Security Hub の概念 - AWS Security Hub

Security Hub の概念

このトピックでは、サービスを使用開始する際に役立つ AWS Security Hub の主要な概念と用語について説明します。

アカウント

AWS リソースを含む標準の Amazon Web Services (AWS) アカウント。アカウントを使用して AWS にサインインし、Security Hub を有効にできます。

アカウントは他のアカウントを招待して、Security Hub を有効にし、Security Hub 内でそのアカウントと関連付けることができます。メンバーシップの招待の承諾はオプションです。招待が承諾されると、アカウントは管理者アカウントになり、追加されたアカウントはメンバーアカウントになります。管理者アカウントは、メンバーアカウントの結果を表示できます。

AWS Organizations に在籍している場合、組織は、組織の Security Hub 管理者アカウントを指定します。Security Hub 管理者アカウントは、他の組織アカウントをメンバーアカウントとして有効にできます。

アカウントは、同時に管理アカウントとメンバーアカウントの両方になることはできません。アカウントに付与される管理者アカウントは 1 つだけです。

詳細については、「Security Hub での管理者アカウントおよびメンバーアカウントの管理」を参照してください。

管理者アカウント

Security Hub のアカウントには、関連付けられたメンバーアカウントの結果を表示するためのアクセス権が付与されます。

アカウントには次のいずれかの方法で管理者アカウントが付与されます:

  • あるアカウントが他のアカウントを招待し、Security Hub で関連付けられます。このような招待されたアカウントが招待を承諾すると、そのアカウントはメンバーアカウントになり、招待したアカウントは管理者アカウントになります。

  • あるアカウントが、組織管理アカウントによって Security Hub 管理者アカウントとして指定されます。Security Hub 管理者アカウントは、任意の組織アカウントをメンバーアカウントとして有効にできます。また、他のアカウントをメンバーアカウントに招待することもできます。

アカウントに付与される管理者アカウントは 1 つだけです。アカウントは、同時に管理アカウントとメンバーアカウントの両方になることはできません。

集約リージョン

集約リージョンを設定すると、複数の AWS リージョン のセキュリティ検出結果を 1 か所にまとめて表示できます。

集約リージョンは、結果の表示と管理を行うリージョンです。結果は、リンクされたリージョンから集約リージョンに集約されます。結果の更新は、リージョン全体で複製されます。

集約リージョンでは、[Security standards] (セキュリティ基準)、[Insights] (インサイト)、[Findings] (結果) の各ページに、リンクされたすべてのリージョンの結果が表示されます。

Security Hub でのクロスリージョン集約について」を参照してください。

アーカイブ済みの結果

RecordStateARCHIVED に設定されている結果。結果がアーカイブされる場合、結果プロバイダーでは結果の関連性がなくなったとみなしているということを意味します。レコードの状態には、結果の調査のステータスを追跡するワークフローステータスは含まれません。

結果プロバイダーは、Security Hub API のBatchImportFindings オペレーション を使用して、作成した結果をアーカイブします。Security Hub は、コントロールが無効化された場合、または関連付けられたリソースが削除された場合に、次のいずれかの基準に基づいて、コントロールの結果を自動的にアーカイブします。

  • 3〜5日間、結果が更新されていない (これはベストエフォートであり、保証されません)。

  • 関連付けられた AWS Config 評価によって NOT_APPLICABLE が返される。

デフォルトでは、アーカイブされた結果は Security Hub コンソールの結果リストから除外されます。アーカイブされた結果を含めるようにフィルターを更新できます。

Security Hub API の GetFindings オペレーションでは、アクティブな結果とアーカイブされた結果の両方が返されます。レコード状態のフィルターを含めることができます。

"RecordState": [ { "Comparison": "EQUALS", "Value": "ARCHIVED" } ],
AWS Security Finding 形式

Security Hub によって集約または生成された結果の内容の標準化された形式。AWS Security Finding 形式を採用することで、Security Hub を使用して、セキュリティチェックを実行し、AWS セキュリティサービス、サードパーティーのソリューション、または Security Hub 自体に生成される結果を表示および分析できます。詳細については、「AWS Security Finding 形式」を参照してください。

コントロール

情報の機密性、完全性、可用性を保護し、定義された一連のセキュリティ要件を満たすように設計された、情報システムまたは組織に対して規定された保護または対策。セキュリティ標準はコントロールのコレクションに関連付けられています。

セキュリティコントロールという用語は、標準全体でコントロール ID とタイトルが 1 つしかないコントロールを指します。標準コントロールという用語は、標準固有のコントロール ID とタイトルを持つコントロールを指します。現在、Security Hub は AWS GovCloud (US) Region と中国リージョンの標準コントロールのみをサポートしています。セキュリティコントロールは、その他すべてのリージョンでサポートされています。

カスタムアクション

選択した結果を EventBridge に送信するための Security Hub のメカニズム。カスタムアクションは Security Hub で作成されます。その後、EventBridge ルールにリンクされます。このルールでは、カスタムアクション ID に関連付けられた結果を受け取ったときに実行する特定のアクションが定義されています。カスタムアクションを使用すると、例えば特定の結果や少数の一連の結果を応答または修復ワークフローに送信できます。詳細については、「カスタムアクションを作成する」を参照してください。

委任管理者アカウント (Organizations)

Organizations では、サービスの委任管理者アカウントが組織のサービスの使用を管理できます。

Security Hub では、Security Hub 管理者アカウントが Security Hub の委任管理者アカウントとしての役割も担います。組織管理アカウントによって初めて Security Hub 管理者アカウントが指定されたとき、Security Hub では Organizations を呼び出して、そのアカウントを委任管理者アカウントに指定します。

次に、組織管理アカウントは、すべてのリージョンで Security Hub 管理者アカウントとして委任管理者アカウントを選択する必要があります。

結果

セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコード。Security Hub は、コントロールのセキュリティチェックが完了した後に検出結果を生成します。これらはコントロールの検出結果と呼ばれます。検出結果は、サードパーティ製品の統合から得られる場合もあります。

Security Hub での結果の詳細については、「Security Hub での検出結果の作成と更新」を参照してください。

注記

結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。結果を 90 日間以上保存するには、結果を Amazon S3 バケットにルーティングする EventBridge でルールを設定できます。

クロスリージョン集約

結果、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを、リンクされたリージョンから集約リージョンへ集約。次に、集約リージョンのすべてのデータを表示し、集約リージョンの結果とインサイトを更新できます。

Security Hub でのクロスリージョン集約について」を参照してください。

結果の取り込み

他の AWS サービスおよびサードパーティーパートナープロバイダーから Security Hub への結果のインポート。

結果取り込みイベントには、新しい結果と既存の結果の更新が含まれます。

インサイト

関連する結果のコレクションで、集約ステートメントとオプションのフィルターによって定義されます。インサイトは、注意と介入が必要なセキュリティ領域を特定します。Security Hub には、変更不能なマネージド (デフォルト) インサイトがいくつか用意されています。お使いの AWS 環境や使用状況に固有のセキュリティ上の問題を追跡するために、カスタム Security Hub インサイトを作成することもできます。詳細については、「Security Hub のインサイトの表示」を参照してください。

リンクされたリージョン

クロスリージョン集約を有効にすると、リンクされたリージョンは、結果、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを、集約リージョンに集約するリージョンとなります。

リンクされたリージョンでは、[Findings] (結果) および [Insights] (インサイト) ページに、そのリージョンの結果のみが表示されます。

Security Hub でのクロスリージョン集約について」を参照してください。

メンバーアカウント

結果を確認してアクションを実行する許可を管理者アカウントに付与したアカウント。

アカウントは次のいずれかの方法でメンバーアカウントになります。

  • 別のアカウントからの招待を承諾する。

  • 組織アカウントの場合、Security Hub 管理者アカウントによってメンバーアカウントとして有効にされる。

関連する要件

コントロールにマッピングされる一連の業界または規制要件。

ルール

コントロールが遵守されているかどうかを評価するために使用される一連の自動条件。ルールは、評価されると、合格または不合格が指定されます。ルールは、評価によって合格または不合格を特定できなかった場合、警告状態になります。ルールを評価できない場合、そのルールは使用不可の状態になります。

セキュリティチェック

1 つのリソースに対するルールの特定のポイントインタイム評価。PASSEDFAILEDWARNING、または NOT_AVAILABLE の状態を特定します。セキュリティチェックを実行すると、結果が生成されます。

Security Hub 管理者アカウント

組織の Security Hub メンバーシップを管理する組織アカウント。

組織管理アカウントが各リージョンの Security Hub 管理者アカウントを指定します。組織管理アカウントは、すべてのリージョンで同じ Security Hub 管理者アカウントを選択する必要があります。

Security Hub 管理者アカウントは、Organizations 内の Security Hub の委任管理者アカウントでもあります。

Security Hub 管理者アカウントは、任意の組織アカウントをメンバーアカウントとして有効にできます。また、他のアカウントをメンバーアカウントに招待することもできます。

セキュリティ標準

特性を指定するトピックについてパブリッシュされたステートメント。通常は測定可能で、コントロールの形式であり、コンプライアンスを満たしているか、達成している必要があます。セキュリティ標準は規制の枠組みや、ベストプラクティス、社内のポリシーなどに基づいています。コントロールは、Security Hub でサポートされている 1 つ以上の標準に関連付けることができます。Security Hub のセキュリティ標準の詳細については、「Security Hub のセキュリティ標準について」を参照してください。

緊急度

Security Hub コントロールに割り当てられる重要度は、コントロールの重要性を特定します。コントロールの重要度は、[Critical] (重要)、[High] (高)、[Medium] (中)、[Low] (低) または [Informational] (情報) のいずれかです。コントロールの結果に割り当てられる重要度は、そのコントロール自体の重要度と同等です。Security Hub でコントロールに重要度を割り当てる方法については、「コントロール結果への重要度の割り当て」を参照してください。

ワークフローステータス

結果の調査ステータス。Workflow.Status 属性を使用して追跡します。

ワークフローステータスは、初期状態では NEW です。リソース所有者に結果に対するアクションを実行するように通知した場合は、ワークフローステータスを NOTIFIED に設定できます。結果に問題がなく、アクションが不要な場合は、ワークフローステータスを SUPPRESSED に設定します。結果を確認して修正したら、ワークフローステータスを RESOLVED に設定します。

デフォルトでは、ほとんどの結果リストに含まれている結果のワークフローステータスは、NEW または NOTIFIED のみです。コントロールの結果リストには、ステータスが RESOLVED の結果も含まれます。

GetFindings オペレーションでは、ワークフローステータスのフィルターを含めることができます。

"WorkflowStatus": [ { "Comparison": "EQUALS", "Value": "RESOLVED" } ],

Security Hub コンソールには、結果のワークフローステータスを設定するオプションがあります。お客様 (または結果プロバイダーの結果をお客様に代わって更新する SIEM、チケット発行、インシデント管理、または SOAR ツール) は、BatchUpdateFindings を使用してワークフローステータスを更新することもできます。