セキュリティスコアの計算 - AWS Security Hub
セキュリティスコアの計算方法管理者アカウントのセキュリティスコア集約リージョンを設定している場合のセキュリティスコア

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティスコアの計算

Security Hub コンソールの [概要] ページと [コントロール] ページには、有効になっているすべての標準のセキュリティスコアの概要が表示されます。[セキュリティ基準] ページで、Security Hub は有効な標準別に 0〜100% のセキュリティスコアをも表示します。

Security Hub を初めて有効にすると、Security Hub は、Security Hub コンソールの [概要] ページまたは [セキュリティ基準] ページへの最初のアクセスから 30 分以内にセキュリティスコアの概要と標準のセキュリティスコアを計算します。スコアは、これらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。現在有効になっている標準のリストを表示するには、 GetEnabledStandardsAPIオペレーションを呼び出します。さらに、 AWS Config スコアを表示するには、 リソースの記録を設定する必要があります。セキュリティスコアの概要は、標準のセキュリティスコアの平均値です。

最初のスコア生成の後、Security Hub はセキュリティスコアを 24 時間ごとに更新します。Security Hub には、セキュリティスコアが最後に更新されたときの時刻が表示されます。

注記

中国リージョンおよび で初めてのセキュリティスコアが生成されるまでに、最大 24 時間かかる場合があります。 AWS GovCloud (US) Region.

統合コントロールの検出結果を有効にしている場合、セキュリティスコアが更新されるまで、最大 24 時間かかります。さらに、新しい集約リージョンの有効化や、リンクされたリージョンの更新を行うと、既存のセキュリティスコアがリセットされます。Security Hub では、更新されたリージョンのデータを含む新しいセキュリティスコアを生成するまでに、最大 24 時間かかります。

セキュリティスコアの計算方法

セキュリティスコアは、有効になっているコントロールのうち、合格の状態にあるコントロールの割合を示します。スコアは、小数点以下を最も近い整数に四捨五入したパーセンテージで表示されます。

Security Hub は、有効なすべての標準でセキュリティスコアの要約を計算します。Security Hub では、有効な標準ごとにセキュリティ スコアも計算されます。スコアの計算に使用可能なコントロールには、[合格][失敗]、および [不明] のステータスが付いたコントロールが含まれます。ステータスが [データなし] のコントロールはスコア計算から除外されます。

Security Hub は、コントロールステータスを計算するときに、アーカイブされた検出結果と抑制された検出結果を無視します。これはセキュリティスコアに影響する可能性があります。例えば、あるコントロールで失敗した検出結果をすべて抑制すると、そのステータスは「合格」になり、セキュリティスコアが向上する可能性があります。コントロールステータスの詳細については、Security Hub でのコンプライアンスステータスとコントロールステータスの評価 を参照してください。

スコアリングの例:

標準 合格コントロール 失敗コントロール 未知のコントロール 標準スコア

AWS Foundational Security Best Practices v1.0.0

168

22

0

88%

CIS AWS Foundations Benchmark v1.4.0

8

29

0

22%

CIS AWS Foundations Benchmark v1.2.0

6

35

0

15%

NIST 特別刊行物 800-53 リビジョン 5

159

56

0

74%

PCI DSS v3.2.1

28

17

0

62%

セキュリティスコアの概要を計算する際、Security Hub は各コントロールを標準全体で一度だけカウントします。例えば、有効な 3 つの標準に適用されるコントロールを有効にした場合、スコアの対象となるのは有効な 1 つのコントロールとしてのみカウントされます。

この例の場合、有効になっている標準全体で有効になっているコントロールの総数は 528 ですが、Security Hub は各固有のコントロールをスコア対象として、1 回だけカウントします。有効になっている固有のコントロール数は 528 よりもおそらく少ないはずです。有効になっている固有のコントロール数が 515 で、通過した固有のコントロール数が 357 であると仮定すると、概要スコアは 69% になります。このスコアは、通過した固有のコントロール数を、有効なコントロールの総数 で割って計算されます。

現在のリージョンのアカウントで有効化した標準が 1 つのみの場合でも、概要スコアが標準セキュリティスコアと異なる可能性があります。これは、管理者アカウントにサインインしており、メンバーアカウントが追加の標準または異なる標準を有効化している場合に発生することがあります。また、集約リージョンのスコアを表示しており、リンクされたリージョンで追加の標準または異なる標準が有効化されている場合にも発生することがあります。

管理者アカウントのセキュリティスコア

管理者アカウントにログインしている場合、概要セキュリティスコアと標準スコアは、管理者アカウントおよびメンバーアカウントのすべてのコントロールステータスを考慮したものになります。

1 つのメンバーアカウントでコントロールのステータスが [失敗] の場合、管理者アカウントのステータスは [失敗] となり、管理者アカウントのスコアに影響を与えます。

管理者アカウントにログインしていて、集約リージョンを考慮したものになっている場合、セキュリティスコアは、すべてのメンバーアカウントおよびリンクされているすべてのリージョンを考慮したものになります。

集約リージョンを設定している場合のセキュリティスコア

集計を設定している場合 AWS リージョン、概要セキュリティスコアと標準スコアは、すべての のコントロールステータスを考慮します。
 リンクされたリージョン。

制御のステータスが 1 つのリンクされたリージョンでも [失敗] の場合、そのステータスは集約リージョンで [失敗] となり、集約リージョンスコアに影響を与えます。

管理者アカウントにログインしていて、集約リージョンを考慮したものになっている場合、セキュリティスコアは、すべてのメンバーアカウントおよびリンクされているすべてのリージョンを考慮したものになります。