翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Hub CSPM AWS Config の有効化と設定
<a name="securityhub-setup-prereqs"></a>

AWS Security Hub CSPM は、 AWS Config ルールを使用してセキュリティチェックを実行し、ほとんどのコントロールの検出結果を生成します。 AWS Config は、 内の AWS リソースの設定の詳細なビューを提供します AWS アカウント。これは、ルールを使用してリソースのベースライン設定を確立し、設定レコーダーを使用して、特定のリソースがルールの条件に違反しているかどうかを検出します。

 AWS Config マネージドルールと呼ばれる一部のルールは、 によって事前定義および開発されています AWS Config。その他のルールは、Security Hub CSPM が開発するカスタム AWS Config ルールです。Security Hub CSPM がコントロールに使用する AWS Config ルールは、*サービスにリンクされたルール*と呼ばれます。Security Hub CSPM AWS のサービス などのサービスにリンクされたルールでは、アカウントに AWS Config ルールを作成できます。

Security Hub CSPM でコントロールの検出結果を受信するには、アカウント AWS Config で を有効にする必要があります。また、有効なコントロールが評価するリソースタイプについて、リソース記録を有効にする必要があります。その後、Security Hub CSPM はコントロールに適切な AWS Config ルールを作成し、セキュリティチェックの実行とコントロールの検出結果の生成を開始できます。

**Topics**
+ [

## を有効にして設定する前に考慮すべき点 AWS Config
](#securityhub-prereq-config)
+ [

## でのリソースの記録 AWS Config
](#config-resource-recording)
+ [

## を有効にして設定する方法 AWS Config
](#config-how-to-enable)
+ [

## Config.1 コントロールについて
](#config-1-overview)
+ [

## サービスにリンクされたルールの生成
](#securityhub-standards-generate-awsconfigrules)
+ [

## コストに関する考慮事項
](#config-cost-considerations)

## を有効にして設定する前に考慮すべき点 AWS Config
<a name="securityhub-prereq-config"></a>

Security Hub CSPM でコントロールの検出結果を受信するには、Security Hub CSPM が有効になってい AWS リージョン る各 でアカウントに対して を有効にする AWS Config 必要があります。マルチアカウント環境で Security Hub CSPM を使用する場合は、管理者アカウントとすべてのメンバーアカウントの各リージョンで AWS Config を有効にする必要があります。

Security Hub CSPM 標準とコントロールを有効にする AWS Config *前に*、 でリソース記録を有効にすることを強くお勧めします。これにより、コントロールの検出結果が正確であることが確認できます。

でリソース記録を有効にするには AWS Config、設定レコーダーにアタッチされている AWS Identity and Access Management (IAM) ロールにリソースを記録するのに十分なアクセス許可が必要です。さらに、IAM ポリシーまたは AWS Organizations ポリシーがリソースを記録するアクセス許可を AWS Config に与えないようにします。Security Hub CSPM コントロールは、リソース設定を直接評価し、 AWS Organizations ポリシーを考慮しません。 AWS Config の記録についての詳細は、「*AWS Config デベロッパーガイド*」の「[Working with the configuration recorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。

Security Hub CSPM で標準を有効にしているが、まだ有効にしていない場合 AWS Config、Security Hub CSPM は、次のスケジュールに従ってサービスにリンクされた AWS Config ルールを作成しようとします。
+ 標準を有効にした当日。
+ 標準を有効にした翌日。
+ 標準を有効にしてから 3 日後。
+ 標準を有効にしてから 7 日後 (その後は 7 日ごとに継続的に)。

中央設定を使用する場合、Security Hub CSPM は、1 つ以上の標準を有効にする設定ポリシーをアカウント、組織単位 (OUs)、またはルートに関連付けるたびに、サービスにリンクされた AWS Config ルールの作成も試みます。

## でのリソースの記録 AWS Config
<a name="config-resource-recording"></a>

を有効にするときは AWS Config、設定レコーダーに記録する AWS AWS Config リソースを指定する必要があります。設定レコーダーは、サービスにリンクされたルールを通じて、Security Hub CSPM がリソース設定の変更を検出できるようにします。

Security Hub CSPM が正確なコントロール検出結果を生成するには、有効化されたコントロールに対応するリソースタイプについて、 AWS Config で記録を有効にする必要があります。リソースの記録が必要なのは、主に*変更トリガー*スケジュールタイプの有効化されたコントロールです。*定期*スケジュールタイプの一部のコントロールでも、リソースの記録が必要です。これらのコントロールとそれに対応するリソースのリストについては、「[コントロールの検出結果に必要な AWS Config リソース](controls-config-resources.md)」を参照してください。

**警告**  
Security Hub CSPM コントロールの記録 AWS Config を正しく設定しないと、特に次のインスタンスで、コントロールの検出結果が不正確になる可能性があります。  
特定のコントロールのリソースを記録したことがない、またはそのタイプのリソースを作成する前にリソースの記録を無効にした。このような場合、記録を無効にした後にコントロールの範囲内でリソースを作成している場合でも、問題のコントロールの `WARNING` 検出結果が表示されます。この `WARNING` 検出結果は、リソースの設定状態を実際に評価しないデフォルトの検出結果です。
特定のコントロールによって評価されるリソースの記録を無効にする。この場合、コントロールが新規または更新されたリソースを評価していない場合でも、Security Hub CSPM は記録を無効にする前に生成されたコントロール検出結果を保持します。Security Hub CSPM は、検出結果のコンプライアンスステータスも `WARNING` に変更します。これらの保持された検出結果は、リソースの現在の設定状態を正確に反映していない可能性があります。

デフォルトでは、 AWS リージョン は、実行中の で検出されたサポートされているすべての*リージョンリソース* AWS Config を記録します。すべての Security Hub CSPM コントロールの検出結果を受信するには、*グローバルリソース*を記録する AWS Config ように も設定する必要があります。コストを削減するには、グローバルリソースを 1 つのリージョンにのみ記録することを推奨しています。中央設定またはクロスリージョン集約を使用する場合、このリージョンはホームリージョンである必要があります。

では AWS Config、リソースの状態の変化を継続的に*記録*するか、*毎日記録*するかを選択できます。日次記録を選択した場合、 はリソース状態に変更があった場合、24 時間ごとにリソース設定データを AWS Config 配信します。変化がなければ、データは配信されません。そのため、変更によってトリガーされるコントロールに関する Security Hub CSPM の検出結果の生成が 24 時間周期の終了まで遅れる可能性があります。

 AWS Config 記録の詳細については、「 *AWS Config デベロッパーガイド*」の[AWS 「リソースの記録](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)」を参照してください。

## を有効にして設定する方法 AWS Config
<a name="config-how-to-enable"></a>

リソース記録は、次のいずれかの方法で有効化 AWS Config および有効化できます。
+ **AWS Config コンソール** – AWS Config コンソールを使用して AWS Config 、アカウントの を有効にできます。手順については、「 *AWS Config デベロッパーガイド*[」の「 コンソール AWS Config でのセットアップ](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)」を参照してください。
+ **AWS CLI または SDKs** – AWS Command Line Interface () を使用して AWS Config 、アカウントの を有効にできますAWS CLI。手順については、「 *AWS Config デベロッパーガイド*」の[「 AWS Config でのセットアップ AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html)」を参照してください。 AWS ソフトウェア開発キット (SDK) は、多くのプログラミング言語でも使用できます。 SDKs
+ **CloudFormation テンプレート** – 多くのアカウント AWS Config で を有効にするには、**Enable AWS Config**という名前の AWS CloudFormation テンプレートを使用することをお勧めします。このテンプレートにアクセスする方法については、「*AWS CloudFormation ユーザーガイド*」の「[AWS CloudFormation StackSets サンプルテンプレート](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html)」を参照してください。

  デフォルトでは、このテンプレートは IAM グローバルリソースの記録を除外します。IAM グローバルリソースの記録は、記録コストを節約するために、1 つの AWS リージョン でのみ有効にしてください。クロスリージョン集約を有効にしている場合、これは [Security Hub CSPM ホームリージョン](finding-aggregation.md)である必要があります。それ以外の場合は、Security Hub CSPM が使用可能で、IAM グローバルリソースの記録をサポートする任意のリージョンでも構いません。ホームリージョンまたはその他の選択したリージョンで、IAM グローバルリソースを含むすべてのリソースを記録する 1 つの StackSet を実行することを推奨します。次に、他のリージョンにある IAM グローバルリソース以外のすべてのリソースを記録する 2 つ目の StackSet を実行します。
+ **GitHub スクリプト** – Security Hub CSPM は、Security Hub CSPM と をリージョン間で複数のアカウント AWS Config に対して有効にする [GitHub スクリプト](https://github.com/awslabs/aws-securityhub-multiaccount-scripts)を提供します。このスクリプトは、 と統合していない場合や AWS Organizations、組織の一部ではないメンバーアカウントがある場合に便利です。

詳細については、 *AWS セキュリティ*ブログのブログ記事[「Optimize AWS Config for AWS Security Hub CSPM to effectively manage your cloud security posture](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/)」を参照してください。

## Config.1 コントロールについて
<a name="config-1-overview"></a>

Security Hub CSPM では、 が無効になっている場合、[Config.1](config-controls.md#config-1) コントロール AWS Config はアカウントに`FAILED`結果を生成します。また、 AWS Config が有効になっていてもリソース記録が有効になっていない場合、アカウントに`FAILED`結果を生成します。

 AWS Config が有効になっていてリソース記録が有効になっているが、有効なコントロールがチェックするタイプのリソースに対してリソース記録が有効になっていない場合、Security Hub CSPM は Config.1 コントロール`FAILED`の結果を生成します。この `FAILED` 検出結果に加えて、Security Hub CSPM は、有効なコントロールと、コントロールがチェックするリソースのタイプに関する `WARNING` 検出結果を生成します。たとえば、[KMS.5](kms-controls.md#kms-5) コントロールを有効にし、リソース記録が有効になっていない場合 AWS KMS keys、Security Hub CSPM は Config.1 コントロール`FAILED`の結果を生成します。Security Hub CSPM は、KMS.5 コントロールと KMS キーの `WARNING` 検出結果も生成します。

Config.1 コントロールの `PASSED` 検出結果を受信するには、有効なコントロールに対応するすべてのリソースタイプのリソース記録を有効にします。また、組織に必要ないコントロールも無効にします。これにより、セキュリティコントロールチェックで設定ギャップがなくなります。また、誤って設定されたリソースに関する正確な検出結果を確実に受け取れるようにします。

お客様が組織の委任された Security Hub CSPM 管理者である場合は、自分のアカウントとメンバーアカウントに対して AWS Config 記録を正しく設定する必要があります。クロスリージョン集約を使用する場合は、ホームリージョンとリンクされたすべてのリージョンで AWS Config 録音を正しく設定する必要があります。リンクされたリージョンでは、グローバルリソースを記録する必要はありません。

## サービスにリンクされたルールの生成
<a name="securityhub-standards-generate-awsconfigrules"></a>

サービスにリンクされた AWS Config ルールを使用するコントロールごとに、Security Hub CSPM は必要なルールのインスタンスを AWS 環境に作成します。

これらのサービスにリンクされたルールは Security Hub CSPM に固有です。同じルールの他のインスタンスが既に存在している場合でも、Security Hub CSPM がこれらのサービスにリンクされたルールを作成します。このサービスにリンクされたルールでは、元のルール名の前に `securityhub` が追加され、ルール名の後に一意の識別子が追加されます。たとえば、 AWS Config マネージドルール の場合`vpc-flow-logs-enabled`、サービスにリンクされたルール名は になります`securityhub-vpc-flow-logs-enabled-12345`。

コントロールの評価に使用できる AWS Config マネージドルールの数にはクォータがあります。Security Hub CSPM が作成する AWS Config ルールは、これらのクォータにはカウントされません。アカウントのマネージドルール AWS Config のクォータにすでに達している場合でも、セキュリティ標準を有効にできます。 AWS Config ルールのクォータの詳細については、「 *AWS Config デベロッパーガイド*」の[「 のサービス制限 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html)」を参照してください。

## コストに関する考慮事項
<a name="config-cost-considerations"></a>

Security Hub CSPM は、 AWS Config 設定項目を更新することで、`AWS::Config::ResourceCompliance`設定レコーダーのコストに影響を与える可能性があります。更新は、 AWS Config ルールに関連付けられた Security Hub CSPM コントロールがコンプライアンス状態を変更する、有効または無効になる、またはパラメータが更新されるたびに発生する可能性があります。Security Hub CSPM にのみ AWS Config 設定レコーダーを使用し、他の目的でこの設定項目を使用しない場合は、その記録をオフにすることをお勧めします AWS Config。これにより、 AWS Config コストを削減できます。Security Hub CSPM でセキュリティチェックを行うために `AWS::Config::ResourceCompliance` を記録する必要はありません。

リソースの記録に関連するコストの詳細については、「[AWS Security Hub CSPM の料金](https://aws.amazon.com/security-hub/pricing/)」と「[AWS Config の料金](https://aws.amazon.com/config/pricing/)」を参照してください。