View a markdown version of this page

Security Hub CSPM AWS Configの有効化と設定 - AWSSecurity Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM AWS Configの有効化と設定

AWSSecurity Hub CSPM は、AWS Configルールを使用してセキュリティチェックを実行し、ほとんどのコントロールの検出結果を生成します。 AWS Configは、 内のAWSリソースの設定の詳細なビューを提供しますAWS アカウント。これは、ルールを使用してリソースのベースライン設定を確立し、設定レコーダーを使用して、特定のリソースがルールの条件に違反しているかどうかを検出します。

AWS Configマネージドルールと呼ばれる一部のルールは、 によって事前定義および開発されていますAWS Config。その他のルールは、Security Hub CSPM が開発するカスタムAWS Configルールです。Security Hub CSPM がコントロールに使用するAWS Configルールは、サービスにリンクされたルールと呼ばれます。Security Hub CSPM AWS のサービスなどのサービスにリンクされたルールでは、アカウントにAWS Configルールを作成できます。

AWSSecurity Hub CSPM と Security Hub の両方が有効になっている場合、Security Hub CSPM はサービスにリンクされた設定レコーダーを自動的に作成して、セキュリティコントロールを評価します。手動で有効化または設定する必要はありませんAWS Config。詳細については、「サービスにリンクされた設定レコーダーの使用」を参照してください。

Security Hub を使用せずに Security Hub CSPM を有効にしている場合は、リソース記録を手動で有効にAWS Configして有効にする必要があります。詳細については、「手動設定AWS Config」を参照してください。

サービスにリンクされた設定レコーダーの使用

AWSSecurity Hub CSPM と Security Hub の両方を有効にすると、Security Hub CSPM はアカウントとリージョン全体でサービスにリンクされた設定レコーダーを自動的に作成および管理します。手動で有効化または設定する必要はありませんAWS Config。

この設定レコーダーの名前は ですAWSConfigurationRecorderForSecurityHubCSPM。Security Hub CSPM は、Security Hub CSPM と Security Hub の両方が有効になっているアカウントとリージョンごとに、対応するサービスにリンクされた設定レコーダーを作成します。新しい AWS アカウントと で Security Hub CSPM AWS リージョンを有効にすると、Security Hub CSPM はサービスにリンクされた設定レコーダーを自動的に作成します。

Security Hub CSPM は、サービスにリンクされた設定レコーダーのリソース設定を管理し、Security Hub でサポートされているコントロールに関連付けられているすべてのリソースに対して記録が有効になっていることを確認します。必要なリソースのリストについては、「」を参照してくださいコントロールの検出結果に必要なAWS Configリソース

Security Hub CSPM がこのサービスにリンクされた設定レコーダーを作成すると、Security Hub はカスタマー管理の設定レコーダーを使用しませんAWS Config。

設定レコーダーの詳細については、 AWS Configデベロッパーガイド「設定レコーダーの使用」を参照してください。

手動設定AWS Config

次の手順は、Security Hub を使用せずに Security Hub CSPM を有効にしている場合に適用されます。この場合、アカウントAWS Configに対して を有効にし、有効なコントロールが評価するリソースタイプのリソース記録を有効にする必要があります。これを行うと、Security Hub CSPM は適切なAWS Configルールを作成し、セキュリティチェックの実行を開始して検出結果を生成します。

を有効にして設定する前に考慮すべき点AWS Config

Security Hub CSPM でコントロールの検出結果を受信するには、Security Hub CSPM が有効になっていAWS リージョンる各 でアカウントに対して を有効にするAWS Config必要があります。マルチアカウント環境で Security Hub CSPM を使用する場合は、管理者アカウントとすべてのメンバーアカウントの各リージョンで AWS Config を有効にする必要があります。

Security Hub CSPM 標準とコントロールを有効にするAWS Config前に、 でリソース記録を有効にすることを強くお勧めします。これにより、コントロールの検出結果が正確であることが確認できます。

でリソース記録を有効にするにはAWS Config、設定レコーダーにアタッチされている AWS Identity and Access Management(IAM) ロールにリソースを記録するのに十分なアクセス許可が必要です。さらに、IAM ポリシーまたは AWS Organizationsポリシーがリソースを記録するアクセス許可を AWS Configに与えないようにします。Security Hub CSPM コントロールは、リソース設定を直接評価し、AWS Organizationsポリシーを考慮しません。AWS Config の記録についての詳細は、「AWS Config デベロッパーガイド」の「Working with the configuration recorder」を参照してください。

Security Hub CSPM で標準を有効にしても有効にしていない場合AWS Config、Security Hub CSPM は、次のスケジュールに従ってサービスにリンクされたAWS Configルールを作成しようとします。

  • 標準を有効にした当日。

  • 標準を有効にした翌日。

  • 標準を有効にしてから 3 日後。

  • 標準を有効にしてから 7 日後 (その後は 7 日ごとに継続的に)。

中央設定を使用する場合、Security Hub CSPM は、1 つ以上の標準を有効にする設定ポリシーをアカウント、組織単位 (OUs)、またはルートに関連付けるたびに、サービスにリンクされたAWS Configルールの作成も試みます。

でのリソースの記録AWS Config

有効にするときはAWS Config、設定レコーダーに記録するAWSAWS Configリソースを指定する必要があります。設定レコーダーは、サービスにリンクされたルールを通じて、Security Hub CSPM がリソース設定の変更を検出できるようにします。

Security Hub CSPM が正確なコントロール検出結果を生成するには、有効化されたコントロールに対応するリソースタイプについて、AWS Config で記録を有効にする必要があります。リソースの記録が必要なのは、主に変更トリガースケジュールタイプの有効化されたコントロールです。定期スケジュールタイプの一部のコントロールでも、リソースの記録が必要です。これらのコントロールとそれに対応するリソースのリストについては、「コントロールの検出結果に必要なAWS Configリソース」を参照してください。

警告

Security Hub CSPM コントロールの記録AWS Configを正しく設定しないと、特に次のインスタンスで、コントロールの検出結果が不正確になる可能性があります。

  • 特定のコントロールのリソースを記録したことがない、またはそのタイプのリソースを作成する前にリソースの記録を無効にした。このような場合、記録を無効にした後にコントロールの範囲内でリソースを作成している場合でも、問題のコントロールの WARNING 検出結果が表示されます。この WARNING 検出結果は、リソースの設定状態を実際に評価しないデフォルトの検出結果です。

  • 特定のコントロールによって評価されるリソースの記録を無効にする。この場合、コントロールが新規または更新されたリソースを評価していない場合でも、Security Hub CSPM は記録を無効にする前に生成されたコントロール検出結果を保持します。Security Hub CSPM は、検出結果のコンプライアンスステータスも WARNING に変更します。これらの保持された検出結果は、リソースの現在の設定状態を正確に反映していない可能性があります。

デフォルトでは、 AWS リージョンは、実行中の で検出されたサポートされているすべてのリージョンリソースAWS Configを記録します。すべての Security Hub CSPM コントロールの検出結果を受信するには、グローバルリソースを記録するAWS Configように も設定する必要があります。コストを削減するには、グローバルリソースを 1 つのリージョンにのみ記録することを推奨しています。中央設定またはクロスリージョン集約を使用する場合、このリージョンはホームリージョンである必要があります。

ではAWS Config、リソースの状態の変化を継続的に記録するか、毎日記録するかを選択できます。日次記録を選択した場合、リソース状態に変更があった場合、 は 24 時間ごとにリソース設定データをAWS Config配信します。変化がなければ、データは配信されません。そのため、変更によってトリガーされるコントロールに関する Security Hub CSPM の検出結果の生成が 24 時間周期の終了まで遅れる可能性があります。

AWS Config録画の詳細については、「 AWS Configデベロッパーガイド」のAWS「リソースの記録」を参照してください。

を有効にして設定する方法AWS Config

リソース記録は、次のいずれかの方法で有効化AWS Configおよび有効化できます。

  • AWS Configコンソール – AWS Configコンソールを使用してAWS Config、アカウントの を有効にできます。手順については、「 AWS Configデベロッパーガイド」の「 コンソールAWS Configでのセットアップ」を参照してください。

  • AWS CLIまたは SDKs – AWS Command Line Interface() を使用してAWS Config、アカウントの を有効にできますAWS CLI。手順については、「 AWS Configデベロッパーガイド」の「 AWS ConfigでのセットアップAWS CLI」を参照してください。AWSソフトウェア開発キット (SDK) は、多くのプログラミング言語でも使用できます。 SDKs

  • CloudFormation テンプレート – 多くのアカウントAWS Configで を有効にするには、Enable AWS Configという名前のAWS CloudFormationテンプレートを使用することをお勧めします。このテンプレートにアクセスする方法については、「AWS CloudFormation ユーザーガイド」の「AWS CloudFormation StackSets サンプルテンプレート」を参照してください。

    デフォルトでは、このテンプレートは IAM グローバルリソースの記録を除外します。IAM グローバルリソースの記録は、記録コストを節約するために、1 つの AWS リージョン でのみ有効にしてください。クロスリージョン集約を有効にしている場合、これは Security Hub CSPM ホームリージョンである必要があります。それ以外の場合は、Security Hub CSPM が使用可能で、IAM グローバルリソースの記録をサポートする任意のリージョンでも構いません。ホームリージョンまたはその他の選択したリージョンで、IAM グローバルリソースを含むすべてのリソースを記録する 1 つの StackSet を実行することを推奨します。次に、他のリージョンにある IAM グローバルリソース以外のすべてのリソースを記録する 2 つ目の StackSet を実行します。

  • GitHub スクリプト – Security Hub CSPM は、Security Hub CSPM と をリージョン間で複数のアカウントAWS Configに対して有効にする GitHub スクリプトを提供します。このスクリプトは、 と統合していない場合やAWS Organizations、組織の一部ではないメンバーアカウントがある場合に便利です。

詳細については、 AWS セキュリティブログのブログ記事「Optimize AWS Configfor AWSSecurity Hub CSPM to effectively manage your cloud security posture」を参照してください。

コストに関する考慮事項

Security Hub CSPM は、AWS Config設定項目を更新することで、AWS::Config::ResourceCompliance設定レコーダーのコストに影響を与える可能性があります。更新は、AWS Configルールに関連付けられた Security Hub CSPM コントロールがコンプライアンス状態を変更する、有効または無効になる、またはパラメータが更新されるたびに発生する可能性があります。Security Hub CSPM にのみAWS Config設定レコーダーを使用し、他の目的でこの設定項目を使用しない場合は、その記録をオフにすることをお勧めしますAWS Config。これにより、AWS Config コストを削減できます。Security Hub CSPM でセキュリティチェックを行うために AWS::Config::ResourceCompliance を記録する必要はありません。

リソースの記録に関連するコストの詳細については、「AWS Security Hub CSPM の料金」と「AWS Config の料金」を参照してください。

Config.1 コントロールについて

注記

AWSSecurity Hub CSPM と Security Hub の両方が有効になっている場合、Config.1 コントロールのステータスは常に ですPASSED。Security Hub CSPM は、サービスにリンクされた設定レコーダーを介して設定項目に直接アクセスできます。詳細については、「サービスにリンクされた設定レコーダーの使用」を参照してください。

Security Hub CSPM では、 が無効になっている場合、Config.1 コントロールAWS ConfigはアカウントにFAILED結果を生成します。また、 AWS Configが有効になっていてもリソース記録が有効になっていない場合、アカウントにFAILED結果を生成します。

AWS Configが有効になっていてリソース記録が有効になっているが、有効なコントロールがチェックするタイプのリソースに対してリソース記録が有効になっていない場合、Security Hub CSPM は Config.1 コントロールFAILEDの結果を生成します。この FAILED 検出結果に加えて、Security Hub CSPM は、有効なコントロールと、コントロールがチェックするリソースのタイプに関する WARNING 検出結果を生成します。たとえば、KMS.5 コントロールを有効にし、リソース記録が有効になっていない場合AWS KMS keys、Security Hub CSPM は Config.1 コントロールFAILEDの結果を生成します。Security Hub CSPM は、KMS.5 コントロールと KMS キーの WARNING 検出結果も生成します。

Config.1 コントロールの PASSED 検出結果を受信するには、有効なコントロールに対応するすべてのリソースタイプのリソース記録を有効にします。また、組織に必要ないコントロールも無効にします。これにより、セキュリティコントロールチェックで設定ギャップがなくなります。また、誤って設定されたリソースに関する正確な検出結果を確実に受け取れるようにします。

お客様が組織の委任された Security Hub CSPM 管理者である場合は、自分のアカウントとメンバーアカウントに対して AWS Config 記録を正しく設定する必要があります。クロスリージョン集約を使用する場合は、ホームリージョンとすべてのリンクされたリージョンでAWS Config録画を正しく設定する必要があります。リンクされたリージョンでは、グローバルリソースを記録する必要はありません。

サービスにリンクされたルールの生成

サービスにリンクされたAWS Configルールを使用するコントロールごとに、Security Hub CSPM は必要なルールのインスタンスをAWS環境に作成します。

これらのサービスにリンクされたルールは Security Hub CSPM に固有です。同じルールの他のインスタンスが既に存在している場合でも、Security Hub CSPM がこれらのサービスにリンクされたルールを作成します。このサービスにリンクされたルールでは、元のルール名の前に securityhub が追加され、ルール名の後に一意の識別子が追加されます。たとえば、AWS Configマネージドルール の場合vpc-flow-logs-enabled、サービスにリンクされたルール名は ですsecurityhub-vpc-flow-logs-enabled-12345

コントロールの評価に使用できるAWS Configマネージドルールの数にはクォータがあります。Security Hub CSPM が作成するAWS Configルールは、これらのクォータにはカウントされません。アカウントのマネージドルールAWS Configのクォータにすでに達している場合でも、セキュリティ標準を有効にできます。AWS Configルールのクォータの詳細については、「 AWS Configデベロッパーガイド」の「 のサービス制限AWS Config」を参照してください。

注記

Security Hub CSPM と Security Hub を使用している場合、サービスにリンクされたルールは に表示されますAWS Configが、ルールに関連付けられた準拠または非準拠のリソースは表示されません。準拠および非準拠のリソースは、Security Hub CSPM と Security Hub でのみ表示されます。