Security Hub のセキュリティコントロールについて - AWS Security Hub
統合コントロールビューコントロールのセキュリティスコアの概要

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub のセキュリティコントロールについて

セキュリティコントロールは、組織が情報の機密性、完全性、可用性を保護するのに役立つセキュリティ標準内の保護手段です。Security Hub では、コントロールは特定の AWS リソースに関連しています。

1 つ以上の標準でコントロールを有効にすると、Security Hub はその標準でセキュリティチェックの実行を開始します。セキュリティチェックの結果、Security Hub の検出結果が表示されます。コントロールを無効にすると、Security Hub はそのコントロールに対するセキュリティチェックの実行を停止し、検出結果は生成されなくなります。

1 つの アカウントと のコントロールを個別に有効または無効にできます AWS リージョン。マルチアカウント環境で時間を節約し、設定ドリフトを減らすには、中央設定を使用してコントロールを有効または無効にすることをお勧めします。一元的な設定では、委任された Security Hub 管理者は、複数のアカウントとリージョンでコントロールを設定する方法を指定するポリシーを作成できます。コントロールの有効化と無効化の詳細については、「」を参照してくださいSecurity Hub でのコントロールの有効化

統合コントロールビュー

Security Hub コンソールのコントロールページには、現在使用可能なすべてのコントロールが表示されます AWS リージョン (セキュリティ標準ページにアクセスして有効な標準を選択すると、標準コンテキストでコントロールを表示できます)。セキュリティハブは、どの標準でも一貫したセキュリティコントロール ID、タイトル、説明をコントロールに割り当てます。コントロールIDsには、関連する番号 AWS のサービス と一意の番号 (例えば、 CodeBuild.3) が含まれます。

次の情報は、Security Hub コンソール[コントロール] ページにあります。

  • データを含む有効なコントロールの総数に対する合格したコントロールの割合に基づく、総合的なセキュリティスコア

  • サポートされているすべての Security Hub コントロールのコントロールステータスの内訳

  • セキュリティチェックの合格と不合格の合計数。

  • 重要度の異なるコントロールの失敗したセキュリティチェックの数と、それらの失敗したチェックの詳細を表示するリンク。

  • Security Hub コントロールのリスト。コントロールの特定のサブセットを表示するフィルターがあります。

[コントロール] ページでコントロールを選択して詳細を確認し、コントロールが生成した検出結果に対してアクションを実行することができます。このページでは、現在の AWS アカウント と でセキュリティコントロールを有効または無効にすることもできます AWS リージョン。[コントロール] ページからの有効化および無効化アクションは、すべての標準に適用されます。詳細については、「Security Hub でのコントロールの有効化」を参照してください。

管理者アカウントの場合、[コントロール] ページには、メンバーアカウント全体のコントロールのステータスが反映されます。コントロールチェックが少なくとも 1 つのメンバーアカウントで失敗した場合、コントロールステータスは失敗 です。集約リージョンを設定している場合、[コントロール] ページには、リンクされているすべてのリージョンのコントロールステータスが反映されます。コントロールチェックが少なくとも 1 つのリンクされたリージョンで失敗した場合、コントロールステータスは失敗 になります。

統合コントロールビューでは、 AWS セキュリティ検出結果形式 (ASFF) のコントロール検出結果フィールドが変更され、ワークフローに影響する可能性があります。詳細については、「統合コントロールビュー – ASFF変更」を参照してください。

コントロールのセキュリティスコアの概要

コントロールページには、0~100% のサマリーセキュリティスコアが表示されます。サマリーセキュリティスコアは、合格したコントロールの割合と、標準全体のデータを持つ有効なコントロールの合計数に基づいて計算されます。

注記

コントロールのセキュリティスコア全体を表示するには、Security Hub へのアクセスに使用するBatchGetControlEvaluationsIAMロールに を呼び出すアクセス許可を追加する必要があります。この権限は、特定の標準のセキュリティスコアを表示する場合には必要ありません。

Security Hub を有効にすると、Security Hub は、Security Hub コンソールの [概要] ページまたは [セキュリティ基準] ページへの最初のアクセスから 30 分以内に最初のセキュリティスコアを計算します。中国リージョンおよび AWS GovCloud (US) Regionでは、最初のセキュリティスコアが作成されるまで、最大 24 時間かかる場合があります。

Security Hub は、全体的なセキュリティスコアに加えて、概要ページまたはセキュリティ標準ページを初めて訪問してから 30 分以内に、有効な各標準のセキュリティスコアを計算します。現在有効になっている標準のリストを表示するには、 GetEnabledStandardsAPIオペレーションを使用します。

AWS Config スコアを表示するには、リソース記録で を有効にする必要があります。Security Hub がセキュリティスコアを計算する方法の詳細については、「」を参照してくださいセキュリティスコアの計算

最初のスコア生成の後、Security Hub はセキュリティスコアを 24 時間ごとに更新します。Security Hub には、セキュリティスコアが最後に更新されたときの時刻が表示されます。

集約リージョンを設定している場合、全体のセキュリティスコアには、リンクされたリージョン全体の検出結果が反映されます。