翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Systems Manager の Security Hub CSPM コントロール
これらの AWS Security Hub CSPM コントロールは、 AWS Systems Manager (SSM) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。
## [SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager
**関連する要件:** PCI DSS v3.2.1/2.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(2)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SA-15(2)、NIST.800-53.r5 SA-15(8)、NIST.800-53.r5 SA-3、NIST.800-53.r5 SI-2(3)
**カテゴリ:** 識別 > インベントリ
**重要度:** 中
**評価されたリソース:** `AWS::EC2::Instance`
**必要な AWS Config 記録リソース:** `AWS::EC2::Instance`、 `AWS::SSM::ManagedInstanceInventory`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、アカウントで停止および実行中の EC2 インスタンスが によって管理されているかどうかを確認します AWS Systems Manager。Systems Manager AWS のサービス は、 AWS インフラストラクチャの表示と制御に使用できる です。
セキュリティとコンプライアンスを維持するために、Systems Manager は停止中および実行中のマネージドインスタンスをスキャンします。マネージドインスタンスとは、Systems Manager で使用するために設定されたマシンです。Systems Manager が検出したポリシー違反について報告または是正処置を講じます。Systems Manager は、マネージドインスタンスを設定して維持するのにも役立ちます。詳細については、[AWS Systems Manager ユーザーガイド](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)を参照してください。
**注記**
このコントロールは、 によって管理される AWS Elastic Disaster Recovery レプリケーションサーバーインスタンスである EC2 インスタンスの検出`FAILED`結果を生成します AWS。レプリケーションサーバーインスタンスは、ソースサーバーからの継続的なデータレプリケーション AWS Elastic Disaster Recovery をサポートするために によって自動的に起動される EC2 インスタンスです。 AWS は、これらのインスタンスから Systems Manager (SSM) エージェントを意図的に削除して分離を維持し、意図しないアクセスパスの可能性を防止します。
### 修正
を使用した EC2 インスタンスの管理の詳細については AWS Systems Manager、*AWS Systems Manager 「 ユーザーガイド*」の[Amazon EC2 ホスト管理](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html)」を参照してください。 AWS Systems Manager コンソールの**「設定オプション**」セクションで、デフォルト設定のままにするか、必要に応じて設定を変更できます。
## [SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります
**関連する要件:** NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、NIST.800-171.r2 3.7.1、PCI DSS v3.2.1/6.2、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3
**カテゴリ:** 検出 > 検出サービス
**重要度:** 高
**リソースタイプ :** `AWS::SSM::PatchCompliance`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、インスタンスへのパッチインストール後、Systems Manager パッチコンプライアンスのコンプライアンスステータスが、`COMPLIANT` と `NON_COMPLIANT` のどちらであるかをチェックします。コンプライアンスステータスが `NON_COMPLIANT` の場合、コントロールは失敗します。このコントロールは、Systems Manager Patch Manager によって管理されているインスタンスのみをチェックします。
組織の要求に応じて EC2 インスタンスにパッチを適用すると、 AWS アカウントのアタックサーフェスが低減されます。
### 修正
Systems Manager では、[パッチポリシー](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html)を使用して、マネージドインスタンスのパッチ適用を設定することを推奨しています。次の手順で説明するように、[Systems Manager のドキュメント](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html)を使用してインスタンスにパッチを適用することもできます。
**非準拠のパッチを修正するには**
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. **[ノード管理]** で、**[コマンドを実行する]** を選択し、**[コマンドを実行する]** を選択します。
1. **AWS-RunPatchBaseline** のオプションを選択します。
1. **[Operation]** (オペレーション) を **[Install]** (インストール) に変更します。
1. **[インスタンスを手動で選択する]** を選択し、非準拠のインスタンスを選択します。
1. **[Run]** (実行) を選択します。
1. コマンドの完了後に、パッチを適用したインスタンスの新しいコンプライアンスステータスをモニタリングするには、ナビゲーションペインで **[コンプライアンス]** を選択します。
## [SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります
**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2(3)、PCI DSS v3.2.1/2.4、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3
**カテゴリ:** 検出 > 検出サービス
**重要度:** 低
**リソースタイプ :** `AWS::SSM::AssociationCompliance`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、 AWS Systems Manager 関連付けコンプライアンスのステータスが であるか`COMPLIANT`、インスタンスで関連付けが実行され`NON_COMPLIANT`た後であるかをチェックします。関連付けのコンプライアンスステータスが `NON_COMPLIANT` の場合、コントロールは失敗します。
State Manager の関連付けは、マネージドインスタンスに割り当てられる設定です。この設定では、インスタンスで維持する状態を定義します。例えば、関連付けでは、アンチウイルスソフトウェアをインスタンス上にインストールして実行する必要があること、または特定のポートを閉じる必要があることを指定できます。
State Manager の関連付けを 1 つまたは複数作成することで、コンプライアンスステータス情報をすぐに表示できるようになります。コンプライアンスステータスは、 コンソールで、または AWS CLI コマンドや対応する Systems Manager API アクションに応じて表示できます。関連付けでは、設定コンプライアンスはコンプライアンスステータスを表示します (`Compliant` または `Non-compliant`)。また、関連付けに割り当てられた `Critical` または `Medium` などの重要度レベルを表示します。
State Manager 関連付けのコンプライアンスの詳細については、「AWS Systems Manager ユーザーガイド」の「[State Manager 関連付けのコンプライアンスについて](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association)」を参照してください。
### 修正
失敗した関連付けは、ターゲットや Systems Manager ドキュメント名など、さまざまなものに関連している可能性があります。この問題を修正するには、まず関連付けの履歴を表示し、関連付けを特定して調査する必要があります。関連付けの履歴を表示するには、「*AWS Systems Manager ユーザーガイド*」の「[関連付けの履歴の表示](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html)」を参照してください。
調査後、関連付けを編集して特定された問題を修正できます。関連付けを編集して、新しい名前やスケジュール、重要度レベル、ターゲットを指定できます。関連付けを編集すると、 は新しいバージョン AWS Systems Manager を作成します。関連付けの編集については、「*AWS Systems Manager ユーザーガイド*」の「[関連付けの編集と新しいバージョンの作成](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html)」を参照してください。
## [SSM.4] SSM ドキュメントはパブリックにしないでください
**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)
**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース
**重要度:** 非常事態
**リソースタイプ :** `AWS::SSM::Document`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)
**スケジュールタイプ :** 定期的
**パラメータ :** なし
このコントロールは、アカウントが所有する AWS Systems Manager ドキュメントがパブリックかどうかをチェックします。所有者として `Self` の Systems Manager ドキュメントがパブリックの場合、このコントロールは失敗します。
パブリックの Systems Manager ドキュメントは、ドキュメントへの意図しないアクセスを許可する場合があります。パブリック Systems Manager ドキュメントは、アカウント、リソース、および内部プロセスに関する貴重な情報を公開する可能性があります。
ユースケースでパブリック共有が必要な場合を除き、`Self` 所有者として Systems Manager ドキュメントのパブリック共有設定をブロックすることを推奨します。
### 修正
Systems Manager ドキュメントの共有の設定については、「*AWS Systems Manager ユーザーガイド*」の「[SSM ドキュメントの共有](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share)」を参照してください。
## [SSM.5] SSM ドキュメントにはタグを付ける必要があります
**カテゴリ:** 識別 > インベントリ > タグ付け
**重要度:** 低
**リソースタイプ :** `AWS::SSM::Document`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)
**スケジュールタイプ :** 変更がトリガーされた場合
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1~6 個のタグキー。 | デフォルト値なし |
このコントロールは、 AWS Systems Manager ドキュメントに `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。ドメインにタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、ドキュメントにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。このコントロールは、Amazon が所有する Systems Manager ドキュメントを評価しません。
タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。
**注記**
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。
### 修正
AWS Systems Manager ドキュメントにタグを追加するには、 AWS Systems Manager API の [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html) オペレーションを使用するか、 を使用している場合は AWS CLI add[add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html) コマンドを実行します。 AWS Systems Manager コンソールを使用することもできます。
## [SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります
**カテゴリ:** 識別 > ログ記録
**重要度:** 中
**リソースタイプ :** `AWS::::Account`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)
**スケジュールタイプ :** 定期的
**パラメータ :** なし
このコントロールはAmazon CloudWatch ログ記録が AWS Systems Manager (SSM) Automation で有効になっているかどうかをチェックします。SSM Automation で CloudWatch ログ記録が有効になっていない場合、コントロールは失敗します。
SSM Automation は、事前定義されたランブックまたはカスタムランブックを使用して、リソースを大規模 AWS にデプロイ、設定、管理するための自動ソリューションを構築するのに役立つ AWS Systems Manager ツールです。組織の運用上またはセキュリティ上の要件を満たすために、実行されるスクリプトの記録が必要となることがあります。ランブック内にある `aws:executeScript` アクションからの出力は、指定した Amazon CloudWatch Logs ロググループに送信するために SSM Automation を設定することができます。CloudWatch Logs を使用すると、さまざまな AWS のサービスからのログファイルについて、モニタリング、保存、アクセスが行えます。
### 修正
SSM Automation で CloudWatch ログ記録を有効にする方法については、「*AWS Systems Manager ユーザーガイド*」の「[CloudWatch Logs を使用した自動アクション出力のログ記録](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html)」を参照してください。
## [SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります
**カテゴリ:** 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース
**重要度:** 非常事態
**リソースタイプ :** `AWS::::Account`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)
**スケジュールタイプ :** 定期的
**パラメータ :** なし
このコントロールは、 AWS Systems Manager ドキュメントでブロックパブリック共有設定が有効になっているかどうかをチェックします。Systems Manager ドキュメントでブロックパブリック共有設定が無効になっていると、コントロールは失敗します。
AWS Systems Manager (SSM) ドキュメントのブロックパブリック共有設定は、アカウントレベルの設定です。この設定を有効にすると、SSM ドキュメントへの不要なアクセスを防止できます。この設定を有効にしても、現在パブリックと共有している SSM ドキュメントには影響しません。ユースケースでパブリック共有を有効にする必要がある場合を除き、設定共有ブロック設定をオンにすることをお勧めします。設定は、それぞれ異なる場合があります AWS リージョン。
### 修正
AWS Systems Manager (SSM) ドキュメントのブロックパブリック共有設定を有効にする方法については、「*AWS Systems Manager ユーザーガイド*」の「[SSM ドキュメントのパブリック共有をブロックする](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access)」を参照してください。