義されます。例えば、ミッションクリティカルなアプリケーションに関連付けられているリソースは、非本番稼働用テストに関連付けられたリソースより重大度が高くなります。リソース重要度情報をキャプチャするには、 AWS Security Finding 形式 (ASFF) の `Criticality`フィールドを使用します。
次の表に、悪用行為の難易度と、セキュリティラベルが侵害される可能性を示します。
| | | | | |
| --- |--- |--- |--- |--- |
| | **侵害の可能性が非常に高い** | **侵害の可能性が高い** | **侵害の可能性が低い** | **侵害の可能性が非常に低い** |
| **悪用行為が非常に簡単** | 重大 | 重大 | 高 | 中 |
| **悪用行為がやや簡単** | 重大 | 高 | 中 | 中 |
| **悪用行為がやや難しい** | 高 | 中 | 中 | 低 |
| **悪用行為が非常に難しい** | 中 | 中 | 低 | 低 |
### 重要度の定義
重要度ラベルは次のように定義されています。
**重大 - この問題は、さらに悪化しないように直ちに修復する必要があります。**
例えば、公開された S3 バケットは重大な重要度の結果と考えられます。非常に多くの脅威アクターによって、公開された S3 バケットがスキャンされるため、公開された S3 バケット内のデータは、他者によって発見およびアクセスされる可能性があります。
一般に、パブリックにアクセス可能なリソースは、セキュリティ上の重大な問題と見なされます。重大な結果への対応は、緊急性が最も高くなります。また、リソースの重大度も考慮する必要があります。
**高 - この問題は短期的な優先事項として対処する必要があります。**
例えば、デフォルトの VPC セキュリティグループがインバウンドおよびアウトバウンドトラフィックに対して開かれている場合、重要度が高いと考えられます。脅威アクターがこの方法を使用して VPC を侵害することは、やや簡単であるためです。また、脅威アクターが VPC 内に侵入すると、リソースを中断または流出させる可能性があります。
Security Hub CSPM では、重要度の高い結果を短期的な優先事項として扱うことをお勧めします。すぐに修復手順を実行する必要があります。また、リソースの重大度も考慮する必要があります。
**中 - この問題は、中期的な優先事項として対処する必要があります。**
例えば、転送中のデータの暗号化が欠如している場合、重要度が中程度の結果と考えられます。高度な中間者攻撃では、この弱点を悪用することになります。つまり、やや難しい攻撃手法です。脅威シナリオが成功すると、一部のデータが侵害される可能性があります。
Security Hub CSPM では、できるだけ早く、関連するリソースを調査することをお勧めします。また、リソースの重大度も考慮する必要があります。
**低 - この問題には、独自のアクションは必要ありません。**
例えば、フォレンジック情報の収集に失敗した場合、重要度が低いと考えられます。この管理は将来の侵害を防ぐのに役立ちますが、フォレンジックが実行されない限り、侵害に直接つながりません。
重要度の低い結果については、すぐにアクションを実行する必要はありませんが、他の問題と相関関係がある場合は、コンテキストを入手できます。
**情報 - 設定の弱点は見つかりませんでした。**
つまり、ステータスは `PASSED`、`WARNING`、または `NOT AVAILABLE` です。
推奨されるアクションはありません。通知目的の結果は、顧客が準拠状態であることを実証するのに役立ちます。