Security Hub のコントロールパラメータについて - AWS Security Hub
コントロールパラメータ値の変更による影響カスタムパラメータをサポートするコントロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub のコントロールパラメータについて

AWS Security Hub のコントロールの中には、コントロールの評価方法に影響するパラメータを使用するものがあります。通常、このようなコントロールは、Security Hub が定義するデフォルトのパラメータ値と照らし合わせて評価されます。ただし、これらのコントロールのサブセットについては、パラメータ値を変更することができます。コントロールパラメータ値を変更した場合、Security Hub は、指定された値に対するコントロールの評価を開始します。コントロールの基になるリソースがカスタム値を満たした場合、Security Hub は PASSED 検出結果を生成します。リソースがカスタム値を満たさなかった場合、Security Hub は FAILED 検出結果を生成します。

コントロールパラメータをカスタマイズすることで、ビジネス要件やセキュリティの期待と一致するように、Security Hub によって推奨および監視されるセキュリティベストプラクティスを改良できます。コントロールの検出結果を抑制する代わりに、1 つ以上のパラメータをカスタマイズして、セキュリティニーズに合った検出結果を取得することができます。

コントロールパラメータの変更とカスタム値の設定のサンプルユースケースを以下に示します。

  • [CloudWatch.16] – CloudWatch ロググループは指定した期間保持する必要があります

    保持期間を指定できます。

  • [IAM.7] – IAM ユーザーのパスワードポリシーには強力な設定が必要です

    パスワード強度に関するパラメータを指定できます。

  • [EC2.18] – セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります

    無制限の着信トラフィックを許可するように承認するポートを指定できます。

  • [Lambda.5] – VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります

    成功の検出結果を生成するアベイラビリティーゾーンの最小数を指定できます。

このセクションでは、コントロールパラメータを変更するときに考慮すべき事項について説明します。

コントロールパラメータ値の変更による影響

パラメータ値を変更する場合は、新しい値に基づいてコントロールを評価する新しいセキュリティチェックもトリガーします。そして、Security Hub が新しい値に基づいて新しいコントロール検出結果を生成します。コントロール検出結果の定期更新時には、Security Hub は新しいパラメータ値も使用します。コントロールのパラメータ値を変更しても、そのコントロールを含む標準を有効にしていない場合、Security Hub は新しい値を使用したセキュリティチェックを行いません。新しいパラメータ値に基づいてコントロールを評価するには、Security Hub の関連標準を少なくとも 1 つ有効にする必要があります。

コントロールは、1 つまたは複数のカスタマイズ可能なパラメータを持つことができます。それぞれのコントロールパラメータで使用可能なデータ型には以下が含まれます。

  • ブール値

  • ダブル

  • 列挙型

  • EnumList

  • 整数

  • IntegerList

  • 文字列

  • StringList

カスタムパラメータ値は、有効になっている標準全体に適用されます。現在のリージョンでサポートされていないコントロールのパラメータはカスタマイズできません。個々のコントロールに関するリージョンの制限のリストについては、「Security Hub コントロールのリージョン制限」を参照してください。

一部のコントロールは、許容パラメータ値も指定された範囲に収まらないと有効になりません。このような場合は、Security Hub が許容範囲を提供します。

Security Hub はデフォルトのパラメータ値を選択し、場合によっては更新することもあります。コントロールパラメータをカスタマイズしても、その値は、変更しない限りパラメータに指定した値のままです。つまり、パラメータのカスタム値が Security Hub で定義されている現在のデフォルト値と一致する場合でも、パラメータはデフォルトの Security Hub 値の更新の追跡を停止します。コントロール「[ACM.1] – インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります」の例を以下に示します。

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

前の例では、daysToExpiration パラメータのカスタム値は 30 です。このパラメータの現在のデフォルト値も 30 です。Security Hub がデフォルト値を 14 に変更しても、この例のパラメータはその変更を追跡しません。30 の値は保持されます。

パラメータのデフォルトの Security Hub 値の更新を追跡する場合は、ValueType フィールドを CUSTOM ではなく DEFAULT に設定します。詳細については、「1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻す」を参照してください。

カスタムパラメータをサポートするコントロール

カスタムパラメータをサポートするセキュリティコントロールのリストについては、Security Hub コンソールの [コントロール] ページまたは「Security Hub コントロールのリファレンス」を参照してください。このリストをプログラムで取得するには、ListSecurityControlDefinitions 操作を使用します。レスポンスで、CustomizableProperties オブジェクトによって、どのコントロールがカスタマイズ可能なパラメータをサポートしているかが示されます。