翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub AWS Config の有効化と設定
AWS Security Hub は、 AWS Config ルールを使用してセキュリティチェックを実行し、ほとんどのコントロールの結果を生成します。 AWS Config は、 内の AWS リソースの設定の詳細ビューを提供します AWS アカウント。ルールを使用してリソースのベースライン設定を確立し、設定レコーダーを使用して、特定のリソースがルールの条件に違反しているかどうかを検出します。 AWS Config マネージドルールと呼ばれる一部のルールは、 によって事前定義および開発されています AWS Config。その他のルールは、Security Hub が開発する AWS Config カスタムルールです。
AWS Config Security Hub がコントロールに使用する ルールは、サービスにリンクされたルールと呼ばれます。サービスにリンクされたルールにより、Security Hub AWS のサービス などの がアカウントに AWS Config ルールを作成できます。
Security Hub でコントロールの検出結果を受信するには、アカウント AWS Config で を有効にし、有効なコントロールが評価するリソースの記録を有効にする必要があります。
このページでは、Security Hub AWS Config で を有効にし、リソース記録を有効にする方法について説明します。
を有効にして設定する前の考慮事項 AWS Config
Security Hub でコントロールの検出結果を受信するには、Security Hub AWS Config が有効になってい AWS リージョン る各 でアカウントが を有効にしている必要があります。マルチアカウント環境で Security Hub を使用する場合は、管理者アカウントとすべてのメンバーアカウントの各リージョンで有効に AWS Config する必要があります。
Security Hub の標準とコントロールを有効にする AWS Config 前に、リソース記録を有効にすることを強くお勧めします。これにより、コントロールの検出結果が正確になります。
でリソース記録を有効にするには AWS Config、設定レコーダーにアタッチされている AWS Identity and Access Management (IAM) ロールにリソースを記録するのに十分なアクセス許可が必要です。さらに、 に IAM リソースを記録するアクセス許可を に付与 AWS Organizations AWS Config できないようなポリシーや管理ポリシーがないことを確認します。Security Hub コントロールチェックは、リソースの設定を直接評価し、Organizations ポリシーを考慮しません。 AWS Config 記録の詳細については、「 AWS Config デベロッパーガイド」の AWS Config 「 マネージドルールのリスト – 考慮事項」を参照してください。
Security Hub で標準を有効にしたが、まだ有効にしていない場合 AWS Config、Security Hub は次のスケジュールに従って AWS Config ルールを作成しようとします。
-
標準を有効にした当日
-
標準を有効にした翌日
-
標準を有効にしてから 3 日後
-
標準を有効にしてから 7 日後 (その後は 7 日ごとに継続的に)
中央設定を使用する場合、Security Hub は、1 つ以上の標準を有効にする設定ポリシーをアカウント、組織単位 (OUs)、またはルートに関連付けるたびに、 AWS Config サービスにリンクされたルールの作成も試行します。
でのリソースの記録 AWS Config
を有効にするときは AWS Config、 AWS Config 設定レコーダーに記録する AWS リソースを指定する必要があります。サービスにリンクされたルールを通じて、設定レコーダーは Security Hub がリソース設定の変更を検出できるようにします。
Security Hub が正確なコントロール検出結果を生成するには、有効なコントロールに対応するリソース AWS Config の での記録を有効にする必要があります。これは主に、リソースの記録を必要とする変更トリガースケジュールタイプで有効になっているコントロールです。コントロールとその関連 AWS Config リソースのリストについては、「」を参照してくださいSecurity Hub コントロールの検出結果に必要な AWS Config リソース。
警告
Security Hub コントロール AWS Config の記録を正しく設定しないと、特に以下のインスタンスで、コントロールの検出結果が不正確になる可能性があります。
特定のコントロールのリソースを記録したり、そのリソースタイプを作成する前にリソースの記録を無効にしたり、リソースを記録するアクセス許可を提供しなかった IAMロールを設定レコーダーにアタッチしたりすることはありません。このような場合、記録を無効にした後でコントロールの範囲内でリソースを作成している場合でも、問題のあるコントロール
PASSEDの検出結果が表示されます。このPASSED検出結果は、リソースの設定状態を実際に評価しないデフォルトの検出結果です。特定のコントロールによって評価されるリソースの記録を無効にします。この場合、コントロールが新規または更新されたリソースを評価していない場合でも、Security Hub は記録を無効にする前に生成されたコントロール検出結果を保持します。これらの保持された検出結果は、リソースの現在の設定状態を正確に反映していない可能性があります。
デフォルトでは、 は実行中の で AWS リージョン 検出されたすべてのサポートされているリージョンリソース AWS Config を記録します。すべての Security Hub コントロールの検出結果を受信するには、グローバルリソースを記録する AWS Config ように も設定する必要があります。コストを節約するために、グローバルリソースは 1 つのリージョンにのみ記録することをお勧めします。中央設定またはクロスリージョン集約を使用する場合、このリージョンはホームリージョンである必要があります。
では AWS Config、リソースの状態の変化を継続的に記録するか、毎日記録するかを選択できます。毎日記録することを選択した場合、 AWS Config は、リソースの状態に変化があったとき、各 24 時間の最後にリソース設定データを配信します。変化がなければ、データは配信されません。これにより、変更によってトリガーされるコントロールの Security Hub 検出結果の生成が 24 時間完了するまで遅延する可能性があります。
AWS Config 記録の詳細については、「 AWS Config デベロッパーガイド」のAWS 「リソースの記録」を参照してください。
を有効にして設定する方法 AWS Config
次のいずれかの方法で、リソース記録を有効に AWS Config してオンにできます。
-
AWS Config コンソール – AWS Config コンソールを使用して AWS Config 、アカウントの を有効にできます。手順については、「 AWS Config デベロッパーガイド」の「 コンソール AWS Config でのセットアップ」を参照してください。
-
AWS CLI または SDKs – AWS Command Line Interface () を使用して AWS Config 、アカウントの を有効にできますAWS CLI。手順については、「 AWS Config デベロッパーガイド」の「 AWS Config でのセットアップ AWS CLI」を参照してください。 AWS ソフトウェア開発キット (SDKs) は、多くのプログラミング言語でも使用できます。
-
CloudFormation テンプレート – 多数のアカウント AWS Config に対して を有効にする場合は、Enable AWS Configという名前の AWS CloudFormation テンプレートを使用することをお勧めします。このテンプレートにアクセスするには、「 AWS CloudFormation ユーザーガイド」のAWS CloudFormation StackSets 「 サンプルテンプレート」を参照してください。
デフォルトでは、このテンプレートはIAMグローバルリソースの記録を除外します。記録コストを節約するために、1 つのリージョンのグローバルIAMリソースの記録のみを有効にしてください。クロスリージョン集約が有効になっている場合、これは Security Hub ホームリージョンである必要があります。それ以外の場合は、IAMグローバルリソースの記録をサポートする AWS リージョン Security Hub が で利用できる任意の を使用できます。ホームリージョンまたは他の選択したリージョンで、IAMグローバルリソースを含むすべてのリソースを記録する StackSet には、1 つ実行することをお勧めします。次に、2 番目の を実行して StackSet 、他のリージョンIAMのグローバルリソースを除くすべてのリソースを記録します。
-
Github スクリプト – Security Hub は、リージョン間で複数のアカウント AWS Config に対して Security Hub と を有効にするGitHub スクリプト
を提供します。このスクリプトは、Organizations と統合していない場合や、組織の一部ではないメンバーアカウントがある場合に役立ちます。
詳細については、「 の最適化 AWS Security HubAWS Config 」を参照してクラウドセキュリティ体制を効果的に管理してください
Config.1 コントロール
Security Hub コントロール Config.1 AWS Config は、 が無効になっている場合、または有効なコントロールのリソース記録が有効になっていない場合に、アカウントにFAILED検出結果を生成します。お客様が組織の委任 Security Hub 管理者である場合は、アカウントとメンバーアカウントで AWS Config 記録を正しく設定する必要があります。クロスリージョン集約を使用する場合は、ホームリージョンとすべてのリンクされたリージョンで AWS Config 記録を正しく設定する必要があります (グローバルリソースをリンクされたリージョンに記録する必要はありません)。
Config.1 PASSEDの結果を受け取るには、有効な Security Hub コントロールに対応するすべてのリソースのリソース記録をオンにし、組織で必要ではないコントロールを無効にします。これにより、セキュリティコントロールチェックで設定ギャップがなく、設定ミスのリソースに関する正確な検出結果を受け取ることができます。
サービスにリンクされたルールの生成
AWS Config サービスにリンクされたルールを使用するコントロールごとに、Security Hub は必要なルールのインスタンスを AWS 環境に作成します。
これらのサービスリンクルールは Security Hub に固有です。Security Hub は、同じルールの他のインスタンスが既に存在する場合でも、これらのサービスにリンクされたルールを作成します。サービスにリンクされたルールは、元のルール名のsecurityhub前に を追加し、ルール名の後に一意の識別子を追加します。例えば、 AWS Config マネージドルール の場合vpc-flow-logs-enabled、サービスにリンクされたルール名は のようになりますsecurityhub-vpc-flow-logs-enabled-12345。
コントロールの評価に使用できる AWS Config マネージドルールの数には制限があります。Security Hub が作成するカスタム AWS Config ルールは、その制限にはカウントされません。アカウントのマネージドルール AWS Config の制限にすでに達している場合でも、セキュリティ標準を有効にできます。 AWS Config ルールの制限の詳細については、「 AWS Config デベロッパーガイド」の「 のサービスの制限 AWS Config」を参照してください。
コストに関する考慮事項
Security Hub は、 AWS Config 設定項目を更新することで、AWS::Config::ResourceCompliance設定レコーダーのコストに影響を与える可能性があります。更新は、 AWS Config ルールに関連付けられた Security Hub コントロールがコンプライアンス状態を変更する、有効または無効になる、またはパラメータが更新されるたびに発生する可能性があります。 AWS Config 設定レコーダーを Security Hub にのみ使用し、他の目的でこの設定項目を使用しない場合は、その記録をオフにすることをお勧めします AWS Config。これにより、 AWS Config
コストを削減できます。Security Hub でセキュリティチェックを行うために AWS::Config::ResourceCompliance を記録する必要はありません。
リソースの記録に関連するコストの詳細については、「AWS Security Hub の料金
