Embed Size (px)
Citation preview
AWS Security Hubユーザーガイド
AWS Security Hub ユーザーガイド
AWS Security Hub: ユーザーガイドCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
AWS Security Hub ユーザーガイド
Table of ContentsAWS Security Hub とは ...................................................................................................................... 1
Security Hub の利点 ................................................................................................................... 1Security Hub の開始方法 ............................................................................................................. 1Security Hub の無料トライアル、使用状況、料金 ............................................................................ 2
使用状況の詳細と見積もりコストの表示 ................................................................................. 2料金詳細の表示 .................................................................................................................. 3
用語と概念 ........................................................................................................................................ 4クォータ ............................................................................................................................................ 7サポートされているリージョン ............................................................................................................. 8
統合はすべてのリージョンでサポートされていません ...................................................................... 8すべてのリージョンでサポートされていないコントロール ................................................................ 8
アフリカ (ケープタウン) ...................................................................................................... 8アジアパシフィック (香港) ................................................................................................... 9ヨーロッパ (ミラノ) ............................................................................................................ 9中東 (バーレーン) ............................................................................................................. 11AWS GovCloud (米国東部) ................................................................................................. 11AWS GovCloud (US-West) ................................................................................................. 12
Security Hub のセットアップ .............................................................................................................. 13必要な IAM ポリシーを IAM アイデンティティ にアタッチする ........................................................ 13Security Hub を有効にする ......................................................................................................... 13
コンソール からの Security Hub の有効化 ............................................................................ 14API の使用による Security Hub の有効化 ............................................................................. 14
Security Hub に割り当てられる、サービスにリンクされたロール ..................................................... 14セキュリティチェックをサポートするための AWS Config の有効化 .................................................. 15
セキュリティ .................................................................................................................................... 16データ保護 ............................................................................................................................... 16Identity and access management ................................................................................................ 17
対象者 ............................................................................................................................. 17アイデンティティを使用した認証 ........................................................................................ 18AWS アカウントのルートユーザー ...................................................................................... 18IAM ユーザーとグループ .................................................................................................... 18IAM ロール ...................................................................................................................... 19ポリシーを使用したアクセスの管理 ..................................................................................... 19AWS Security Hub と IAM の連携 ....................................................................................... 21
コンプライアンス検証 ............................................................................................................... 26インフラストラクチャセキュリティ ............................................................................................. 27
セキュリティハブ へのアクセスの管理 ................................................................................................. 28IAM ポリシーを使用して セキュリティハブ へのアクセス権を IAM アイデンティティに委任する .......... 28
セキュリティハブ に関する AWS 管理 (事前定義) ポリシー ..................................................... 28セキュリティハブ で定義したリソース ................................................................................. 28セキュリティハブ で定義される条件キー .............................................................................. 29
サービスにリンクされたロールの使用 .......................................................................................... 29セキュリティハブ のサービスにリンクされたロールのアクセス許可 ......................................... 30セキュリティハブ のサービスにリンクされたロールの作成 ..................................................... 31セキュリティハブ のサービスにリンクされたロールの編集 ..................................................... 31セキュリティハブ のサービスにリンクされたロールの削除 ..................................................... 31
マスターアカウントとメンバーアカウント ............................................................................................ 33Security Hub コンソールでマスターアカウントとメンバーアカウントを指定する ................................ 33Security Hub API オペレーションでのマスターアカウントとメンバーアカウントの指定 ....................... 35Security Hub でのアカウントとデータ保持 ................................................................................... 35
インサイト ....................................................................................................................................... 37インサイト結果と検出結果の表示 ................................................................................................ 37
インサイト結果の表示とアクションの実行 (コンソール) ......................................................... 37インサイト結果の表示 (API) ............................................................................................... 38
iii
AWS Security Hub ユーザーガイド
インサイト結果の表示 (コンソール) ..................................................................................... 38マネージド型インサイト ............................................................................................................ 38カスタムインサイトの管理 ......................................................................................................... 44
新しいカスタムインサイトの作成 (コンソール) ...................................................................... 45新しいカスタムインサイトの作成 (API) ................................................................................ 45カスタムインサイトの変更 (コンソール) ............................................................................... 45カスタムインサイトの変更 (API) ......................................................................................... 46マネージド型インサイトからの新しいカスタムインサイトの作成 (コンソール) ........................... 46カスタムインサイトの削除 (コンソール) ............................................................................... 47カスタムインサイトの削除 (API) ......................................................................................... 47
結果 ................................................................................................................................................ 48セキュリティハブでの更新プログラムの検索のタイプ .................................................................... 48
BatchImportFindings を使用して結果を作成および更新する .............................................. 49BatchUpdateFindings を使用して結果を更新する ............................................................. 50
結果の表示とアクションの実行 ................................................................................................... 50結果のフィルタリングとグループ化 ..................................................................................... 51結果の詳細の表示 .............................................................................................................. 52検索のワークフローステータスの設定 .................................................................................. 53カスタムアクションに結果を送信する .................................................................................. 53
Finding 形式 ............................................................................................................................. 54ASFF 構文 ....................................................................................................................... 54ASFF の属性 .................................................................................................................... 61ASFF のタイプ分類 ......................................................................................................... 127
製品の統合 ..................................................................................................................................... 130製品統合の管理 ....................................................................................................................... 130
統合のリストの表示とフィルター処理 ................................................................................ 130統合の有効化 .................................................................................................................. 131統合からの検出結果のフローの無効化と有効化 (コンソール) .................................................. 131統合からの検出のフローの無効化および有効化 (API) ............................................................ 131統合からの調査結果の表示 ................................................................................................ 131
利用可能な AWS のサービスの統合 ........................................................................................... 132利用可能なサードパーティーパートナー製品の統合 ...................................................................... 133カスタム製品統合の使用 ........................................................................................................... 139
カスタムセキュリティ製品からの結果の送信に関する要件と推奨事項 ..................................... 139カスタム製品からの検出結果の更新 ................................................................................... 140カスタム統合の例 ............................................................................................................ 140
セキュリティ標準 ............................................................................................................................ 141セキュリティチェックを実行するための AWS Config の要件 ......................................................... 141
セキュリティハブ に対する AWS Config の有効化 ............................................................... 141セキュリティハブ がセキュリティ標準の AWS Config サービスリンクルールを生成する方法 ...... 142
セキュリティチェックの実行スケジュール .................................................................................. 143セキュリティチェックの結果 ..................................................................................................... 143
ASFF の標準関連情報 ...................................................................................................... 143セキュリティ標準検出結果の重要度の決定 .......................................................................... 143その結果からのコントロールの全体的なステータスの特定 ..................................................... 144セキュリティ標準のセキュリティスコアの決定 .................................................................... 145標準関連の結果を更新するための規則 ................................................................................ 145
セキュリティ標準の無効化または有効化 ..................................................................................... 145セキュリティ標準 (コンソール) の無効化 ............................................................................ 146セキュリティ標準 (API) の無効化 ...................................................................................... 146セキュリティ標準 (コンソール) の有効化 ............................................................................ 146セキュリティ標準 (API) の有効化 ...................................................................................... 146
コントロールの詳細の表示 ........................................................................................................ 146有効化された標準のコントロールを表示する ....................................................................... 146コントロールのリストをフィルタリングする ....................................................................... 147コントロールの詳細と結果の表示 ...................................................................................... 147
個々のコントロールの無効化と有効化 ........................................................................................ 148
iv
AWS Security Hub ユーザーガイド
コントロールの無効化 (コンソール) ................................................................................... 148コントロールの有効化 (コンソール) ................................................................................... 148コントロール (API) の無効化または有効化 .......................................................................... 148
CIS AWS Foundations 標準 ...................................................................................................... 149CIS コントロールに必要な AWS Config リソース ................................................................ 149CIS AWS Foundations のコントロール ............................................................................... 149無効にする場合がある CIS AWS Foundations のコントロール ............................................... 190Security Hub でサポートされていない CIS AWS Foundations セキュリティチェック ................. 191
Payment Card Industry Data Security Standard (PCI DSS) ............................................................ 191PCI DSS コントロールに必要な AWS Config リソース ......................................................... 192PCI DSS コントロール .................................................................................................... 192
AWS の基本的なセキュリティのベストプラクティス標準 .............................................................. 231必要な AWS Config リソース ............................................................................................ 232AWS の基本的なセキュリティのベストプラクティスコントロール .......................................... 233
Security Hub を CloudTrail ............................................................................................................... 262CloudTrail 内の Security Hub 情報 ............................................................................................. 262例: Security Hub ログファイルエントリ ...................................................................................... 263
Security Hub を CloudWatch イベント ............................................................................................... 265Security Hub との CloudWatch イベント 統合のタイプ ................................................................. 265
すべての結果 (Security Hub Findings - Imported) ................................................................. 265カスタムアクションの結果 (Security Hub Findings - Custom Action) ....................................... 266カスタムアクションのインサイト結果 (Security Hub Insight Results) ...................................... 266
自動的に CloudWatch イベント に送信される Security Hub 結果に CloudWatch イベント ルールを設定する ................................................................................................................................... 267カスタムアクションを作成し、CloudWatch イベント ルールに関連付ける ....................................... 267Security Hub での CloudWatch イベント の形式 .......................................................................... 269
Security Hub Findings - Imported ...................................................................................... 269Security Hub Findings - Custom Action .............................................................................. 269Security Hub Insight Results ............................................................................................. 270
カスタムアクションを使用して Security Hub の検出結果を CloudWatch イベント に送信する ............. 270AWS Security Hub の無効化 ............................................................................................................. 272ドキュメント履歴 ............................................................................................................................ 273
v
AWS Security Hub ユーザーガイドSecurity Hub の利点
AWS Security Hub とはAWS Security Hub では、AWS のセキュリティ状態を包括的に把握し、セキュリティ業界標準およびベストプラクティスに照らして環境をチェックするのに役立ちます。
Security Hub は、複数の AWS アカウント、サービス、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集して、セキュリティの傾向を分析し、最も優先度の高いセキュリティの問題を特定するのに役立ちます。
トピック• AWS Security Hub の利点 (p. 1)• Security Hub の開始方法 (p. 1)• AWS Security Hub の無料トライアル、使用状況、料金 (p. 2)
AWS Security Hub の利点結果の収集と優先順位付けの労力を削減
Security Hub は、統合 AWS サービスおよび AWS パートナー製品からアカウント間でセキュリティの結果を収集し、優先順位付けする労力を軽減します。
Security Hub は、標準的な結果形式を使用して結果データを処理します。これにより、複数の形式の結果データを管理する必要がなくなります。
その後、Security Hub は、すべてのプロバイダーにおける結果を関連付け、最重要の結果を優先します。
ベストプラクティスと標準に対する自動セキュリティチェック
Security Hub は、AWS のベストプラクティスと業界標準に基づいて、継続的なアカウントレベルの構成とセキュリティチェックを自動的に実行します。
Security Hub は、これらのチェックの結果を準備状況スコアとして提供し、注意の必要な特定のアカウントおよびリソースを特定します。
アカウントとプロバイダーでの結果の統合ビュー
Security Hub は複数のアカウントとプロバイダーの製品間のセキュリティの結果を統合して、SecurityHub コンソールに結果を表示します。
これにより、全体的な現在のセキュリティ状態を表示して、傾向を特定し、潜在的な問題を特定し、必要な修復手順を実行することができます。
結果の修復を自動化する機能
Security Hub で Amazon CloudWatch Events との統合がサポートされます。特定の結果の修復を自動化するために、結果を受け取ったときに実行するカスタムアクションを定義できます。
たとえば、チケット発行システムや自動修復システムに結果を送信するなどのカスタムアクションを設定できます。
Security Hub の開始方法Security Hub は以下の方法で使用できます。
1
AWS Security Hub ユーザーガイドSecurity Hub の無料トライアル、使用状況、料金
Security Hub コンソール
AWS マネジメントコンソール にサインインし、AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。
Security Hub API
Security Hub にプログラムからにアクセスするには、Security Hub API を使用します。これにより、サービスに HTTPS リクエストを直接発行できます。詳細については、「AWS Security Hub APIReference」を参照してください。
Security Hub を有効にすると、有効にした AWS サービス (Amazon GuardDuty、AmazonInspector、Amazon Macie など) からの結果の消費、集約、整理、優先順位付けが開始 されます。また、AWS パートナーのセキュリティ製品との統合を有効にすることもできます。これらのパートナー製品は、結果を Security Hub に送信することもできます。「製品の統合 (p. 130)」を参照してください。
Security Hub は 、AWS ベストプラクティスとサポートされている業界標準に基づいて、継続的な自動セキュリティチェックを実行することによって、独自の結果を生成します。「セキュリティ標準 (p. 141)」を参照してください。
Security Hub は、次に、プロバイダー間で結果を関連づけて統合し、最も重要な結果の優先順位付けを行います。結果の表示および管理については、the section called “結果の表示とアクションの実行” (p. 50)を参照してください。
Security Hub にインサイトを作成することもできます。インサイトは、[Group by (グループか)] フィルターを適用した場合にグループ化された検出結果のコレクションです。インサイトは修復が必要になる可能性がある一般的なセキュリティ上の問題を特定するのに役立ちます。Security Hub には、いくつかのマネージド型インサイトが含まれており、カスタムインサイトを作成することもできます。「インサイト (p. 37)」を参照してください。
Important
Security Hub は、Security Hub を有効にした後に生成された結果のみを検出して統合します。Security Hub を有効化する前に生成されたセキュリティ検出結果をさかのぼって検出したり統合したりすることはありません。Security Hub は、アカウントで有効にした Security Hub リージョンからの結果のみを受け取り、処理します。CIS AWS Foundations Benchmark セキュリティチェックとの完全なコンプライアンスには、すべての AWS リージョンで Security Hub を有効にする必要があります。
AWS Security Hub の無料トライアル、使用状況、料金
初めて Security Hub を有効にすると、AWS アカウントは 30 日 Security Hub 無料トライアルで自動的に登録されます。
無料トライアル期間中に Security Hub を使用する場合、AWS Config アイテムなどの Security Hub がやり取りする他のサービスについては使用量に応じて課金されます。Security Hub セキュリティ標準によって有効化されている AWS Config ルールに課金されることはありません。
無料トライアルが終了するまで、Security Hub の使用に対して課金されることはありません。
使用状況の詳細と見積もりコストの表示Security Hub は、使用に関する概算の 30 日間のコストなど、Security Hub の使用に関する情報を提供します。使用状況の詳細には、無料トライアルの残り時間が含まれます。無料トライアル中、使用状況に関する情報により、無料トライアル終了後の Security Hub のコストを理解できます。
2
AWS Security Hub ユーザーガイド料金詳細の表示
使用状況の情報を表示するには
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. ナビゲーションペインで [ Settings] を選択します。3. [設定] ページで、[使用状況] を選択します。
予想される月額コストは、30 日間に推定される結果とセキュリティチェックに使用される Security Hubの使用量に基づいています。
マスターアカウントの Security Hub を使用している場合、予想される月額コストにはすべてのメンバーアカウントに関連するコストが含まれています。
メンバーアカウントの Security Hub を使用している場合は、予想される月額コストは、メンバーアカウントのみです。
見積もり月額料金は、現在のリージョンに対するもののみです。Security Hub が有効になっているすべてのリージョンに対するものではありません。
料金詳細の表示取得した結果とセキュリティチェックの Security Hub 料金の詳細については、Security Hub 料金表を参照してください。
3
AWS Security Hub ユーザーガイド
用語と概念このトピックでは、使用開始に役立つ AWS Security Hub の主要な概念について説明します。
アカウント
AWS リソースを含む標準の Amazon Web Services (AWS) アカウント。アカウントを使用して AWSにサインインし、Security Hub を有効にできます。
他のアカウントを招待して、Security Hub を有効にし、Security Hub のアカウントに関連付けることもできます。招待が受け入れられると、アカウントは Security Hub のマスターアカウントとして指定され、これに追加されたアカウントはメンバーアカウントになります。マスターアカウントを使用すると、メンバーアカウントの結果を表示できます。
アカウントは、同時に Security Hub マスターアカウントとメンバーアカウントの両方になることはできません。アカウントで承諾できるメンバーシップの招待は 1 つのみです。メンバーシップの招待の承諾はオプションです。
詳細については、「AWS Security Hub のマスターアカウントとメンバーアカウント (p. 33)」を参照してください。
アーカイブされた検出結果
RecordState が ARCHIVED に設定されている結果。
プロバイダを検索すると、Security Hub API の BatchImportFindings オペレーションを使用して、作成した結果をアーカイブできます。Security Hub は、関連付けられたリソースが削除された場合に、次のいずれかの基準に基づいて、コントロールの結果を自動的にアーカイブします。• 結果は 3 日間で更新されませんでした。• 関連付けられた AWS Config 評価が NOT_APPLICABLE を返しました。
デフォルトでは、アーカイブされた結果は Security Hub コンソールにある結果リストから除外されます。アーカイブされた結果を含めるようにフィルターを更新できます。
Security Hub API の GetFindings オペレーションは、アクティブな結果とアーカイブされた結果の両方を返します。レコード状態のフィルターを含めることができます。
"RecordState": [ { "Comparison": "EQUALS", "Value": "ARCHIVED" }],
AWS Security Finding 形式
Security Hub が集計または生成する検出結果の内容の標準化された形式。AWS Security Finding 形式では、Security Hub を使用して、セキュリティチェックを実行し、AWS セキュリティサービス、サードパーティーのソリューション、または Security Hub 自体に生成される結果を表示および分析できます。詳細については、「AWS Security Finding 形式 (p. 54)」を参照してください。
管理
情報の機密性、完全性、可用性を保護し、定義された一連のセキュリティ要件を満たすように設計された、情報システムまたは組織に対して規定された保護または対策。セキュリティ標準は、コントロールで構成されます。
4
AWS Security Hub ユーザーガイド
カスタムアクション
選択した結果を CloudWatch イベント に送信するための Security Hub メカニズム。カスタムアクションが Security Hub で作成されます。その後、CloudWatch イベント ルールにリンクされます。このルールは、カスタムアクション ID に関連付けられた結果を受け取ったときに実行する特定のアクションを定義します。カスタムアクションを使用すると、たとえば特定の結果や少数の一連の結果を応答または修復ワークフローに送信できます。詳細については、「the section called “カスタムアクションを作成し、CloudWatch イベント ルールに関連付ける” (p. 267)」を参照してください。
検索
セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコード。
Security Hub での検出結果の詳細については、「結果 (p. 48)」を参照してください。Note
検出結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。検出結果を90 日間以上保存するには、検出結果を Amazon S3 バケットにルーティングする CloudWatch イベント でルールを設定できます。
インサイト
集計ステートメントおよびオプションのフィルターによって定義される関連する結果のコレクションです。インサイトは注意と介入が必要なセキュリティエリアを識別します。Security Hub では、変更できないいくつかのマネージド型 (デフォルト) インサイトを提供します。お使いの Security Hub 環境に固有のセキュリティ上の問題と使用状況を追跡するために、カスタム AWS インサイトを作成することもできます。詳細については、「インサイト (p. 37)」を参照してください。
関連する要件
コントロールにマッピングされる一連の業界または規制要件。ルール
コントロールが遵守されているかどうかを評価するために使用される一連の自動化条件。ルールが評価されると、合格または不合格になります。評価でルールが合格になったか不合格になったかを判断できない場合、ルールは警告状態になります。ルールを評価できない場合、そのルールは使用不可の状態になります。
セキュリティチェック
1 つのリソースに対するルールの特定のポイントインタイム評価。合格、不合格、警告、または使用不可の状態になります。セキュリティチェックを実行すると、検出結果が生成されます。
セキュリティ標準
特性を指定するトピックについてパブリッシュされたステートメント。通常は測定可能で、コントロールの形式であり、コンプライアンスを達成している必要があます。セキュリティ標準は規制の枠組みや、ベストプラクティス、社内のポリシーなどに基づいています。Security Hub のセキュリティ標準の詳細については、「セキュリティ標準 (p. 141)」を参照してください。
ワークフローステータス
検出結果の調査ステータス。Workflow.Status 属性を使用して追跡します。
ワークフローステータスは、初期状態では NEW です。リソース所有者に結果に対するアクションを実行するように通知した場合は、ワークフローステータスを NOTIFIED に設定できます。結果の問題ではなく、アクションを必要としない場合は、ワークフローステータスを SUPPRESSED に設定します。結果を確認して修正したら、ワークフローステータスを RESOLVED に設定します。
デフォルトでは、ほとんどの結果リストには、ワークフローステータスが NEW または NOTIFIED である結果のみが含まれます。コントロールの結果リストには、RESOLVED の結果も含まれます。
GetFindings オペレーションでは、ワークフローステータスのフィルターを含めることができます。
5
AWS Security Hub ユーザーガイド
"WorkflowStatus": [ { "Comparison": "EQUALS", "Value": "RESOLVED" }],
Security Hub コンソールには、結果に対するワークフローステータスを設定するオプションがあります。お客様 (または SIEM、チケット発行、インシデント管理、または SOAR ツール)は、BatchUpdateFindings を使用してワークフローステータスを更新することもできます。
6
AWS Security Hub ユーザーガイド
クォータ次の AWS Security Hub のクォータは 1 リージョンあたりの AWS アカウントごとのものです。
リソース Quota コメント
Security Hub メンバーアカウントの数
1000 各リージョンのアカウント (Security Hub マスターアカウント) ごとに追加できる Security Hub メンバーアカウントの最大数。
これはハードクォータです。許可された Security Hub メンバーアカウント数の増加をリクエストすることはできません。
未処理の SecurityHub の招待の数
1000 各リージョンのアカウント (Security Hub マスターアカウント) ごとに送信できる未処理の Security Hub メンバーアカウントの招待の最大数。
これはハードクォータです。未処理の Security Hub の許可された招待数の増加をリクエストすることはできません。
Security Hub カスタムインサイトの数
100 各リージョンのアカウントごとに作成できるユーザー定義のカスタム Security Hub インサイトの最大数。
これはハードクォータです。許可された Security Hub カスタムインサイト数の増加をリクエストすることはできません。
インサイトの結果の数
100 GetInsightsResults API オペレーションに返される集計結果の最大数。
これはハードクォータです。インサイト結果数の増加をリクエストすることはできません。
7
AWS Security Hub ユーザーガイド統合はすべてのリージョンでサポートされていません
サポートされているリージョンAWS Security Hub が使用可能なリージョンを表示するには、「Security Hub サービスエンドポイント」を参照してください。
統合はすべてのリージョンでサポートされていません
一部のリージョンでは利用できない統合もあります。統合がサポートされていない場合は、[統合] ページに表示されません。
すべてのリージョンでサポートされていないコントロール
以下のリージョンでは、すべての Security Hub コントロールがサポートされていません。各リージョンについて、サポートされていないコントロールをリストに表示します。
アフリカ (ケープタウン)アフリカ (ケープタウン) では、以下のコントロールはサポートされていません。
the section called “CIS AWS Foundations 標準” (p. 149)
the section called “1.4 – アクセスキーは 90 日ごとに更新します。 ” (p. 152)
the section called “1.12 – ルートアカウントキーが存在しないことを確認します” (p. 156)
the section called “1.20 - AWS でインシデントを管理するためのサポートロールが作成されていることを確認します。 ” (p. 159)
the section called “4.1 – どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないようにします ” (p. 188)
the section called “4.2 – どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないようにします ” (p. 189)
the section called “Payment Card Industry Data Security Standard (PCI DSS)” (p. 191)
the section called “[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URLは、OAuth を使用する必要があります” (p. 199)
the section called “[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません” (p. 200)
the section called “[PCI.EC2.1] Amazon EBS スナップショットをパブリックに復元することはできません” (p. 204)
the section called “[PCI.EC2.3] 未使用の EC2 セキュリティグループを削除する必要があります” (p. 207)
8
AWS Security Hub ユーザーガイドアジアパシフィック (香港)
the section called “[PCI.EC2.4] 未使用の EC2 EIP を削除する必要があります” (p. 207)
the section called “[PCI.IAM.1] IAM ルートユーザーアクセスキーが存在してはいけません” (p. 210)
the section called “[PCI.RDS.1] RDS スナップショットではパブリックアクセスを禁止する必要があります” (p. 221)
the section called “[PCI.SSM.1] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります。” (p. 230)
the section called “AWS の基本的なセキュリティのベストプラクティス標準” (p. 231)
the section called “[ACM.1] インポートされた ACM 証明書は、有効期限から 90 日以内に更新する必要があります” (p. 233)
the section called “[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URLは、OAuth を使用する必要があります” (p. 236)
the section called “[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません” (p. 237)
the section called “[EC2.1] Amazon EBS スナップショットは、パブリックであってはなりません。これは誰でも復元できるかどうかによって判断されます” (p. 240)
the section called “[EC2.3] アタッチされた EBS ボリュームは、保管時に暗号化する必要があります” (p. 241)
the section called “[EFS.1] Amazon EFS は、AWS KMS を使用して保管中のファイルデータを 暗号化するように設定する必要があります” (p. 242)
the section called “[ELBv2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります” (p. 243)
the section called “[GuardDuty.1] GuardDuty を有効にする必要があります” (p. 244)
the section called “[IAM.3] IAM ユーザーのアクセスキーは 90 日ごとに更新する必要があります” (p. 247)
the section called “[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません” (p. 249)
the section called “[RDS.1] RDS スナップショットはプライベートである必要があります” (p. 253)
the section called “[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要があります” (p. 256)
the section called “[SSM.2] Systems Manager によって管理されるすべての EC2 インスタンスは、パッチ適用要件に準拠している必要があります。” (p. 260)
アジアパシフィック (香港)アジアパシフィック (香港) では、以下のコントロールはサポートされていません。
the section called “AWS の基本的なセキュリティのベストプラクティス標準” (p. 231)
the section called “[GuardDuty.1] GuardDuty を有効にする必要があります” (p. 244)
ヨーロッパ (ミラノ)ヨーロッパ (ミラノ) では、以下のコントロールはサポートされていません。
9
AWS Security Hub ユーザーガイドヨーロッパ (ミラノ)
the section called “CIS AWS Foundations 標準” (p. 149)
the section called “1.4 – アクセスキーは 90 日ごとに更新します。 ” (p. 152)
the section called “1.20 - AWS でインシデントを管理するためのサポートロールが作成されていることを確認します。 ” (p. 159)
the section called “4.1 – どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないようにします ” (p. 188)
the section called “4.2 – どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないようにします ” (p. 189)
the section called “Payment Card Industry Data Security Standard (PCI DSS)” (p. 191)
the section called “[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URLは、OAuth を使用する必要があります” (p. 199)
the section called “[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません” (p. 200)
the section called “[PCI.EC2.1] Amazon EBS スナップショットをパブリックに復元することはできません” (p. 204)
the section called “[PCI.EC2.3] 未使用の EC2 セキュリティグループを削除する必要があります” (p. 207)
the section called “[PCI.EC2.4] 未使用の EC2 EIP を削除する必要があります” (p. 207)
the section called “[PCI.RDS.1] RDS スナップショットではパブリックアクセスを禁止する必要があります” (p. 221)
the section called “[PCI.SSM.1] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります。” (p. 230)
the section called “AWS の基本的なセキュリティのベストプラクティス標準” (p. 231)
the section called “[ACM.1] インポートされた ACM 証明書は、有効期限から 90 日以内に更新する必要があります” (p. 233)
the section called “[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URLは、OAuth を使用する必要があります” (p. 236)
the section called “[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません” (p. 237)
the section called “[EC2.1] Amazon EBS スナップショットは、パブリックであってはなりません。これは誰でも復元できるかどうかによって判断されます” (p. 240)
the section called “[EC2.3] アタッチされた EBS ボリュームは、保管時に暗号化する必要があります” (p. 241)
the section called “[EFS.1] Amazon EFS は、AWS KMS を使用して保管中のファイルデータを 暗号化するように設定する必要があります” (p. 242)
the section called “[ELBv2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります” (p. 243)
the section called “[GuardDuty.1] GuardDuty を有効にする必要があります” (p. 244)
10
AWS Security Hub ユーザーガイド中東 (バーレーン)
the section called “[IAM.3] IAM ユーザーのアクセスキーは 90 日ごとに更新する必要があります” (p. 247)
the section called “[RDS.1] RDS スナップショットはプライベートである必要があります” (p. 253)
the section called “[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要があります” (p. 256)
the section called “[SSM.2] Systems Manager によって管理されるすべての EC2 インスタンスは、パッチ適用要件に準拠している必要があります。” (p. 260)
中東 (バーレーン)中東 (バーレーン) では、以下のコントロールはサポートされていません。
the section called “AWS の基本的なセキュリティのベストプラクティス標準” (p. 231)
the section called “[GuardDuty.1] GuardDuty を有効にする必要があります” (p. 244)
the section called “[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要があります” (p. 256)
the section called “[SSM.2] Systems Manager によって管理されるすべての EC2 インスタンスは、パッチ適用要件に準拠している必要があります。” (p. 260)
AWS GovCloud (米国東部)AWS GovCloud (米国東部) では、以下のコントロールはサポートされていません。
the section called “CIS AWS Foundations 標準” (p. 149)
the section called “1.13 – 「ルート」アカウントで MFA を有効にします。 ” (p. 157)
the section called “1.14 – 「ルート」アカウントで ハードウェア MFA を有効にします ” (p. 157)the section called “Payment Card Industry Data Security Standard (PCI DSS)” (p. 191)
the section called “[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URLは、OAuth を使用する必要があります” (p. 199)
the section called “[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません” (p. 200)
the section called “[PCI.IAM.4] ルートユーザーに対してハードウェア MFA を有効にする必要があります” (p. 214)
the section called “[PCI.IAM.5] ルートユーザーに対して仮想 MFA を有効にする必要があります” (p. 215)
the section called “AWS の基本的なセキュリティのベストプラクティス標準” (p. 231)
the section called “[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URLは、OAuth を使用する必要があります” (p. 236)
the section called “[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません” (p. 237)
the section called “[GuardDuty.1] GuardDuty を有効にする必要があります” (p. 244)
the section called “[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります” (p. 250)
11
AWS Security Hub ユーザーガイドAWS GovCloud (US-West)
AWS GovCloud (US-West)AWS GovCloud (US-West) では、以下のコントロールはサポートされていません。
the section called “CIS AWS Foundations 標準” (p. 149)
the section called “1.13 – 「ルート」アカウントで MFA を有効にします。 ” (p. 157)
the section called “1.14 – 「ルート」アカウントで ハードウェア MFA を有効にします ” (p. 157)the section called “Payment Card Industry Data Security Standard (PCI DSS)” (p. 191)
the section called “[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URLは、OAuth を使用する必要があります” (p. 199)
the section called “[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません” (p. 200)
the section called “[PCI.IAM.4] ルートユーザーに対してハードウェア MFA を有効にする必要があります” (p. 214)
the section called “[PCI.IAM.5] ルートユーザーに対して仮想 MFA を有効にする必要があります” (p. 215)
the section called “AWS の基本的なセキュリティのベストプラクティス標準” (p. 231)
the section called “[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URLは、OAuth を使用する必要があります” (p. 236)
the section called “[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません” (p. 237)
the section called “[GuardDuty.1] GuardDuty を有効にする必要があります” (p. 244)
the section called “[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります” (p. 250)
12
AWS Security Hub ユーザーガイド必要な IAM ポリシーを IAM アイデンティティ にアタッチする
AWS Security Hub のセットアップAWS Security Hub を有効化するには AWS アカウントが必要です。アカウントをお持ちでない場合は、次に説明する手順にしたがってアカウントを作成してください。
AWS にサインアップするには
1. https://portal.aws.amazon.com/billing/signup を開きます。2. オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて確認コードを入力することが求められます。
必要な IAM ポリシーを IAM アイデンティティ にアタッチする
Security Hub を有効にするために使用する IAM アイデンティティ (ユーザー、ロール、またはグループ) には、必須のアクセス許可が必要です。
Security Hub を有効にするために必要なアクセス許可を付与するには、次のポリシーを IAM ユーザー、グループ、またはロールにアタッチします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ]}
Security Hub を有効にする必要なポリシーを IAM アイデンティティにアタッチした後、そのアイデンティティを使用して SecurityHub を有効にします。
Security Hub は、コンソールまたは API から有効化できます。
13
AWS Security Hub ユーザーガイドコンソール からの Security Hub の有効化
コンソール からの Security Hub の有効化コンソールからセキュリティハブを有効にすると、サポートされているセキュリティ標準を有効にするオプションも表示されます。
Security Hub を有効にするには
1. IAM アイデンティティの認証情報を使用して、Security Hub コンソールにサインインします。2. Security Hub コンソールを初めて開く場合は、 [Get Started (使用を開始)] を選択します。3. ウェルカムページでは、[セキュリティ標準] に Security Hub がサポートするセキュリティ標準が一覧
表示されます。
標準を有効にするには、そのチェックボックスをオンにします。
標準を無効にするには、そのチェックボックスをオフにします。
標準またはその個々のコントロールは、いつでも有効または無効にできます。セキュリティ標準とその管理方法については、セキュリティ標準 (p. 141) を参照してください。
4. [Enable Security Hub (セキュリティハブの有効化)] を選択します。
API の使用による Security Hub の有効化API からセキュリティハブを有効にするには、EnableSecurityHub オペレーションを使用します。
API からセキュリティハブを有効にすると、これらのセキュリティ標準が自動的に有効になります。
• CIS AWS Foundations 標準• AWS の基本的なセキュリティのベストプラクティス標準
これらの標準を有効にしない場合は、EnableDefaultStandards を false に設定します。
Security Hub を有効にした後、標準を有効にするには、BatchEnableStandards オペレーションを使用します。
標準を無効にするには、BatchDisableStandards オペレーションを使用します。
Security Hub に割り当てられる、サービスにリンクされたロール
Security Hub を有効にすると、AWSServiceRoleForSecurityHub という名前のサービスにリンクされたロールが割り当てられます。このサービスにリンクされたロールには、Security Hub が次の操作を行うのに必要なアクセス許可と信頼ポリシーが含まれます。
• Amazon GuardDuty、Amazon Inspector、および Amazon Macie から結果を検出し集計します• 必要な AWS Config インフラストラクチャを設定し、サポートされている標準 (このリリースでは、CIS
AWS Foundations) のセキュリティチェックを実行します。
AWSServiceRoleForSecurityHub の詳細を表示するには、[Enable Security Hub の有効化] ページの[View service role permissions (サービスロールのアクセス許可の表示)] を選択してください。詳細については、「AWS Security Hub のサービスにリンクされたロールの使用 (p. 29)」を参照してください。
14
AWS Security Hub ユーザーガイドセキュリティチェックをサポートするための AWS Config の有効化
サービスにリンクされたロールの詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの使用」を参照してください。
セキュリティチェックをサポートするための AWSConfig の有効化
コンソールから Security Hub を有効にする場合は、サポートされているセキュリティ標準を有効にするオプションもあります。API から Security Hub を有効にすると、CIS AWS Foundations 標準が自動的に有効になります。
セキュリティ標準のコントロールの多くは、AWS Config サービスレベルルールに依存しています。
いずれかのセキュリティ標準が有効になっている場合は、Security Hub を有効にしたアカウントで AWSConfig を有効にする必要があります。Security Hub マスターアカウントの場合は、このアカウントのSecurity Hub メンバーアカウントごとに AWS Config を有効にする必要があります。
Security Hub は AWS Config を管理しません。すでに AWS Config が有効になっている場合は、引き続きAWS Config コンソールまたは API を介してその設定を設定します。
AWS Config が有効になっていない場合は、手動で有効にするか、AWS CloudFormation StackSets サンプルテンプレートの AWS CloudFormation「AWS Config テンプレートの有効化」を使用して有効にできます。Security Hub マルチアカウント、マルチリージョンの有効化スクリプトを使用すると、AWS Configも有効になります。
Important
AWS Config レコーダーを有効にする場合は、指定されたリージョンで、グローバルリソースを含む、サポートされているすべてのリソースを記録することを選択します。
詳細については、AWS Config Developer Guide の「AWS Config の開始方法」を参照してください。
15
AWS Security Hub ユーザーガイドデータ保護
AWS Security Hub でのセキュリティAWS では、クラウドのセキュリティが最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャから利点を得られます。
セキュリティは、AWS とお客様の間の共有責任です。共有責任モデルでは、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。
• クラウドのセキュリティ – AWS は、AWS クラウド内で AWS サービスを実行するインフラストラクチャを保護する責任を担います。また、AWS は、使用するサービスを安全に提供します。AWS コンプライアンスプログラムの一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。AWS Security Hub に適用するコンプライアンスプログラムの詳細については、「コンプライアンスプログラムによる対象範囲の AWS のサービス」を参照してください。
• クラウド内のセキュリティ – お客様の責任はお客様が使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、企業の要件、および適用可能な法律および規制などの他の要因についても責任を担います。
このドキュメントは、セキュリティハブ を使用する際に共有責任モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために セキュリティハブ を設定する方法を示します。また、セキュリティハブ リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
トピック• AWS Security Hub でのデータ保護 (p. 16)• AWS Security Hub の Identity and Access Management (p. 17)• AWS Security Hub のコンプライアンス検証 (p. 26)• AWS Security Hub でのインフラストラクチャセキュリティ (p. 27)
AWS Security Hub でのデータ保護セキュリティハブ は、マルチテナントサービス提供タイプです。データ保護を確実に行うために、セキュリティハブ は保管中のデータとコンポーネントサービス間で転送中のデータを暗号化します。
AWS Security Hub は、データ保護の規制やガイドラインを含む AWS 責任共有モデルに準拠しています。AWS は、AWS のすべてのサービスを実行するグローバルなインフラストラクチャを保護する責任を担います。また、AWS は、カスタマーコンテンツおよび個人データを取り扱うためのセキュリティ構成の統制など、このインフラストラクチャ上でホストされるデータ管理を維持します。データコントローラーまたはデータプロセッサーとして機能する、AWS のお客様および APN パートナーは、AWS クラウドに保存された個人データに対する責任を担います。
データ保護目的の場合、AWS アカウント認証情報を保護して IAM (AWS Identity and AccessManagement) で個々のユーザーアカウントをセットアップし、そのユーザーに各自の職務を果たすために必要なアクセス許可のみが付与されるようにすることをお勧めします。また、以下の方法でデータを保護することをお勧めします。
• 各アカウントで多要素認証 (MFA) を使用します。• SSL/TLS を使用して AWS リソースと通信します。• AWS CloudTrail で API とユーザーアクティビティログをセットアップします。
16
AWS Security Hub ユーザーガイドIdentity and access management
• AWS 暗号化ソリューションを、AWS サービス内のすべてのデフォルトのセキュリティ管理と一緒に使用します。
• Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これにより、Amazon S3に保存される個人データの検出と保護が支援されます。
顧客のアカウント番号などの機密の識別情報は、[名前] フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK で セキュリティハブ または他の AWS サービスを使用する場合も同様です。セキュリティハブ または他のサービスに入力したデータはすべて、診断ログの内容として取得される可能性があります。外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。
データ保護の詳細については、AWS セキュリティブログのブログ投稿「AWS の責任共有モデルとGDPR」を参照してください。
AWS Security Hub の Identity and AccessManagement
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全にコントロールするために役立つ AWS のサービスです。IAM 管理者は、Security Hub リソースを使用するために認証 (サインイン) および承認 (アクセス許可を持つ) される者を制御します。IAM は、追加料金なしで使用できる AWS のサービスです。
トピック• 対象者 (p. 17)• アイデンティティを使用した認証 (p. 18)• AWS アカウントのルートユーザー (p. 18)• IAM ユーザーとグループ (p. 18)• IAM ロール (p. 19)• ポリシーを使用したアクセスの管理 (p. 19)• AWS Security Hub と IAM の連携 (p. 21)
対象者AWS Identity and Access Management (IAM) の用途は、Security Hub で行う作業によって異なります。
サービスユーザー – ジョブを実行するために Security Hub サービスを使用する場合は、管理者が必要なアクセス許可と認証情報を用意します。作業を実行するためにさらに多くの Security Hub 機能を使用するとき、追加のアクセス許可が必要になる場合があります。アクセスの管理方法を理解すると、管理者から適切なアクセス許可をリクエストするのに役に立ちます。Security Hub の機能にアクセスできない場合は、「AWS Security Hub Identity and Access のトラブルシューティング (p. 25)」を参照してください。
サービス管理者 – 社内の Security Hub リソースを担当している場合は、おそらく Security Hub へのフルアクセスがあります。従業員がどの Security Hub 機能とリソースアクセスする必要があるかを決定するのは管理者の仕事です。その後で、サービスユーザーのアクセス許可を変更するために、IAM 管理者にリクエストを送信する必要があります。IAM の基本概念については、このページの情報を確認します。お客様の会社で Security Hub の IAM を利用する方法の詳細については、「AWS Security Hub と IAM の連携 (p. 21)」を参照して ください。
IAM 管理者 – IAM 管理者は、Security Hub へのアクセスを管理するポリシーの作成方法の詳細について確認する場合があります。IAM で使用できる Security Hub アイデンティティベースのポリシーの例を表示するには、「AWS Security Hub アイデンティティベースのポリシーの例 (p. 23)」を参照して ください。
17
AWS Security Hub ユーザーガイドアイデンティティを使用した認証
アイデンティティを使用した認証認証は、アイデンティティ認証情報を使用して AWS にサインインする方法です。AWS マネジメントコンソール を使用するサインインの詳細については、IAM ユーザーガイド の「IAM コンソールとサインインページ」を参照してください。
AWS アカウントのルートユーザー、IAM ユーザーとして、または IAM ロールを引き受けて、認証されている (AWS にサインインしている) 必要があります。会社のシングルサインオン認証を使用することも、Google や Facebook を使用してサインインすることもできます。このような場合、管理者は以前にIAM ロールを使用して ID フェデレーションを設定しました。他の会社の認証情報を使用して AWS にアクセスした場合、ロールを間接的に割り当てられています。
AWS マネジメントコンソール へ直接サインインするには、ルートユーザー E メールまたは IAM ユーザー名とパスワードを使用します。ルートユーザー または IAM を使用して AWS にプログラム的にアクセスできます。AWS では、SDK とコマンドラインツールを提供して、お客様の認証情報を使用して、リクエストに暗号で署名できます。AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。これには、インバウンド API リクエストを認証するためのプロトコル、署名バージョン 4 を使用します。リクエストの認証の詳細については、AWS General Referenceの「署名バージョン 4 の署名プロセス」を参照してください。
使用する認証方法を問わず、追加のセキュリティ情報の提供を要求される場合もあります。たとえば、AWS では多要素認証 (MFA) を使用してアカウントのセキュリティを高めることを推奨しています。詳細については、IAM ユーザーガイドの「AWS のデバイスに多要素認証 (MFA) を使用」を参照してください。
AWS アカウントのルートユーザーAWS アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティはAWS アカウント ルートユーザー と呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでのサインインによりアクセスします。強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためだけに ルートユーザー を使用するというベストプラクティスに従います。その後、ルートユーザー認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。
IAM ユーザーとグループIAM ユーザーは、単一のユーザーまたはアプリケーションに特定のアクセス許可がある AWS アカウント内のアイデンティティです。IAM ユーザーは、ユーザー名とパスワード、アクセスキーのセットなど、長期的な認証情報を持つことができます。アクセスキーを生成する方法の詳細については、IAM ユーザーガイド の「IAM ユーザーのアクセスキーの管理」を参照してください。IAM ユーザーにアクセスキーを生成するとき、必ずキーペアを表示して安全に保存してください。後になって、シークレットアクセスキーを回復することはできません。新しいアクセスキーペアを生成する必要があります。
IAM グループは、IAM ユーザーのコレクションを指定するアイデンティティです。グループとしてサインインすることはできません。グループを使用して、一度に複数のユーザーに対してアクセス許可を指定できます。多数の組のユーザーがある場合、グループを使用すると管理が容易になります。たとえば、IAMAdmin という名前のグループを設定して、そのグループに IAM リソースを管理するアクセス許可を与えることができます。
ユーザーは、ロールとは異なります。ユーザーは 1 人の特定の人またはアプリケーションに一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。ユーザーには永続的な長期の認証情報がありますが、ロールでは一時的な認証情報が利用できます。詳細については、IAMユーザーガイド の「IAM ユーザーの作成が適している場合 (ロールではなく)」を参照してください。
18
AWS Security Hub ユーザーガイドIAM ロール
IAM ロールIAM ロールは、特定のアクセス許可を持つ、AWS アカウント内のアイデンティティです。これは IAMユーザーに似ていますが、特定のユーザーに関連付けられていません。ロールを切り替えて、AWS マネジメントコンソール で IAM ロールを一時的に引き受けることができます。ロールを引き受けるには、AWSCLI または AWS API オペレーションを呼び出すか、カスタム URL を使用します。ロールを使用する方法の詳細については、IAM ユーザーガイド の「IAM ロールの使用」を参照してください。
IAM ロールと一時的な認証情報は、次の状況で役立ちます。
• 一時的な IAM ユーザーアクセス許可 – IAM ユーザーは、特定のタスクに対して複数の異なるアクセス許可を一時的に IAM ロールで引き受けることができます。
• フェデレーティッドユーザーアクセス – IAM ユーザーを作成する代わりに、AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダーに既存のアイデンティティを使用できます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWS では、ID プロバイダーを通じてアクセスがリクエストされたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、IAM ユーザーガイドの「フェデレーティッドユーザーとロール」を参照してください。
• クロスアカウントアクセス – IAM ロールを使用して、自分のアカウントのリソースにアクセスすることを別のアカウントの信頼済みプリンシパルに許可できます。ロールは、クロスアカウントアクセスを許可する主な方法です。ただし、一部の AWS のサービスでは、(ロールをプロキシとして使用する代わりに) リソースにポリシーを直接アタッチできます。クロスアカウントアクセスでのロールとリソースベースのポリシーの違いの詳細については、IAM ユーザーガイド の「IAM ロールとリソースベースのポリシーとの相違点」を参照してください。
• AWS サービスアクセス – サービスロールは、サービスがお客様に代わってお客様のアカウントでアクションを実行するために引き受ける IAM ロールです。一部の AWS のサービス環境を設定するときに、サービスが引き受けるロールを定義する必要があります。このサービスロールには、サービスが必要とする AWS のリソースにサービスがアクセスするために必要なすべてのアクセス権限を含める必要があります。サービスロールはサービスによって異なりますが、多くのサービスロールでは、そのサービスの文書化された要件を満たしている限り、アクセス権限を選択することができます。サービスロールは、お客様のアカウント内のみでアクセスを提供します。他のアカウントのサービスへのアクセス権を付与するためにサービスロールを使用することはできません。IAM 内部からロールを作成、修正、削除できます。たとえば、Amazon Redshift がお客様に代わって Amazon S3 バケットにアクセスし、バケットからデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、IAM ユーザーガイドのAWS サービスにアクセス権限を委任するロールの作成を参照してください。
• Amazon EC2で実行されているアプリケーション – IAM ロールを使用して、EC2 インスタンスで実行され、AWS CLI または AWS API リクエストを作成しているアプリケーションの一時的な認証情報を管理できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールを EC2インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時認証情報を取得することができます。詳細については、IAM ユーザーガイドの「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス権限を付与する」を参照してください。
IAM ロールを使用するべきかどうかについては、IAM ユーザーガイド の「IAM ロール (ユーザーではない)の作成が適している場合」を参照してください。
ポリシーを使用したアクセスの管理AWS でアクセスをコントロールするには、ポリシーを作成して IAM アイデンティティや AWS リソースにアタッチします。ポリシーは AWS のオブジェクトであり、アイデンティティやリソースに関連付けて、これらのアクセス許可を定義します。AWS は、エンティティ (ルートユーザー、IAM ユーザーまたはIAM ロール) によってリクエストが行われると、それらのポリシーを評価します。ポリシーでのアクセス
19
AWS Security Hub ユーザーガイドポリシーを使用したアクセスの管理
許可により、リクエストが許可されるか拒否されるかが決まります。大半のポリシーは JSON ドキュメントとして AWS に保存されます。JSON ポリシードキュメントの構造と内容の詳細については、IAM ユーザーガイド の「JSON ポリシー概要」を参照してください。
IAM 管理者は、ポリシーを使用して、AWS リソースへのアクセスを許可するユーザーと、これらのリソースで実行できるアクションを指定できます。すべての IAM エンティティ (ユーザーまたはロール) は、アクセス許可のない状態からスタートします。言い換えると、デフォルト設定では、ユーザーは何もできず、自分のパスワードを変更することすらできません。何かを実行するアクセス許可をユーザーに付与するには、管理者がユーザーにアクセス許可ポリシーをアタッチする必要があります。また、管理者は、必要なアクセス許可があるグループにユーザーを追加できます。管理者がグループにアクセス許可を付与すると、そのグループ内のすべてのユーザーにこれらのアクセス許可が付与されます。
IAM ポリシーは、オペレーションの実行方法を問わず、アクションのアクセス許可を定義します。たとえば、iam:GetRole アクションを許可するポリシーがあるとします。このポリシーがあるユーザーは、AWS マネジメントコンソール、AWS CLI、または AWS API からロールの情報を取得できます。
アイデンティティベースのポリシーアイデンティティベースのポリシーは、IAM ユーザー、ロール、グループなどのアイデンティティにJSON ドキュメントとしてアタッチできるアクセス許可ポリシーです。これらのポリシーは、アイデンティティが実行できるアクション、リソース、および条件を制御します。アイデンティティベースのポリシーを作成する方法については、IAM ユーザーガイド の「IAM ポリシー の 作成」を参照してください 。
アイデンティティベースのポリシーは、さらにインラインポリシーまたは管理ポリシーに分類できます。インラインポリシーは、単一のユーザー、グループ、またはロールに直接埋め込まれています。管理ポリシーは、AWS アカウント内の複数のユーザー、グループ、およびロールにアタッチできるスタンドアロンポリシーです。管理ポリシーには、AWS 管理ポリシーとカスタマー管理ポリシーが含まれます。管理ポリシーまたはインラインポリシーのいずれかを選択する方法については、IAM ユーザーガイド の「管理ポリシーとインラインポリシーの比較」を参照してください。
リソースベースのポリシーリソースベースのポリシーは、Amazon S3 バケットなどのリソースにアタッチする JSON ポリシードキュメントです。サービス管理者は、これらのポリシーを使用して、特定のプリンシパル (アカウントメンバー、ユーザー、またはロール) がそのリソースに対して実行する条件およびアクションを定義することができます。リソースベースのポリシーはインラインポリシーです。マネージド型のリソースベースのポリシーはありません。
その他のポリシータイプAWS では、別のあまり一般的ではないポリシータイプもサポートしています。これらのポリシータイプでは、より一般的なポリシータイプで付与された最大のアクセス許可を設定できます。
• アクセス許可の境界 – アクセス許可の境界は、アイデンティティベースのポリシーが IAM エンティティ(IAM ユーザーまたはロール) に付与できるアクセス許可の上限を設定する高度な機能です。エンティティのアクセス許可の境界を設定できます。結果として得られるアクセス許可は、エンティティの IDベースのポリシーとそのアクセス許可の境界の共通部分です。Principal フィールドでユーザーまたはロールを指定するリソースベースのポリシーは、アクセス許可の境界では制限されません。これらのポリシーのいずれかを明示的に拒否した場合、その許可は無効になります。アクセス許可の境界の詳細については、IAM ユーザーガイド の「IAM エンティティのアクセス許可の境界」を参照してください。
• サービスコントロールポリシー (SCP) – SCP は、AWS Organizations で 組織や組織単位 (OU) に最大権限を指定する JSON ポリシーです。AWS Organizations は、お客様のビジネスが所有する複数の AWSアカウントをグループ化し、一元的に管理するサービスです。組織内のすべての機能を有効にすると、サービス制御ポリシー (SCP) を一部またはすべてのアカウントに適用できます。SCP はメンバーアカウントのエンティティに対するアクセス許可を制限します (各 AWS アカウントのルートユーザー など)。組織 および SCP の詳細については、AWS Organizations ユーザーガイド の「SCP の動作」を参照してください。
20
AWS Security Hub ユーザーガイドAWS Security Hub と IAM の連携
• セッションポリシー – セッションポリシーは、ロールまたはフェデレーティッドユーザーの一時セッションをプログラムで作成する際にパラメータとして渡す高度なポリシーです。結果として得られるセッションのアクセス許可は、ユーザーまたはロールの ID ベースのポリシーとセッションポリシーの共通部分です。また、リソースベースのポリシーからアクセス許可が派生する場合もあります。これらのポリシーのいずれかを明示的に拒否した場合、その許可は無効になります。詳細については、IAM ユーザーガイド の「セッションポリシー」を参照してください。
複数のポリシータイプ1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに複雑になります。複数のポリシータイプが関連するとき、リクエストを許可するかどうかを AWS が決定する方法の詳細については、IAM ユーザーガイド の「ポリシーの評価ロジック」を参照してください。
AWS Security Hub と IAM の連携Security Hub へのアクセスを管理するために IAM 使用する前に、Security Hub で使用できる IAM 機能を理解しておく必要があります。Security Hub およびその他の AWS サービスが IAM と連携する方法の概要を理解するには、IAM ユーザーガイド の「IAM と連携する AWS サービス」を参照してください。
トピック• Security Hub アイデンティティベースのポリシー (p. 21)• Security Hub リソースベースのポリシー (サポートされていません) (p. 22)• Security Hub タグに基づいた承認 (p. 23)• Security Hub IAM ロール (p. 23)• サービスにリンクされたロール (p. 23)• サービスロール (p. 23)• AWS Security Hub アイデンティティベースのポリシーの例 (p. 23)
Security Hub アイデンティティベースのポリシーIAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。Security Hub は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、IAMユーザーガイド の「IAM JSON ポリシーエレメントのリファレンス」を参照してください 。
アクション
IAM アイデンティティベースのポリシーの Action エレメントは、そのポリシーにより許可または拒否される特定のアクションについて説明します。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Security Hub のポリシーアクションは、アクションの前にプレフィックス securityhub: を使用します。たとえば、EnableSecurityHub API オペレーションを使用して セキュリティハブ を有効にするユーザーアクセス許可を付与するには、ユーザーに割り当てられたポリシーにsecurityhub:EnableSecurityHub アクションを含めます。ポリシーステートメントには、Action 要素あるいは NotAction 要素を含める必要があります。Security Hub は、このサービスで実行できるタスクを説明する独自の一連のアクションを定義します。
単一のステートメントに複数のアクションを指定するには、次のようにコンマで区切ります。
"Action": [
21
AWS Security Hub ユーザーガイドAWS Security Hub と IAM の連携
"securityhub:action1", "securityhub:action2"
ワイルドカード (*) を使用して複数のアクションを指定することができます。たとえば、Get という単語で始まるすべてのアクションを指定するには、次の行をポリシーに含めます。
"Action": "securityhub:Get*"
Security Hub のアクションの一覧を表示するには、IAM ユーザーガイド の「Actions Defined by AWSSecurity Hub」を参照してください。
リソース
Resource エレメントは、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ARN を使用して、またはステートメントがすべてのリソースに適用されることを示すワイルドカード (*) を使用して、リソースを指定します。
ARN の形式の詳細については、「Amazon リソースネーム (ARN) と AWS サービスの名前空間」を参照してください。
Security Hub リソースタイプおよびその ARN のリストを表示するには、IAM ユーザーガイド の「Resources Defined by AWS Security Hub」を参照してください。どのアクションで、各リソースのARN を指定することができるかについては、「Actions Defined by AWS Security Hub」を参照してください。
条件キー
Condition エレメント (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Conditionエレメントはオプションです。イコールや以下などの条件演算子を使用する条件式を構築して、リクエスト内に値のあるポリシーの条件に一致させることができます。
1 つのステートメントに複数の Condition エレメントを指定する場合、または 1 つの Condition エレメントに複数のキーを指定する場合、AWS が論理 AND 演算を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS が論理 OR 演算を使用して条件を評価します。ステートメントのアクセス許可が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。たとえば、IAM ユーザー名でタグ付けされている場合のみ、リソースにアクセスする IAM ユーザーアクセス許可を付与できます。詳細については、IAM ユーザーガイド の「IAM ポリシーエレメント: 変数およびタグ」を参照してください。
Security Hub は独自の条件キーを定義し、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイド の「AWS グローバル条件コンテキストキー」を参照してください 。
セキュリティハブ アクションは、securityhub:TargetAccount 条件キーをサポートします。
Security Hub 条件キーのリストを表示するには、IAM ユーザーガイド の「Condition Keys for AWSSecurity Hub」を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、「Actions Defined by AWS Security Hub」を参照してください。
Security Hub リソースベースのポリシー (サポートされていません)セキュリティハブ では、リソースベースのポリシーはサポートされていません。
22
AWS Security Hub ユーザーガイドAWS Security Hub と IAM の連携
Security Hub タグに基づいた承認タグを Security Hub リソースに追加することも、Security Hub へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを制御するには、securityhub:ResourceTag/key-name、aws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。
Security Hub IAM ロールIAM ロールは、特定のアクセス許可を持つ、AWS アカウント内のエンティティです。
Security Hub を使用した一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出します。
Security Hubでは、一時認証情報の使用をサポートしています。
サービスにリンクされたロールサービスにリンクされたロールによって、AWS サービスが他のサービスのリソースにアクセスして自動的にアクションを完了できます。サービスにリンクされたロールは、IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
Security Hub はサービスにリンクされたロールをサポートします。
サービスロールこの機能では、サービスのロールをユーザーに代わって引き受けることをサービスに許可します。このロールにより、サービスはユーザーに代わって他のサービスのリソースにアクセスし、アクションを実行できます。サービスロールは、IAM アカウントに表示され、サービスによって所有されます。つまり、IAM 管理者は、このロールのアクセス許可を変更できます。ただし、これを行うことにより、サービスの機能が損なわれる場合があります。
Security Hub ではサービスロールがサポートされています。
AWS Security Hub アイデンティティベースのポリシーの例デフォルトでは、IAM ユーザーおよびロールには、Security Hub リソースを作成または変更するアクセス許可がありません。また、AWS マネジメントコンソール、AWS CLI、または AWS API を使用してタスクを実行することもできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行するアクセス許可をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらのアクセス権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、IAM ユーザーガイド の「[JSON] タブでのポリシーの 作成」を参照してください。
トピック• ポリシーのベストプラクティス (p. 24)• Security Hub コンソールを使用する (p. 24)• AWS Security Hub Identity and Access のトラブルシューティング (p. 25)
23
AWS Security Hub ユーザーガイドAWS Security Hub と IAM の連携
ポリシーのベストプラクティス
アイデンティティベースのポリシーは非常に強力です。アカウント内で、Security Hub リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションを実行すると、AWS アカウントに追加料金が発生する可能性があります。アイデンティティベースのポリシーを作成または編集するときは、以下のガイドラインと推奨事項に従います。
• AWS 管理ポリシーの使用を開始する – Security Hub の使用をすばやく開始するには、AWS 管理ポリシーを使用して、従業員に必要なアクセス許可を付与します。これらのポリシーはアカウントですでに有効になっており、AWS によって管理および更新されています。詳細については、IAM ユーザーガイドの「AWS 管理ポリシーを使用したアクセス許可の使用開始」を参照してください 。
• 最小権限を付与する – カスタムポリシーを作成するときは、タスクを実行するために必要なアクセス許可のみを付与します。最小限のアクセス権限から開始し、必要に応じて追加のアクセス権限を付与します。この方法は、寛容なアクセス権限で始め、後でそれらを強化しようとするよりも安全です。詳細については、IAM ユーザーガイド の「最小権限を付与する」を参照してください。
• 機密性の高いオペレーションに MFA を有効にする – 追加セキュリティとして、機密性の高リソースまたは API オペレーションにアクセスするために IAM ユーザーに対して、多要素認証 (MFA) の使用を要求します。詳細については、IAM ユーザーガイドの「AWS のデバイスに 多要素認証 (MFA) を使用」を参照してください。
• 追加セキュリティに対するポリシー条件を使用する – 実行可能な範囲内で、アイデンティティベースのポリシーがリソースにアクセスできる条件を定義します。たとえば、要求が発生しなければならない許容 IP アドレスの範囲を指定するための条件を記述できます。指定された日付または時間範囲内でのみリクエストを許可する条件を書くことも、SSL や MFA の使用を要求することもできます。ポリシー要素の詳細については、IAM ユーザーガイド の「IAM JSON ポリシー要素: 条件」を参照してください。
Security Hub コンソールを使用する
AWS Security Hub コンソールにアクセスするには、一連の最小限のアクセス許可が必要です。これらのアクセス許可により、AWS アカウントの Security Hub リソースの詳細をリストおよび表示できます。最小限必要なアクセス許可よりも制限されたアイデンティティベースのポリシーを作成すると、そのポリシーをアタッチしたエンティティ (IAM ユーザーまたはロール) に対してはコンソールが意図したとおりに機能しません。
これらのエンティティが Security Hub コンソールを使用できるように、エンティティに次の AWS 管理対象ポリシーもアタッチします。詳細については、IAM ユーザーガイド の「ユーザーへのアクセス許可の追加」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ]}
24
AWS Security Hub ユーザーガイドAWS Security Hub と IAM の連携
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
AWS Security Hub Identity and Access のトラブルシューティング次の情報は、Security Hub と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。
トピック• Security Hub でアクションの実行を承認されていない (p. 25)• 次のことを実行する権限がない: iam:PassRole (p. 25)• アクセスキーを表示する場合 (p. 25)• 管理者として Security Hub へのアクセスを他のユーザーに許可する (p. 26)• 自分の AWS アカウント以外のユーザーに Security Hub リソースへのアクセスを許可する場
合 (p. 26)
Security Hub でアクションの実行を承認されていない
AWS マネジメントコンソール から、アクションを実行する権限がないと通知された場合、管理者に問い合わせ、サポートを依頼する必要があります。お客様のユーザー名とパスワードを発行したのが、担当の管理者です。
以下の例のエラーは、mateojackson IAM ユーザーがコンソールを使用して、 ウウウウウウの詳細を表示しようとしているが、securityhub:GetWidget アクセス許可がない場合に発生します。
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
この場合、マテオは、securityhub:GetWidget アクションを使用して my-example-widget リソースにアクセスできるように、ポリシーの更新を管理者に依頼します。
次のことを実行する権限がない: iam:PassRole
iam:PassRole アクションを実行する権限がないというエラーが表示された場合、管理者に問い合わせ、サポートを依頼する必要があります。お客様のユーザー名とパスワードを発行したのが、担当の管理者です。Security Hub にロールを渡すことができるようにポリシーを更新するよう、管理者に依頼します。
一部の AWS サービスでは、新しいサービスロールまたはサービスにリンクされたロールを作成せずに、既存のロールをサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例のエラーは、marymajor という IAM ユーザーがコンソールを使用して Security Hub でアクションを実行しようする場合に発生します。ただし、アクションでは、サービスロールによって付与されたアクセス許可がサービスにある必要があります。メアリーには、ロールをサービスに渡すアクセス許可がありません。
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
この場合、メアリーは担当の管理者に iam:PassRole アクションを実行できるようにポリシーの更新を依頼します。
アクセスキーを表示する場合
IAM ユーザーアクセスキーを作成した後は、いつでもアクセスキー ID を表示できます。ただし、シークレットアクセスキーをもう一度表示することはできません。シークレットアクセスキーを紛失した場合は、新しいキーペアを作成する必要があります。
25
AWS Security Hub ユーザーガイドコンプライアンス検証
アクセスキーは、アクセスキー ID (例: AKIAIOSFODNN7EXAMPLE) とシークレットアクセスキー (例:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) の 2 つの部分から構成されます。ユーザー名とパスワードと同様に、リクエストを認証するために、アクセスキー ID とシークレットアクセスキーの両方を使用する必要があります。ユーザー名とパスワードと同様に、アクセスキーをしっかり管理してください。
Important
正規ユーザー ID を確認するためであっても、アクセスキーをサードパーティーに提供しないでください。提供すると、第三者がアカウントへの永続的アクセスを取得する場合があります。
アクセスキーペアを作成する場合、アクセスキー ID とシークレットアクセスキーを安全な場所に保存するように求めるプロンプトが表示されます。このシークレットアクセスキーは、作成時にのみ使用できます。シークレットアクセスキーを紛失した場合、新しいアクセスキーを IAM ユーザーに追加する必要があります。最大 2 つのアクセスキーを持つことができます。すでに 2 つある場合は、新しいキーペアを作成する前に、いずれかを削除する必要があります。手順を表示するには、IAM ユーザーガイド の「アクセスキーの管理 」を参照してください。
管理者として Security Hub へのアクセスを他のユーザーに許可する
Security Hub へのアクセスを他のユーザーに許可するには、アクセスを必要とする人またはアプリケーションの IAM エンティティ (ユーザーまたはロール) を作成する必要があります。ユーザーは、このエンティティの認証情報を使用して AWS にアクセスします。次に、Security Hub の適切なアクセス許可を付与するポリシーを、そのエンティティにアタッチする必要があります。
すぐに開始するには、IAM ユーザーガイド の「IAM が委任した最初のユーザーおよびグループの作成」を参照してください 。
自分の AWS アカウント以外のユーザーに Security Hub リソースへのアクセスを許可する場合
他のアカウントのユーザーや組織外のユーザーが、リソースへのアクセスに使用できるロールを作成できます。ロールを引き受けるように信頼されたユーザーを指定することができます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください。
• Security Hub でこれらの機能がサポートされるかどうかを確認するには、「AWS Security Hub と IAMの連携 (p. 21)」を参照してください。
• 所有している AWS アカウント間でリソースへのアクセスを付与する方法については、IAM ユーザーガイド の「所有している別の AWS アカウントへのアクセスを IAM ユーザーに許可」を参照してください。
• サードパーティーの AWS アカウントにリソースへのアクセスを提供する方法については、IAM ユーザーガイド の「第三者が所有する AWS アカウントへのアクセス権を付与する」を参照してください 。
• ID フェデレーションを介してアクセスを提供する方法については、IAM ユーザーガイド の「外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可」を参照して ください 。
• クロスアカウントアクセスでのロールとリソースベースのポリシーの使用の違いの詳細については、IAM ユーザーガイド の「IAM ロールとリソースベースのポリシーとの相違点」を参照してください。
AWS Security Hub のコンプライアンス検証第三者監査機関は、複数の AWS コンプライアンスプログラムの一環として、AWS Security Hub のセキュリティとコンプライアンスを評価します。Security Hub は SOC、ISO、PCI、HIPAA の認定を受けています。
26
AWS Security Hub ユーザーガイドインフラストラクチャセキュリティ
特定のコンプライアンスプログラムの範囲内の AWS サービスのリストについては、「コンプライアンスプログラムによる AWS 対象範囲内のサービス」を参照してください。一般的な情報については、「AWSコンプライアンスプログラム」を参照してください。
サードパーティーの監査レポートをダウンロードするには、AWS Artifact を使用します。詳細については、「AWS Artifact のレポートのダウンロード」を参照してください。
Security Hub サービスを使用する際のお客様のコンプライアンス責任は、データの機密性、貴社のコンプライアンス目的、および適用法規や規則によって決まります。AWS ではコンプライアンスに役立つ以下のリソースを用意しています。
• セキュリティおよびコンプライアンスのクイックスタートガイド – これらのデプロイメントガイドでは、アーキテクチャ上の考慮事項について説明し、セキュリティとコンプライアンスに重点を置いたベースライン環境を AWS にデプロイするための手順を説明します。
• AWS コンプライアンスのリソース – このワークブックとガイドのコレクションは、お客様の業界や場所に適用される場合があります。
• AWS Config – この AWS サービスでは、自社プラクティス、業界ガイドライン、および規制に対するリソースの設定の準拠状態を評価します。
• AWS Security Hub – この AWS サービスでは、AWS 内のセキュリティ状態を包括的に表示しており、セキュリティ業界の標準およびベストプラクティスへの準拠を確認するのに役立ちます。
AWS Security Hub でのインフラストラクチャセキュリティ
マネージド型サービスとして、AWS Security Hub は、ホワイトペーパー「Amazon Web Services: AWSセキュリティプロセスの概要」に記載されているAWS グローバルネットワークセキュリティの手順で保護されています。
AWS が公開した API コールを使用して、ネットワーク経由で Security Hub にアクセスします。クライアントで Transport Layer Security (TLS) 1.0 以降がサポートされている必要があります。TLS 1.2 以降が推奨されています。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman(ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。
また、リクエストは、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットのアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
27
AWS Security Hub ユーザーガイドIAM ポリシーを使用して セキュリティハブ へのアクセス権を IAM アイデンティティに委任する
セキュリティハブ へのアクセスの管理
AWS Identity and Access Management を使用して、セキュリティハブ および セキュリティハブ リソースへのアクセスを管理します。
セキュリティハブ には、フルアクセスと読み取り専用アクセスを提供するための AWS 管理ポリシーが用意されています。特定のリソースへのアクセスを制限できます。
また、セキュリティハブ は、サービスにリンクされたロールを使用して、AWS アカウントのリソースにもアクセスします。
トピック• IAM ポリシーを使用して セキュリティハブ へのアクセス権を IAM アイデンティティに委任す
る (p. 28)• AWS Security Hub のサービスにリンクされたロールの使用 (p. 29)
IAM ポリシーを使用して セキュリティハブ へのアクセス権を IAM アイデンティティに委任する
デフォルトでは、これらのリソースへのアクセスは、リソースの作成元である セキュリティハブ アカウントの所有者に制限されています。
所有者の場合は、セキュリティハブ へのフルアクセスまたは制限付きのアクセス権をアカウントのさまざまな IAM アイデンティティに付与できます。IAM アクセスポリシーを作成する方法の詳細については、「ポリシーを使用したアクセス制御」を参照してください。
セキュリティハブ に関する AWS 管理 (事前定義) ポリシーAWS は、多くの一般的ユースケースに対処するために、AWS が作成および管理するスタンドアロンのIAM ポリシーを用意しています。これらの管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与することで、どの権限が必要なのかをユーザーが調査する必要をなくすことができます。詳細については、IAM ユーザーガイド の「AWS 管理ポリシー」を参照してください。
以下の AWS 管理ポリシーはアカウントのユーザーにアタッチできます。これらは セキュリティハブ に固有の管理ポリシーです。
• AWSSecurityHubFullAccess – すべての セキュリティハブ 機能へのアクセスを提供します• AWSSecurityHubReadOnlyAccess – セキュリティハブ への読み取り専用アクセスを許可します。
セキュリティハブ で定義したリソース以下のリソースタイプは、このサービスによって定義され、Resource アクセス許可ポリシーステートメントの IAM 要素で使用できます。
28
AWS Security Hub ユーザーガイドセキュリティハブ で定義される条件キー
リソースタイプ ARN
action-target arn:${Partition}:securityhub:${Region}:${Account}:action/custom/${Id}
hub arn:${Partition}:securityhub:${Region}:${Account}:hub/default
insight arn:${Partition}:securityhub:${Region}:${Account}:insight/${Company}/${ProductId}/${UniqueId}
standard arn:${Partition}:securityhub:::ruleset/${StandardsName}/v/${StandardsVersion}
standards-subscription
arn:${Partition}:securityhub:${Region}:${Account}:subscription/${StandardsName}/v/${StandardsVersion}
product-subscription
arn:${Partition}:securityhub:${Region}:${Account}:product-subscription/${Company}/${ProductId}
product arn:${Partition}:securityhub:${Region}:${Account}:product/${Company}/${ProductId}
セキュリティハブ で定義される条件キーセキュリティハブ では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。
これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。
条件キー 説明 タイプ
securityhub:TargetAccount結果に関連付けられた AWS アカウントの ID。
AWS Security Finding 形式では、このフィールドはAwsAccountId と呼ばれます。
文字列
AWS Security Hub のサービスにリンクされたロールの使用
AWS Security Hub は、AWS Identity and Access Management (IAM)サービスにリンクされたロールを使用します。サービスにリンクされたロールは、セキュリティハブ に直接リンクされた一意のタイプの IAMロールです。サービスにリンクされたロールは、セキュリティハブ による事前定義済みのロールであり、ユーザーに代わって セキュリティハブ から AWS の他のサービスを呼び出すために必要なすべてのアクセス許可を備えています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、セキュリティハブ の設定が簡単になります。セキュリティハブ はこのサービスにリンクされたロールのアクセス許可を定義し、特にアクセス許可が定義されている場合を除き、セキュリティハブ のみがそのロールを引き受けます。定義されるアクセス許可には、信頼ポリシーやアクセス許可ポリシーなどがあり、そのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。
29
AWS Security Hub ユーザーガイドセキュリティハブ のサービスにリンクされたロールのアクセス許可
セキュリティハブ は、セキュリティハブ が利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「サポートされているリージョン (p. 8)」を参照してください。
セキュリティハブ サービスにリンクされたロールの削除は、それが有効になっているすべてのリージョンで セキュリティハブ を無効にした後でのみ、行うことができます。アクセスに必要なアクセス許可を誤って削除してしまうことがなくなり、セキュリティハブ リソースは保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、IAM ユーザーガイド の「IAM と連携する AWS のサービス」で、「サービスにリンクされたロール」列が「はい」になっているサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。
セキュリティハブ のサービスにリンクされたロールのアクセス許可セキュリティハブ では、サービスにリンクされたロールとして AWSServiceRoleForSecurityHub を使用します。これは、service-linked role required for AWS Security Hub to access your resources. です
AWSServiceRoleForSecurityHub サービスにリンクされたロールは、ロールを引き受ける上で次のサービスを信頼します。
• securityhub.amazonaws.com
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを セキュリティハブ に許可します。
• アクション: cloudtrail:DescribeTrails• アクション: cloudtrail:GetTrailStatus• アクション: cloudtrail:GetEventSelectors• アクション: cloudwatch:DescribeAlarms• アクション: logs:DescribeMetricFilters• アクション: sns:ListSubscriptionsByTopic• アクション: config:DescribeConfigurationRecorders• アクション: config:DescribeConfigurationRecorderStatus• アクション: config:DescribeConfigRules• アクション: config:BatchGetResourceConfig• リソース: *
および:
• アクション: config:PutConfigRule• アクション: config:DeleteConfigRule• アクション: config:GetComplianceDetailsByConfigRule• アクション: config:DescribeConfigRuleEvaluationStatus• リソース: arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*
IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。AWSServiceRoleForSecurityHub サービスにリンクされたロールを適切に作成するには、セキュリティハブ を使用する IAM アイデンティティに、必要なアクセス許可が付与されている必要があります。
30
AWS Security Hub ユーザーガイドセキュリティハブ のサービスにリンクされたロールの作成
必要なアクセス許可を付与するには、次のポリシーをこの IAM ユーザー、グループ、またはロールにアタッチします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ]}
セキュリティハブ のサービスにリンクされたロールの作成セキュリティハブ を初めて有効にするか、以前に有効にしていなかったサポート対象リージョンで セキュリティハブ を有効にすると、AWSServiceRoleForSecurityHub サービスにリンクされたロールが自動的に作成されます。AWSServiceRoleForSecurityHub サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して手動で作成することもできます。
Important
マスター セキュリティハブ アカウント用に作成されたサービスにリンクされたロールは、メンバーの セキュリティハブ アカウントには適用されません。
手動によるロールの作成の詳細については、IAM ユーザーガイド の「サービスにリンクされたロールを作成する」を参照してください。
セキュリティハブ のサービスにリンクされたロールの編集セキュリティハブ では、AWSServiceRoleForSecurityHub サービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの編集」を参照してください。
セキュリティハブ のサービスにリンクされたロールの削除サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。
31
AWS Security Hub ユーザーガイドセキュリティハブ のサービスにリンクされたロールの削除
Important
サービスにリンクされたロール AWSServiceRoleForSecurityHub を削除するには、まずそれが有効になっているすべてのリージョンで セキュリティハブ を無効にしておく必要があります。サービスにリンクされたロールを削除しようとしたときに、セキュリティハブ が無効になっていない場合、削除は失敗します。詳細については、「AWS Security Hub の無効化 (p. 272)」を参照してください。
セキュリティハブ を無効にすると、AWSServiceRoleForSecurityHub サービスにリンクされたロールは自動的に削除されません。セキュリティハブ を再度有効にした場合、既存のAWSServiceRoleForSecurityHub サービスにリンクされたロールを使用して開始します。
IAM を使用して、サービスにリンクされたロールを手動で削除するには
IAM コンソール、IAM CLI、または IAM API を使用して、AWSServiceRoleForSecurityHub サービスにリンクされたロールを削除します。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。
32
AWS Security Hub ユーザーガイドSecurity Hub コンソールでマスターアカウントとメンバーアカウントを指定する
AWS Security Hub のマスターアカウントとメンバーアカウント
他の AWS アカウントを招待して、AWS Security Hub を有効にし、AWS アカウントに関連付けることができます。招待したアカウントの所有者が、Security Hub を有効にしてから招待を受け入れた場合、ご使用のアカウントは、マスター Security Hub アカウントとして指定され、招待されたアカウントはメンバーアカウントとして関連付けられます。招待されたアカウントが招待を受け入れると、マスターアカウントにはメンバーアカウントからの結果を表示するアクセス許可が付与されます。マスターアカウントは、メンバーアカウントの結果に対してもアクションを実行できます。
Security Hub では、各リージョンでマスターアカウントごとに最大 1000 のメンバーアカウントをサポートできます。マスターアカウントとメンバーアカウントの関連付けは、招待の送信元の 1 つのリージョンでのみ作成されます。使用する各リージョンで Security Hub を有効にする必要があり、その後で、各アカウントを各リージョンでのメンバーアカウントとして関連付けるように招待します。
Security Hub は、Amazon GuardDuty、Amazon Inspector、および Amazon Macie から結果を集計します。ただし、GuardDuty、Amazon Inspector、または Amazon Macie が有効になっているアカウントに対して設定したマスターとメンバーの関係は、Security Hub に自動的に適用されません。
たとえば、 GuardDuty マスターアカウントのユーザーとして、アカウント B と C の結果が表示されますGuardDuty メンバーアカウントを GuardDuty コンソールに出力します。その後にアカウント A でSecurity Hub を有効にした場合、アカウント A のユーザーには、Security Hub のアカウント B と C に対して GuardDuty により生成された結果は自動的に表示されません。Security Hub でもこれらのアカウント間のマスターとメンバーの関係を作成する必要があります。最初に Security Hub を 3 つのアカウント(A、B、C) すべてで有効にする必要があります。次に、アカウント A をSecurity Hub マスターアカウントにし、アカウント B と C にSecurity Hub のメンバーアカウントになるように招待します。
アカウントを Security Hub のマスターアカウントとメンバーアカウントに同時に設定することはできません。Security Hub アカウントで承諾できるメンバーシップの招待は 1 つのみです。メンバーシップの招待の承諾はオプションです。
Security Hub コンソールでマスターアカウントとメンバーアカウントを指定する
Security Hub では、招待しているアカウントが招待を受け入れると、自分のアカウントがマスターアカウントになります。別のアカウントからの招待を受け入れると、自分のアカウントはメンバーアカウントになります。自分のアカウントがマスターアカウントである場合、メンバーアカウントになるための招待を受け入れることはできません。
アカウントの追加、アカウントの招待、または別のアカウントからの招待の受け入れの手順は以下のとおりです。
• 手順 1: アカウントの追加• 手順 2: アカウントの招待• 手順 3: 招待の承諾
手順 1: アカウントの追加
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. 左側のペインで、[設定] を選択します。
33
AWS Security Hub ユーザーガイドSecurity Hub コンソールでマスターアカウントとメンバーアカウントを指定する
3. [設定] ページで、[アカウント]、[Add accounts (アカウントを追加)] の順に選択してから、次のいずれかを実行します。
4. [Enter accounts (アカウントの入力)] に、追加するアカウントの [アカウント ID] を入力してから [追加] を選択します。
さらにアカウントを追加するには、各アカウントのアカウント ID を入力し、各アカウントについて[追加] を選択します。
カンマ区切り値 (CSV) ファイルを使用して、複数のアカウントを同時に追加できます。アカウントを一括追加するには、追加する各アカウントのアカウント ID を追加し、[Upload list (.csv) (リスト (.csv)のアップロード)] を選択します。
Important
.csv リストでは 1 行に 1 つのアカウントを表示する必要があります。以下の例のように、.csv ファイルの 1 行目にヘッダー (例: Account ID) が含まれている必要があります。後続の各行には、追加するアカウントの有効なアカウント ID を含む必要があります。
Account ID111111111111
5. アカウントの追加が完了したら、[追加] を選択します。次に、[Accounts to be added (追加するアカウント)] セクションで、[次へ] を選択します。
手順 2: アカウントの招待
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. ナビゲーションペインで [Settings] の [Accounts] を選択します。3. 招待するアカウントについて、[ステータス] 列で [Invite (招待する)] を選択します。4. [Invitation to Security Hub (ASH への招待)] ダイアログボックスで、[Invite (招待する)] を選択します。
招待したアカウントの [ステータス] 列の値が [招待済み] に変わります。
手順 3: 招待の承諾
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. 次のいずれかを行ってください。
• Security Hub が有効にされていない場合は、Security Hub の初回実行のエクスペリエンスページの [AWS Security Hub Setup (AWS Security Hub のセットアップ)] セクションで、[Security Hubの有効化] を選択します。[AWS Security Hub へようこそ] ページで、[AWS Security Hub の有効化] を選択します。初回実行のエクスペリエンスページに戻り、[Security Hub に移動] を選択します。
Security Hub が有効になったら、[設定]、[アカウント] の順に選択します。受け入れる招待を見つけます。次に [Accept (受け入れる)] ウィジェットおよび [Accept invitation (招待を受け入れる)] ボタンを使用して、メンバーシップ招待を承諾します。
Important
メンバーシップ招待を承諾する前に Security Hub を有効にする必要があります。• Security Hub が既に有効になっている場合は、[Accept (受け入れる)] ウィジェットおよび [Accept
invitation (招待を受け入れる)] ボタンを使用して、メンバーシップ招待を承諾します。
招待を承諾すると、アカウントが Security Hub メンバーアカウントになります。招待を送信するために使用するアカウントは Security Hub マスターアカウントになります。これで、マスターアカウントのユーザーは、メンバーアカウントの Security Hub の集計された検出結果を表示して管理できます。
34
AWS Security Hub ユーザーガイドSecurity Hub API オペレーションでのマス
ターアカウントとメンバーアカウントの指定
Security Hub API オペレーションでのマスターアカウントとメンバーアカウントの指定
Security Hub API でのオペレーションを使用して、マスターおよびメンバーの Security Hub アカウントを指定することもできます。リストされた順序で以下の Security Hub API オペレーションを使用してマスターアカウントおよびメンバーアカウントを作成します。
これらのオペレーションを使用してマスターアカウントを指定してから、メンバーアカウントになる招待を送信します。
1. Security Hub が有効になっているアカウントの認証情報を使用して、CreateMembers を実行します。これは、Security Hub のマスターアカウントになるアカウントです。
2. マスターアカウントを使用して、InviteMembers を実行します。
これらの操作を使用して、Security Hub を有効にして、招待を受け入れます。メンバーアカウントになるように招待したアカウントの認証情報を使用します。
1. 招待したアカウントごとに、EnableSecurityHub を実行します。アカウント所有者が招待を受け入れる前に、アカウントで Security Hub を有効にする必要があります。
2. 招待を受け入れるように招待したアカウントごとに、AcceptInvitation を実行します。
Security Hub でのアカウントとデータ保持アカウントまたはメンバーアカウントのいずれかのアカウントの Security Hub を無効にすると、無効にするときに AWS リージョンにあるそのアカウントに対してのみ無効になります。有効にした各リージョンで Security Hub を個別に無効にする必要があります。
マスターアカウントの Security Hub を無効にすると、デフォルトの会社と製品の設定が削除されます。Macie、GuardDuty、および Amazon Inspector との統合が削除されます。有効なセキュリティ標準は無効です。メンバーアカウントの関連付け、カスタムアクション、インサイト、サードパーティー製品のサブスクリプションを含む、その他の Security Hub データと設定は削除されません。Security Hub が有効ではない間、マスターアカウントに新しい結果は生成されず、既存の結果は 90 日後に削除されます。後で Security Hub を再び有効にした場合、デフォルトの会社と製品の設定、有効にしたセキュリティ標準、AWS のサービスとの統合は復元されます。これにより、無効にする前と同じように Security Hub を使用でき、再設定する必要はありません。
メンバーアカウントの Security Hub を無効にすると、リージョン内でメンバーアカウントに新しい結果は生成されませんが、マスターアカウントは、引き続きメンバーアカウントで既存の結果を表示できます。結果は、最後の更新から 90 日後、また更新がない場合は作成された後 90 日後に削除されます。マスターアカウントとメンバーアカウントの関係は維持されます。メンバーアカウントで Security Hub を有効にして、無効にする前と同じように使用することができますが、Security Hub が有効になっていなかった期間の結果はありません。
メンバーアカウントがマスターアカウントとの関連付けを解除されると、マスターアカウントはそのメンバーアカウントで結果を表示するためのアクセス許可を失います。Security Hub は引き続き両方のアカウントで実行されます。マスターアカウントに対して定義されたカスタム設定または統合は、以前のメンバーアカウントからの結果には適用されません。たとえば、アカウントの関連付けが解除された後に、CloudWatch イベント ルールのイベントパターンとして使用されるマスターアカウントのカスタムアクションをメンバーアカウントで使用することはできません。
AWS アカウントが削除または停止されている場合、そのアカウントのすべての Security Hub– 関連データは 90 日後に削除されます。削除された後にデータを回復することはできません。結果を 90 日以上保
35
AWS Security Hub ユーザーガイドSecurity Hub でのアカウントとデータ保持
持するには、結果をアーカイブするか、CloudWatch イベント ルールでカスタムアクションを使用してAmazon S3 バケットに結果を保存します。
36
AWS Security Hub ユーザーガイドインサイト結果と検出結果の表示
AWS Security Hub のインサイトAWS Security Hub インサイトは、関連する検出結果の集まりです。注意と介入が必要なセキュリティエリアを識別します。たとえば、インサイトによって、不十分なセキュリティ慣行を示す検出結果の対象として EC2 インスタンスが指摘される場合があります。インサイトには、複数の提供元からの検出結果がまとめられます。
各インサイトは、group by ステートメントとオプションのフィルタによって定義されます。group by ステートメントは、一致する検出結果をグループ化する方法を示し、インサイトが適用される項目のタイプを識別します。たとえば、インサイトがリソース識別子によってグループ化されている場合、インサイトによってリソース識別子のリストが生成されます。オプションのフィルタにより、インサイトの一致する検出結果が絞り込まれます。たとえば、特定の提供元からの検出結果または特定のタイプのリソースに関連付けられた検出結果のみが表示されるようにできます。
Security Hub には、組み込みのマネージド (デフォルト) インサイトがいくつか用意されています。マネージド型インサイトを変更または削除することはできません。
お客様の AWS 環境に固有のセキュリティ上の問題と使用状況を追跡するために、カスタムインサイトを作成することもできます。
インサイトは、一致する検出結果を生成する製品統合またはセキュリティ標準を有効にしている場合にのみ、結果を返します。たとえば、マネージド型インサイト 29.Top resources by counts of failed CISchecks は、CIS AWS Foundations セキュリティ標準を有効にした場合に、結果を返します。
トピック• インサイト結果と検出結果の表示とアクションの実行 (p. 37)• マネージド型インサイト (p. 38)• カスタムインサイトの管理 (p. 44)
インサイト結果と検出結果の表示とアクションの実行
インサイトごとに、AWS Security Hub は最初に、フィルター条件に一致する検出結果を決定し、次にグループ化属性を使用して一致する検出結果をグループ化します。
[Insights (インサイト)] ページから、結果と検出結果を表示し、それらに対してアクションを実行できます。
インサイト結果の表示とアクションの実行 (コンソール)インサイト結果は、インサイトの結果をグループ化したリストで構成されます。たとえば、インサイトがリソース ID に基づいてグループ化されている場合、インサイト結果はリソース ID のリストになります。結果のリストの各項目は、その項目に一致する検出結果の数を示します。
結果のリストは、一致する検出結果が最も多いものから最も少ないものへとソートされます。
結果のリストに加えて、インサイト結果には、以下の属性の一致した検出結果の数を要約した一連のチャートが表示されます。
• 重要度ラベル - 各重要度ラベルの検出結果の数
37
AWS Security Hub ユーザーガイドインサイト結果の表示 (API)
• アカウント ID - 一致する検出結果の上位 5 つのアカウント ID• リソースタイプ - 一致する検出結果の上位 5 つのリソースタイプ• リソース ID - 一致する検索結果の上位 5 つのリソース ID• 製品名 - 一致する検出結果の上位 5 つの提供元
カスタムアクションを設定している場合、選択した結果をカスタムアクションに送信できます。アクションは、Security Hub Insight Results イベントタイプの CloudWatch ルールに関連付けられている必要があります。「Security Hub を CloudWatch イベント (p. 265)」を参照してください。
インサイト結果のリストを表示してアクションを実行するには
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. ナビゲーションペインで、[Insights] を選択します。3. インサイト結果のリストを表示するには、インサイト名を選択します。4. インサイト結果に対してアクションを実行するには:
a. カスタムアクションに送信する各結果のチェックボックスをオンにします。b. [Actions (アクション)] メニューから、カスタムアクションを選択します。
インサイト結果の表示 (API)API を使用してインサイト結果のリストを取得するには、GetInsightResults オペレーションを使用します。
インサイト結果の表示 (コンソール)インサイト結果のリストから、各結果の検出結果のリストを表示できます。
インサイトの検出結果を表示してアクションを実行するには
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. ナビゲーションペインで、[Insights] を選択します。3. インサイト結果のリストを表示するには、インサイト名を選択します。4. インサイト結果の検出結果のリストを表示するには、インサイト結果のリストからその項目を選択し
ます。
結果リストには、ワークフローステータスが NEW または NOTIFIED である、選択されたインサイト結果のアクティブな結果が表示されます。
結果リストから、以下のアクションを実行できます。
• リストのフィルターとグループ化の変更 (p. 51)• 個々の結果の詳細を表示 (p. 52)• 結果のワークフローステータスを更新する (p. 53)• カスタムアクションに結果を送信する (p. 53)
マネージド型インサイトAWS Security Hub には、マネージド型インサイトがいくつか用意されています。
38
AWS Security Hub ユーザーガイドマネージド型インサイト
Security Hub マネージド型インサイトを編集または削除することはできません。インサイトの結果と検出結果を表示して対処 (p. 37)できます。マネージド型インサイトを新しいカスタムインサイトの基礎として使用 (p. 46)することもできます。
すべてのインサイトと同様、マネージド型インサイトは、一致する結果を生成できる製品統合またはセキュリティ標準を有効にしている場合にのみ、結果を返します。
現在のリリースでは、Security Hub には、次のマネージド型インサイトが用意されています。
インサイト名 グループ化の条件 検出結果フィルター
1. ほとんどの検出結果を含む AWS リソース
リソース識別子 レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
2.パブリック書き込みまたは読み取りアクセス許可を含む S3 バケット
リソース識別子 タイプが Effects/Data Exposureで始まる
リソースタイプが AwsS3Bucket
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
3.最も多くの結果を生成している AMI EC2 インスタンスイメージ ID
リソースタイプが AwsEc2Instance
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
4.既知の戦略、手法、および手順 (TTP)に含まれる EC2 インスタンス
リソース ID タイプが TTPs で始まる
リソースタイプが AwsEc2Instance
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
5. 最も疑わしいアクティビティにかかわっている AWS ユーザー
IAM アクセスキーのユーザー名
リソースタイプが AwsIamAccessKey
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
6. セキュリティ標準/ベストプラクティスを満たさない AWS リソースインスタンス
リソース ID タイプが Software andConfiguration Checks/Industryand Regulatory Standards/AWSSecurity Best Practices
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
7. 潜在的なデータの不正引き出しに関連付けられている AWS リソース
リソース ID タイプが Effects/Data Exfiltration/ で始まる
39
AWS Security Hub ユーザーガイドマネージド型インサイト
インサイト名 グループ化の条件 検出結果フィルターレコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
8. 不正なリソース消費に関連付けられている AWS リソース
リソース ID タイプが Effects/ResourceConsumption で始まる
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
9.セキュリティ標準/ベストプラクティスを満たさない S3 バケット
リソース ID リソースタイプが AwsS3Bucket
タイプが Software andConfiguration Checks/Industryand Regulatory Standards/AWSSecurity Best Practices
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
10.機密データを含む S3 バケット リソース ID リソースタイプが AwsS3Bucket
タイプが Sensitive DataIdentifications/ で始まる
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
11.漏洩する可能性がある認証情報 リソース ID タイプが Sensitive DataIdentifications/Passwords/ で始まる
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
12.重要な脆弱性に対してセキュリティパッチが不足している EC2 インスタンス
リソース ID タイプが Software andConfiguration Checks/Vulnerabilities/CVE で始まる
リソースタイプが AwsEc2Instance
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
40
AWS Security Hub ユーザーガイドマネージド型インサイト
インサイト名 グループ化の条件 検出結果フィルター
13.一般的な異常な動作を含む EC2 インスタンス
リソース ID タイプが Unusual Behaviors で始まる
リソースタイプが AwsEc2Instance
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です。
14.インターネットからアクセス可能なポートを持つ EC2 インスタンス
リソース ID タイプが Software andConfiguration Checks/AWSSecurity Best Practices/Network Reachability で始まる
リソースタイプが AwsEc2Instance
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
15.セキュリティ標準/ベストプラクティスを満たさない EC2 インスタンス
リソース ID タイプが次のいずれかで始まる。
• Software and ConfigurationChecks/Industry andRegulatory Standards/
• Software and ConfigurationChecks/AWS Security BestPractices
リソースタイプが AwsEc2Instance
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
16.インターネットに開放されているEC2 インスタンス
リソース ID タイプが Software andConfiguration Checks/AWSSecurity Best Practices/Network Reachability で始まる
リソースタイプが AwsEc2Instance
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
41
AWS Security Hub ユーザーガイドマネージド型インサイト
インサイト名 グループ化の条件 検出結果フィルター
17.敵対的な偵察に関連付けられているEC2 インスタンス
リソース ID タイプが TTPs/Discovery/Recon で始まる
リソースタイプが AwsEc2Instance
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
18. マルウェアに関連付けられているAWS リソース
リソース ID タイプが次のいずれかで始まる。
• Effects/Data Exfiltration/Trojan
• TTPs/Initial Access/Trojan
• TTPs/Command and Control/Backdoor
• TTPs/Command and Control/Trojan
• Software and ConfigurationChecks/Backdoor
• Unusual Behaviors/VM/Backdoor
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
19. 暗号通貨の問題に関連付けられている AWS リソース
リソース ID タイプが次のいずれかで始まる。
• Effects/ResourceConsumption/Cryptocurrency
• TTPs/Command and Control/CryptoCurrency
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
42
AWS Security Hub ユーザーガイドマネージド型インサイト
インサイト名 グループ化の条件 検出結果フィルター
20. 不正なアクセス試行に関連付けられている AWS リソース
リソース ID タイプが次のいずれかで始まる。
• TTPs/Command and Control/UnauthorizedAccess
• TTPs/Initial Access/UnauthorizedAccess
• Effects/Data Exfiltration/UnauthorizedAccess
• Unusual Behaviors/User/UnauthorizedAccess
• Effects/ResourceConsumption/UnauthorizedAccess
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
21.先週ヒット数が最も多かった脅威インテリジェンス指標
過去 7 日以内に作成
22.結果数による上位アカウント AWS アカウントID
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
23.結果数による上位製品 製品 ARN レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
24.結果数による重大度 重大度ラベル レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
25.結果数による上位 S3 バケット リソース ID リソースタイプが AwsS3Bucket
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
26.結果数による上位 EC2 インスタンス リソース ID リソースタイプが AwsEc2Instance
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
43
AWS Security Hub ユーザーガイドカスタムインサイトの管理
インサイト名 グループ化の条件 検出結果フィルター
27.結果数による上位 AMI EC2 インスタンスイメージ ID
リソースタイプが AwsEc2Instance
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
28.結果数による上位 IAM ユーザー IAM アクセスキーのユーザー名
リソースタイプが AwsIamAccessKey
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
29.失敗した CIS チェック数による上位リソース
リソース ID ジェネレーター ID がarn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule で始まる
最終日に更新
コンプライアンス状況が FAILED
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
30.調査数による上位統合 製品 ARN レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
31.セキュリティチェックの失敗が最も多いリソース
リソース ID 最終日に更新
コンプライアンス状況が FAILED
レコードの状態が ACTIVE
ワークフローステータスは NEW またはNOTIFIED です
カスタムインサイトの管理AWS Security Hub のマネージド型インサイトに加えて、カスタムインサイトを作成して、環境に固有の問題とリソースを追跡できます。
まったく新しいカスタムインサイトを作成するか、既存のカスタムインサイトまたはマネージド型インサイトから開始できます。
各インサイトは、以下のオプションで構成されます。
• グループ化属性。グループ化属性によって、インサイト結果のリストに表示される項目が決まります。たとえば、グループ化属性が [製品名] の場合、インサイト結果には、検出結果の提供元別に検出結果の数が表示されます。
• オプションのフィルタ。フィルタにより、インサイトの一致する検出結果が絞り込まれます。
44
AWS Security Hub ユーザーガイド新しいカスタムインサイトの作成 (コンソール)
検出結果をクエリするとき、Security Hub は AND ロジックをフィルタのセットに適用します。つまり、検出結果は、提供されたすべてのフィルタに一致する場合にのみ一致となります。たとえば、フィルタが「製品名が GuardDuty」で「リソースタイプが AwsS3Bucket」である場合、一致となる検出結果はこれらの両方の条件に一致する必要があります。
ただし、Security Hub は、同じ属性に異なる値を使用するフィルタに OR ロジックを適用します。たとえば、フィルタが「製品名が GuardDuty」で「製品名が Amazon Inspector」である場合、検出結果は、GuardDuty または Amazon Inspector のいずれかによって生成されたときに一致となります。
新しいカスタムインサイトの作成 (コンソール)コンソールから、まったく新しいインサイトを作成できます。
インサイトを作成するには
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. ナビゲーションペインで、[Insights] を選択します。3. [Create insight (インサイトの作成)] を選択します。4. インサイトのグループ化属性を選択するには:
a. [フィルタの追加] フィールドを選択します。b. [グループ化の条件] を選択します。c. このインサイトに関連付けられている検出結果をグループ化するのに使用する属性を選択しま
す。d. [Apply] を選択します。
5. (オプション) このインサイトに使用する追加のフィルタを選択します。フィルタごとに、フィルタ条件を定義し、[Apply (適用)] を選択します。
6. [Create insight (インサイトの作成)] を選択します。7. [インサイトの名前] を入力し、[Create insight (インサイトの作成)] を選択します。
新しいカスタムインサイトの作成 (API)Security Hub API から新しいカスタムインサイトを作成するには、CreateInsight オペレーションを使用します。
カスタムインサイトの変更 (コンソール)既存のカスタムインサイトでグループ化値とフィルタを変更できます。変更を行った後、元のインサイトに更新内容を保存するか、更新されたバージョンを新しいインサイトとして保存できます。
インサイトを変更するには
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. ナビゲーションペインで、[Insights] を選択します。3. 変更するカスタムインサイトを選択します。4. インサイトで検出結果のグループ化に使用される属性を変更するには:
a. 既存のグループを削除します。そのためには、[グループ化の条件] の横にある丸で囲まれた X を選択します。
45
AWS Security Hub ユーザーガイドカスタムインサイトの変更 (API)
b. [Add filter] を選択します。c. グループ化に使用する属性を選択します。d. [Apply] を選択します。
5. インサイトからフィルタを削除するには、フィルタの横にある円で囲まれた X を選択します。6. インサイトにフィルタを追加するには:
a. [Add filter] を選択します。b. フィルタとして使用する属性と値を選択します。c. [Apply] を選択します。
7. 更新が完了したら、[Save insight (インサイトの保存)] を選択します。8. プロンプトが表示されたら、以下のいずれかの操作を行います。
• 変更を反映するように既存のインサイトを更新するには、[Update <Insight_Name>(<Insight_Name> の更新)] を選択してから、[Save insight (インサイトの保存)] を選択します。
• 更新内容を使用して新しいインサイトを作成するには、[Save new insight (新しいインサイトの保存)] を選択します。[インサイトの名前] に入力し、[Save insight (インサイトの保存)] を選択します。
カスタムインサイトの変更 (API)カスタムインサイトの設定を更新するには、UpdateInsight オペレーションを使用します。
マネージド型インサイトからの新しいカスタムインサイトの作成 (コンソール)マネージド型インサイトに変更を保存したり、マネージド型インサイトを削除したりすることはできません。マネージド型インサイトを新しいカスタムインサイトの基礎として使用できます。
マネージド型インサイトから新しいカスタムインサイトを作成するには
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. ナビゲーションペインで、[Insights] を選択します。3. 作成元になるマネージド型インサイトを選択します。4. インサイトで検出結果のグループ化に使用される属性を変更するには:
a. 既存のグループを削除します。そのためには、[グループ化の条件] の横にある丸で囲まれた X を選択します。
b. [Add filter] を選択します。c. グループ化に使用する属性を選択します。d. [Apply] を選択します。
5. インサイトからフィルタを削除するには、フィルタの横にある円で囲まれた X を選択します。6. インサイトにフィルタを追加するには:
a. [Add filter] を選択します。b. フィルタとして使用する属性を選択します。c. [Apply] を選択します。
7. 更新が完了したら、[Create insight (インサイトの作成)] を選択します。8. プロンプトが表示されたら、[Insight name (インサイト名)] に入力し、[Create insight (インサイトの作
成)] を選択します。
46
AWS Security Hub ユーザーガイドカスタムインサイトの削除 (コンソール)
カスタムインサイトの削除 (コンソール)カスタムインサイトが不要になった場合は、削除できます。マネージド型インサイトを削除することはできません。
カスタムインサイトを削除するには
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. ナビゲーションペインで、[Insights] を選択します。3. 削除するカスタムインサイトを見つけます。4. そのインサイトで、その他のオプションを表示するためのアイコン (カードの左上隅にある 3 つの
ドット) を選択します。5. [削除] を選択します。
カスタムインサイトの削除 (API)Security Hub API からカスタムインサイトを削除するには、DeleteInsight オペレーションを使用します。
47
AWS Security Hub ユーザーガイドセキュリティハブでの更新プログラムの検索のタイプ
AWS Security Hubの結果AWS Security Hub は、複数のプロバイダーからの大量の結果に対処する複雑さを排除します。これにより、すべての AWS アカウント、リソース、ワークロードの管理とセキュリティ向上に必要な労力が軽減されます。
Security Hub は、以下のソースから結果を受け取ります。
• 有効にする AWS セキュリティサービスとの統合。「the section called “利用可能な AWS のサービスの統合” (p. 132)」を参照してください。
• 有効にするサードパーティー製品との統合。「the section called “利用可能なサードパーティーパートナー製品の統合” (p. 133)」を参照してください。
• 設定するカスタム統合。「the section called “カスタム製品統合の使用” (p. 139)」を参照してください。
• Security Hub は、有効なコントロールに照らしてチェックします。「the section called “セキュリティチェックの結果” (p. 143)」を参照してください。
Security Hub は、 AWS Security Finding 形式と呼ばれる標準結果形式を使用して結果を消費します。結果の形式の詳細については、「the section called “Finding 形式” (p. 54)」を参照してください。
Security Hub は、統合された製品全体の結果を関連づけ、最も重要なものに優先順位を付けます。
結果プロバイダーは、結果の追加インスタンスを反映するように結果を更新できます。結果を更新して、調査とその結果の詳細を提供できます。
トピック• セキュリティハブでの更新プログラムの検索のタイプ (p. 48)• 結果の表示とアクションの実行 (p. 50)• AWS Security Finding 形式 (p. 54)
セキュリティハブでの更新プログラムの検索のタイプ
AWS Security Hub では、結果は、以下のタイプの結果プロバイダーのいずれかから発生できます。
• 別の AWS のサービスとの有効な統合• サードパーティープロバイダーとの有効な統合• セキュリティハブ での有効なセキュリティ標準およびコントロール
結果が作成された後は、その結果プロバイダーまたはお客様によって更新できます。
• 結果プロバイダーは、BatchImportFindings API オペレーションを使用して、結果に関する一般情報を更新します。結果プロバイダーは、自身が作成した結果のみを更新できます。
• お客様は、BatchUpdateFindings API オペレーションを使用して、調査のステータスを結果に反映します。BatchUpdateFindings は、お客様に代わって、チケット発行、インシデント管理、オーケストレーション、修復、SIEM ツールでも使用できます。
セキュリティハブ コンソールから、結果の詳細の表示、結果のワークフローステータスの管理、およびカスタムアクションへの結果の送信を行うことができます。「the section called “結果の表示とアクションの実行” (p. 50)」を参照してください。
48
AWS Security Hub ユーザーガイドBatchImportFindings を使用して結果を作成および更新する
セキュリティハブ も自動的に結果を更新して削除します。
トピック• BatchImportFindings を使用して結果を作成および更新する (p. 49)• BatchUpdateFindings を使用して結果を更新する (p. 50)
BatchImportFindings を使用して結果を作成および更新する結果プロバイダーは、BatchImportFindings API オペレーションを使用して、新しい結果を作成し、作成した結果に関する情報を更新します。作成しなかった結果を更新することはできません。
お客様、SIEM、チケット発行ツール、SOARツールは、結果プロバイダーからの結果の処理に関連する更新を行うために BatchUpdateFindings を使用します。「the section called “BatchUpdateFindingsを使用して結果を更新する” (p. 50)」を参照してください。
AWS Security Hub は、セキュリティハブ が有効になっているアカウントの更新情報のみを受け付けます。結果プロバイダーも有効にする必要があります。セキュリティハブ が無効になっているか、結果プロバイダーの統合が有効になっていない場合は、結果が FailedFindings リストで返され、InvalidAccess エラーが表示されます。
BatchImportFindings コールのペイロードが 6 MB を超えることはできません。
結果を作成するか更新するかの決定結果を作成するか更新するかを決定するために、セキュリティハブ は ID フィールドをチェックします。ID の値が既存の結果と一致しない場合は、新しい結果が作成されます。
ID が既存の結果と一致する場合、セキュリティハブ は UpdatedAt フィールドの更新をチェックします。
• 既存の結果での UpdatedAt の前に更新での UpdatedAt が発生した場合、更新は無視されます。• 既存の結果での UpdatedAt の後に更新での UpdatedAt が発生した場合、既存の結果が更新されま
す。
BatchImportFindings の制限されたフィールド既存の結果の場合、結果プロバイダーは BatchImportFindings を使用して以下のフィールドとオブジェクトを更新することはできません。これらのフィールドは、BatchUpdateFindings を使用してのみ更新できます。
• Confidence
• Criticality
• Note
• RelatedFindings
• Severity
• Types
• UserDefinedFields
• VerificationState
• Workflow
これらのフィールドとオブジェクトの内容はすべて無視されます。
49
AWS Security Hub ユーザーガイドBatchUpdateFindings を使用して結果を更新する
BatchUpdateFindings を使用して結果を更新するお客様 (または結果プロバイダーからの結果を更新するためにお客様に代わって作業する SIEM、チケット発券、インシデント管理、または SOAR ツール) は、BatchUpdateFindings を使用して既存の結果の処理に関連する情報を更新します。BatchUpdateFindings を、新しい結果を作成するために使用することはできません。これは、一度に 100 件までの結果を更新するために使用できます。
BatchUpdateFindings は、結果の UpdatedAt フィールドを変更しません。UpdatedAt は、結果プロバイダーからの最新の更新のみを反映します。
マスターアカウントは、BatchUpdateFindings を使用して、自分のアカウントまたはメンバーアカウントの結果を更新できます。これらのアカウントでは、以下のフィールドとオブジェクトの更新にのみBatchUpdateFindings を使用できます。
• Confidence
• Criticality
• Note
• RelatedFindings
• Severity
• Types
• UserDefinedFields
• VerificationState
• Workflow
メンバーアカウントは、その結果で Note オブジェクトを更新するためにのみ BatchUpdateFindingsを使用できます。
結果の表示とアクションの実行AWS Security Hub ナビゲーションペインの [結果] には、有効になっているすべての製品の統合とコントロールからの結果のリストが表示されます。
[セキュリティ標準] からは、選択したコントロールから生成された結果のリストを表示できます。「thesection called “コントロールの詳細と結果の表示” (p. 147)」を参照してください。
[統合] からは、有効にした統合によって生成された結果のリストを表示できます。「the section called “統合からの調査結果の表示” (p. 131)」を参照してください。
[インサイト] からは、一致するインサイト結果のリストを表示できます。「the section called “インサイト結果と検出結果の表示” (p. 37)」を参照してください。
GetFindings API オペレーションを使用して、フィルタリングされた結果のリストを取得することもできます。
過去 90 日以内に更新されなかった場合、すべての結果は自動的に削除されます。
トピック• 結果のフィルタリングとグループ化 (p. 51)• 結果の詳細の表示 (p. 52)• 検索のワークフローステータスの設定 (p. 53)• カスタムアクションに結果を送信する (p. 53)
50
AWS Security Hub ユーザーガイド結果のフィルタリングとグループ化
結果のフィルタリングとグループ化結果のリストを最初に表示すると、レコードの状態とワークフローステータスに基づいてリストが常にフィルターされます。これは、インサイト、統合、またはコントロールのためのフィルターに加えられます。
レコードの状態は、その結果がアクティブかアーカイブされているかを示します。結果は、結果プロバイダーによってアーカイブすることができます。AWS Security Hub は、関連付けられたリソースが削除された場合に、コントロールの結果を自動的にアーカイブします。デフォルトでは、結果リストにはアクティブな結果のみが表示されます。
ワークフローステータスは、結果に対する調査のステータスを示します。ワークフローステータスは、セキュリティハブ 顧客または顧客に代わって運用しているシステムによってのみ更新できます。デフォルトでは、結果リストには、ワークフローステータスが NEW または NOTIFIED である結果のみが表示されます。コントロールの既定の結果リストには、RESOLVED 結果も含まれます。
コントロールの結果のリストを表示する場合、結果リスト内のテキストのみに基づいてフィルター処理できます。フィルターを追加または削除したり、結果をグループ化したりすることはできません。
結果のその他のリストについては、フィルターを変更して結果をグループ化できます。
フィルターの追加リストの範囲を変更するために、リストにフィルターを追加できます。
結果リストをフィルタリングする場合、セキュリティハブ は AND ロジックをフィルターのセットに適用します。つまり、検出結果は、提供されたすべてのフィルターに一致する場合にのみ一致となります。たとえば、フィルターが「製品名が GuardDuty」で「リソースタイプが AwsS3Bucket」である場合、一致となる検出結果はこれらの両方の条件に一致する必要があります。
ただし、セキュリティハブ は、同じ属性に異なる値を使用するフィルターに OR ロジックを適用します。たとえば、フィルターが「製品名が GuardDuty」で「製品名が Amazon Inspector」である場合、検出結果は、GuardDuty または Amazon Inspector のいずれかによって生成されたときに一致となります。
結果リストにフィルターを追加するには
1. [フィルター] フィールドを選択します。2. メニューの [フィルター] で、フィルターに使用するフィールドを選択します。3. フィルターの一致タイプを選択します。
文字列フィールドの場合、フィールド値がフィルター値と一致する ([EQUALS]) か、フィルター値で開始する ([PREFIX]) かを選択できます。
数値フィールドでは、単一の数値 ([シンプル]) を指定するか、数値の範囲 ([範囲]) を指定するかを選択できます。
日時フィールドの場合、現在の日付時刻 ([Rolling window (ローリングウィンドウ)]) または日付範囲([固定範囲]) から時間の長さを指定できます。
4. フィルター値を指定します。
文字列フィールドの場合、フィルター値では大文字と小文字が区別されます。
たとえば、セキュリティハブ の結果の場合、[製品名] は セキュリティハブ です。EQUALS 演算子を使用して セキュリティハブ から結果を表示する場合は、フィルター値として セセセセセセセセ を入力する必要があります。security hub と入力すると、結果は表示されません。
同様に、PREFIX 演算子を使用して Sec と入力すると、セキュリティハブ の結果が表示されます。sec と入力すると、セキュリティハブ 結果は表示されません。
51
AWS Security Hub ユーザーガイド結果の詳細の表示
5. [Apply] を選択します。
結果のグループ化フィルターを変更することに加え、グループ化フィールドに基づいて結果をグループ化することもできます。
グループ化フィールドを追加すると、結果のリストは、一致する結果内のそのフィールドの値のリストに置き換えられます。フィールド値ごとに、他のフィルター条件に一致する結果の数がリストに表示されます。
たとえば、AWS アカウント ID で結果をグループ化すると、アカウント ID のリストと、各アカウントの一致する結果の数が表示されます。
フィールド値を選択すると、そのフィールド値の一致結果のリストが表示されます。
結果リスト内の結果をグループ化するには
1. [フィルター] フィールドを選択します。2. メニューの [グループ化] で、[Group by (グループ化の条件)] を選択します。3. リストで、グループ化に使用するフィールドを選択します。4. [Apply] を選択します。
フィルター値またはグループ化フィールドの変更既存のフィルターの場合、フィルター値を変更できます。グループ化フィールドを変更することもできます。
たとえば、[レコードの状態] フィルターを変更して、ACTIVE の結果ではなく ARCHIVED の結果を検索することができます。
フィルターフィールドまたはグループ化フィールドを編集するには
1. フィルターまたはグループ化フィールドを選択します。2. グループ化フィールドで新規フィールドを選択し、[適用] を選択します。3. フィルターの場合は、新しい値を選択し、[適用] を選択します。
フィルターまたはグループ化フィールドを削除するフィルターまたはグループ化のフィールドを削除するには、[x] アイコンを選択します。
リストが自動的に更新され、変更が反映されます。グループ化フィールドを削除すると、リストはフィールド値のリストから結果のリストに変わります。
結果の詳細の表示結果リストから、結果の詳細ペインを表示するには、結果タイトルを選択します。
結果リストフィルターにフィールド値を追加するには、フィールドの横にある [+] を選択します。
結果の完全な JSON を表示するには、結果のタイトルを選択します。[Finding JSON (結果 JSON)] から、結果 JSONをファイルにダウンロードできます。
AWS Config ルールに基づく結果の場合、適用可能なルールのリストを表示するには、[ルール] を選択します。
52
AWS Security Hub ユーザーガイド検索のワークフローステータスの設定
検索のワークフローステータスの設定結果の場合、ワークフローステータスは、結果に対する調査の進行状況を追跡します。
ワークフローのステータス値は次のとおりです。
NEW
レビュー前の結果の初期状態。NOTIFIED
セキュリティの問題についてリソース所有者に通知したことを示します。このステータスは、自分がリソース所有者ではなく、セキュリティの問題を解決するためにリソース所有者からの介入が必要な場合に使用できます。
SUPPRESSED
結果はレビューされず、対処されません。RESOLVED
この結果はレビューおよび修正され、現在は解決済みと見なされています。
ワークフローステータスの設定 (コンソール)結果に結果の詳細からワークフローのステータスを設定するには、[ワークフローステータス] から、ステータスを選択します。
また、結果リストで選択した複数の結果のワークフローステータスを設定することもできます。
複数の結果のワークフローステータスを設定するには
1. 結果リストで、更新する各結果のチェックボックスをオンにします。2. [Change workflow status (ワークフローステータスの変更)] で、ステータスを選択します。
ワークフローステータスの設定 (API)セキュリティハブ API から結果のワークフローステータスを設定するには、BatchUpdateFindings APIオペレーションを使用します。
カスタムアクションに結果を送信するAWS Security Hub カスタムアクションを作成して セキュリティハブ を Amazon CloudWatch Events で自動化することができます。カスタムアクションの場合、イベントタイプは Security Hub Findings - CustomAction です。
カスタムアクションの作成に関する情報と詳細な手順については、「Security Hub を CloudWatch イベント (p. 265)」を参照してください。
カスタムアクションを設定したら、そのアクションに結果を送信できます。
カスタムアクションに結果を送信するには
1. 結果リストで、カスタムアクションに送信する各結果のチェックボックスをオンにします。
一度に最大 20 件の結果を送信できます。2. [Actions (アクション)] から、カスタムアクションを選択します。
53
AWS Security Hub ユーザーガイドFinding 形式
AWS Security Finding 形式AWS Security Hub は、AWS セキュリティサービスおよびサードパーティー製品の統合からの検出結果を使用、集計、整理、および優先順位付けします。Security Hub は、AWS Security Finding 形式 (ASFF) と呼ばれる標準的な検出結果形式を使用してこれらの検出結果を処理するため、時間のかかるデータ変換作業が不要になります。その後、複数の製品から取り込まれた検出結果を相関させて、最も重要なものに優先順位を付けます。
トピック• ASFF 構文 (p. 54)• ASFF の属性 (p. 61)• ASFF のタイプ分類 (p. 127)
ASFF 構文以下は、ASFF における完全な検出結果の JSON の構文です。
"Findings": [ { "AwsAccountId": "string", "Compliance": { "Status": "string", "RelatedRequirements": ["string"] }, "Confidence": number, "CreatedAt": "string", "Criticality": number, "Description": "string", "FirstObservedAt": "string", "GeneratorId": "string", "Id": "string", "LastObservedAt": "string", "Malware": [ { "Name": "string", "Path": "string", "State": "string", "Type": "string" } ], "Network": { "DestinationDomain": "string", "DestinationIpV4": "string", "DestinationIpV6": "string", "DestinationPort": number, "Direction": "string", "Protocol": "string", "SourceDomain": "string", "SourceIpV4": "string", "SourceIpV6": "string", "SourceMac": "string", "SourcePort": number }, "Note": { "Text": "string", "UpdatedAt": "string", "UpdatedBy": "string" }, "Process": { "LaunchedAt": "string",
54
AWS Security Hub ユーザーガイドASFF 構文
"Name": "string", "ParentPid": number, "Path": "string", "Pid": number, "TerminatedAt": "string" }, "ProductArn": "string", "ProductFields": { "string" : "string" }, "RecordState": "string", "RelatedFindings": [ { "Id": "string", "ProductArn": "string" } ], "Remediation": { "Recommendation": { "Text": "string", "Url": "string" } }, "Resources": [ { "Details": { "AwsCloudFrontDistribution": { "DomainName": "string", "Etag": "string", "LastModifiedTime": "string", "Logging": { "Bucket": "string", "Enabled": boolean, "IncludeCookies": boolean, "Prefix": "string" }, "Origins": { "Items": { "OriginPath": "string", "Id": "string", "DomainName": "string" } }, "Status": "string", "WebAclId": "string" }, "AwsCodeBuildProject": { "EncryptionKey": "string", "Environment": { "Type": "string", "Certificate": "string", "ImagePullCredentialsType": "string", "RegistryCredential": { "Credential": "string", "CredentialProvider": "string" } }, "Name": "string", "ServiceRole": "string", "Source": { "Type": "string", "Location": "string", "GitCloneDepth": integer }, "VpcConfig": { "VpcId": "string",
55
AWS Security Hub ユーザーガイドASFF 構文
"Subnets": ["string"], "SecurityGroupIds": ["string"] } }, "AwsEc2Instance": { "IamInstanceProfileArn": "string", "ImageId": "string", "IpV4Addresses": [ "string" ], "IpV6Addresses": [ "string" ], "KeyName": "string", "LaunchedAt": "string", "SubnetId": "string", "Type": "string", "VpcId": "string" }, "AwsEc2NetworkInterface": { "Attachment": { "AttachmentId": "string", "AttachTime": "string", "DeleteOnTermination": true, "DeviceIndex": number, "InstanceId": "string" "InstanceOwnerId": "string", "Status": "string" }, "SecurityGroups": [ { "GroupId": "string", "GroupName": "string" } ], "NetworkInterfaceId": '"string", "SourceDestCheck": false }, "AwsEc2SecurityGroup": { "GroupId": "string", "GroupName": "string", "IpPermissions": [ { "FromPort": number, "IpProtocol": "string", "IpRanges": [ { "CidrIp": "string" } ], "PrefixListIds": [ {"PrefixListId": "string"} ], "ToPort": number "UserIdGroupPairs": [ { "UserId": "string", "GroupId": "string" } ] } ], "IpPermissionsEgress": [ { "FromPort": number, "IpProtocol": "string", "IpRanges": [ { "CidrIp": "string" }
56
AWS Security Hub ユーザーガイドASFF 構文
], "PrefixListIds": [ {"PrefixListId": "string"} ], "ToPort": number "UserIdGroupPairs": [ { "UserId": "string", "GroupId": "string" } ] } ], "OwnerId": "string", "VpcId": "string" }, "AwsElasticSearchDomain": { "AccessPolicies": "string", "DomainStatus": { "DomainId": "string", "DomainName": "string", "Endpoint": "string", "Endpoints": { "string": "string" } }, "DomainEndpointOptions": { "EnforceHTTPS": boolean, "TLSSecurityPolicy": "string" }, "ElasticsearchVersion": "string", "EncryptionAtRestOptions": { "Enabled": boolean, "KmsKeyId": "string" }, "NodeToNodeEncryptionOptions": { "Enabled": boolean }, "VPCOptions": { "AvailabilityZones": [ "string" ], "SecurityGroupIds": [ "string" ], "SubnetIds": [ "string" ], "VPCId": "string" } }, "AwsElbv2LoadBalancer": { "AvailabilityZones": { "SubnetId": "string", "ZoneName": "string" }, "CanonicalHostedZoneId": "string", "CreatedTime": "string", "DNSName": "string", "IpAddressType": "string", "Scheme": "string", "SecurityGroups": [ "string" ], "State": { "Code": "string", "Reason": "string" },
57
AWS Security Hub ユーザーガイドASFF 構文
"Type": "string", "VpcId": "string" }, "AwsIamAccessKey": { "CreatedAt": "string", "PrincipalId": "string", "PrincipalName": "string", "PrincipalType": "string", "Status": "string" }, "AwsIamRole": { "AssumeRolePolicyDocument": "string", "CreateDate": "string", "MaxSessionDuration": number, "Path": "string", "RoleId": "string", "RoleName": "string" }, "AwsKmsKey": { "AWSAccountId": "string", "CreationDate": "string", "KeyId": "string", "KeyManager": "string", "KeyState": "string", "Origin": "string" }, "AwsLambdaFunction": { "Code" { "S3Bucket": "string", "S3Key": "string", "S3ObjectVersion": "string", "ZipFile": "string" }, "CodeSha256": "string", "DeadLetterConfig": { "TargetArn": "string", }, "Environment": { "Variables": { "string": "string" }, "Error": { "ErrorCode": "string", "Message": "string" } }, "FunctionName": "string", "Handler": "string", "KmsKeyArn": "string", "LastModified": "string", "Layers": { "Arn": "string", "CodeSize": number }, "RevisionId": "string", "Role": "string", "Runtime": "string", "Timeout": "integer", "TracingConfig": { "TracingConfig.Mode": "string" }, "Version": "string", "VpcConfig": { "SecurityGroupIds": [ "string" ], "SubnetIds": [ "string" ] },
58
AWS Security Hub ユーザーガイドASFF 構文
"MasterArn": "string", "MemorySize": number }, "AwsLambdaLayerVersion": { "CompatibleRuntimes": [ "string" ], "CreatedDate": "string", "Version": number }, "AwsRdsDbInstance": { "AssociatedRoles": [ { "RoleArn": "string", "FeatureName": "string", "Status": "string" } ], "CACertificateIdentifier": "string", "DBClusterIdentifier": "string", "DBInstanceClass": "string", "DBInstanceIdentifier": "string", "DbInstancePort": number, "DbiResourceId": "string", "DBName": "string", "DeletionProtection": boolean, "Endpoint": { "Address": "string", "Port": number, "HostedZoneId": "string" }, "Engine": "string", "EngineVersion": "string", "IAMDatabaseAuthenticationEnabled": boolean, "InstanceCreateTime": "string", "KmsKeyId": "string", "PubliclyAccessible": boolean, "TdeCredentialArn": "string", "StorageEncrypted": boolean, "VpcSecurityGroups": [ { "VpcSecurityGroupId": "string", "Status": "string" } ] }, "AwsS3Bucket": { "CreatedAt": "string", "OwnerId": "string", "OwnerName": "string" "ServerSideEncryptionConfiguration": { "Rules": [ { "ApplyServerSideEncryptionByDefault": { "KMSMasterKeyID": "string", "SSEAlgorithm": "string" } } ] } }, "AwsS3Object": { "ContentType": "string", "ETag": "string", "LastModified": "string", "ServerSideEncryption": "string",
59
AWS Security Hub ユーザーガイドASFF 構文
"SSEKMSKeyId": "string", "VersionId": "string" }, "AwsSnsTopic": { "KmsMasterKeyId": "string", "Owner": "string", "Subscription": { "Endpoint": "string", "Protocol": "string" }, "TopicName": "string" }, "AwsSqsQueue": { "DeadLetterTargetArn": "string", "KmsDataKeyReusePeriodSeconds": number, "KmsMasterKeyId": "string", "QueueName": "string" }, "AwsWafWebAcl": { "DefaultAction": "string", "Name": "string", "Rules": [ { "Action": { "Type": "string" }, "ExcludedRules": [ { "RuleId": "string" } ], "OverrideAction": { "Type": "string" }, "Priority": number, "RuleId": "string", "Type": "string" } ], "WebAclId": "string" }, "Container": { "ImageId": "string", "ImageName": "string", "LaunchedAt": "string", "Name": "string" }, "Other": { "string" : "string" } }, "Id": "string", "Partition": "string", "Region": "string", "Tags": { "string" : "string" }, "Type": "string" } ], "SchemaVersion": "string", "Severity": { "Label": "string", "Normalized": number, "Product": number },
60
AWS Security Hub ユーザーガイドASFF の属性
"SourceUrl": "string", "ThreatIntelIndicators": [ { "Category": "string", "LastObservedAt": "string", "Source": "string", "SourceUrl": "string", "Type": "string", "Value": "string" } ], "Title": "string", "Types": [ "string" ], "UpdatedAt": "string", "UserDefinedFields": { "string" : "string" }, "VerificationState": "string", "Workflow": { "Status": "string" }, "WorkflowState": "string" }]
ASFF の属性次の表に、ASFF の最上位の属性とオブジェクトを示します。オブジェクトの場合、オブジェクトの属性とサブフィールドの詳細を表示するには、オブジェクト名を選択してください。
属性 必須 説明
AwsAccountId あり 結果条件が適用される AWS アカウント ID。
タイプ: 文字列 (最大 12 桁)
例:
"AwsAccountId": "111111111111"
Compliance (p. 77) いいえ サポートされている標準の特定のルールに対してチェックを実行した結果として生成された検出結果専用 (CIS AWS Foundations など)。標準関連の検出結果の詳細が含まれます。
タイプ: オブジェクト
例:
"Compliance": { "Status": "PASSED", "RelatedRequirements": ["Req1", "Req2"]}
Confidence いいえ 検出結果の信頼度。信頼度は、検出結果が、識別することが意図されていた動作や問題を正確に識別する可能性として定義されます。
結果プロバイダーはこの属性の初期値を提供できますが、それ以降は更新できません。この属性は、BatchUpdateFindings を使用し
61
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明てのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。
タイプ: 整数 (範囲 0 ~ 100)
信頼度には、比率スケールを使用して 0 ~ 100 の基準でスコアが付けられます。0 は信頼度が 0 パーセント、100 は信頼度が 100 パーセントであることを示します。
ただし、ネットワークトラフィックの統計的偏差に基づくデータの不正引き出しは、実際の不正引き出しが確認されていないため、信頼性がはるかに低くなります。
例:
"Confidence": 42
CreatedAt はい 検出結果でキャプチャされた潜在的なセキュリティ上の問題が作成された日時を示す ISO 8601 形式のタイムスタンプ (RFC-3339 Dateand Time on the Internet: Timestamps で定義)。
CreatedAt タイムスタンプは、検出結果レコードが作成された時刻を反映するため、イベントまたは脆弱性が最初に検出された時刻を反映する FirstObservedAt タイムスタンプとは異なる場合があります。
このタイムスタンプは、検出結果の最初の生成時に提供する必要があり、検出結果に対するそれ以降の更新時に変更することはできません。
タイプ: タイムスタンプ
例:
"CreatedAt": "2017-03-22T13:22:13.933Z"
Note
検出結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。検出結果を90 日間以上保存するには、検出結果を Amazon S3 バケットにルーティングする CloudWatch イベント でルールを設定できます。
62
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Criticality いいえ 検出結果に関連付けられているリソースに割り当てられている重要度。スコア 0 は、基になるリソースに重要性がなく、スコア 100 は最も重要なリソース用に予約されています。
結果プロバイダーはこの属性の初期値を提供できますが、それ以降は更新できません。この属性は、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。
タイプ: 整数 (範囲 0 ~ 100)
重要度には、完全な整数のみをサポートする比率スケールを使用して、0 ~ 100 の基準でスコアが付けられます。つまり、他のリソースより重要度の高いリソースに影響を与える検出結果がどれであるかだけでなく、それらのリソースが他のリソースと比較してどれほど重要度が高いかを評価する必要があります。スコア 0 は、基になるリソースに重要性がなく、スコア 100 は最も重要なリソース用に予約されています。
検出結果の重要性を評価するときには、以下の点を考慮してください。
• 影響を受けたリソースに機密データ (PII を含む S3 バケットなど)が含まれているか?
• 影響を受けたリソースにより、攻撃者はアクセスレベルを深めたり、機能を拡張して悪意のあるアクティビティ (sysadmin アカウントへの侵入など) を追加で実行したりすることができるか?
• そのリソースはビジネスクリティカルなアセット (たとえば、不正なアクセスを受けた場合、収益に大きな影響を与える可能性がある主要なビジネスシステム) であるか?
以下のガイドラインを使用できます。
• ミッションクリティカルなシステムを駆動するリソース、または機密性の高いデータを含むリソースには、75 〜 100 の範囲でスコアを付けることができます。
• 重要度の高いリソース (ただしクリティカルなシステムではない)、または重要度がそれほど高くないデータを含むリソースには、25 ~ 75 の範囲でスコアを付けることができます。
• 重要でないシステムを駆動するリソース、または機密ではないデータを含むリソースには、0 ~ 24 の範囲でスコアを付ける必要があります。
例:
"Criticality": 99
63
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Description はい 検出結果の説明。このフィールドに指定できるのは、固有ではない共通のテキストまたは検出結果のこのインスタンスに固有の詳細です。
タイプ: 文字列 (1,024 文字以内)
例:
"Description": "The version of openssl found on instance i-abcd1234 is known to contain a vulnerability."
FirstObservedAt いいえ 検出結果でキャプチャされた潜在的なセキュリティ上の問題が最初に検出された日時を示す ISO 8601 形式のタイムスタンプ(RFC-3339 Date and Time on the Internet: Timestamps で定義)。
タイプ: タイムスタンプ
このタイムスタンプは、イベントまたは脆弱性が最初に検出された時刻を反映するため、この検出結果レコードが作成された時刻を反映する CreatedAt タイムスタンプとは異なる場合があります。
このタイムスタンプは、検出結果レコードが次に更新されるまで不変である必要がありますが、より正確なタイムスタンプがあると判別された場合は更新できます。
例:
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
GeneratorId はい 検出結果を生成したソリューション固有のコンポーネント (個別のロジックの単位) の識別子。セキュリティ検索結果製品のさまざまなソリューションでは、このジェネレーターをルール、チェック、ディテクター、プラグインなどと呼ぶことができます。
タイプ: 文字列 (512 文字以内) または Amazon リソースネーム(ARN)
例:
"GeneratorId": "acme-vuln-9ab348"
64
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Id はい 検出結果の製品固有の識別子。
タイプ: 文字列 (512 文字以内) または ARN
検出結果 ID は、以下の制約を満たす必要があります。
• ID は製品内でグローバルに一意である必要があります。一意性を強制するために、パブリック AWS リージョン名とアカウント IDを識別子に組み込むことができます。
• 以前の検出結果がすでに存在していないかどうかにかかわらず、識別子をリサイクルすることはできません。
• この ID には、RFC-3986 Uniform Resource Identifier (URI):Generic Syntax のセクション 2.3 で定義されている、予約されていない文字セットの文字のみを含める必要があります。
• AWS 以外のサービスの場合、ID の前にリテラル文字列 "arn:" を付けることはできません。
• AWS サービスの場合、ID は検出結果の ARN (使用可能な場合) である必要があります。それ以外の場合は、他の一意の識別子を使用できます。
これらの制約は、1 つの検出製品内に保持されることが期待されますが、複数の検出製品に保持される必要はありません。
例:
"Id": "us-west-2/111111111111/98aebb2207407c87f51e89943f12b1ef"
LastObservedAt いいえ 検出結果でキャプチャされた潜在的なセキュリティ上の問題がセキュリティ検出製品によって最近検出された日時を示す ISO 8601形式のタイムスタンプ (RFC-3339 Date and Time on the Internet:Timestamps で定義)。
タイプ: タイムスタンプ
このタイムスタンプは、イベントまたは脆弱性が最後に検出された時刻を反映するため、この検出レコードが最後に更新された時刻を反映する UpdatedAt タイムスタンプとは異なる場合があります。
このタイムスタンプを提供することはできますが、最初の検出時には必要ありません。このような場合にフィールドを指定する場合は、タイムスタンプが FirstObservedAt タイムスタンプと同じである必要があります。検出結果が検出されるたびに、最後に検出されたタイムスタンプを反映するようにこのフィールドを更新する必要があります。
例:
"LastObservedAt": "2017-03-23T13:22:13.933Z"
65
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Malware (p. 78) いいえ 検出結果に関連するマルウェアのリスト。
タイプ: 最大 5 つのマルウェアオブジェクトの配列
例:
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" }]
Network (p. 79) いいえ 検出結果に関するネットワーク関連情報の詳細。
タイプ: オブジェクト
例:
"Network": { "Direction": "IN", "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "here.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "there.com"}
Note (p. 81) いいえ 検出結果に追加されるユーザー定義のメモ。
結果プロバイダーは、結果の最初のメモを提供できますが、それ以降にメモを追加することはできません。
注意は、BatchUpdateFindings を使用してのみ更新できます。メモは、マスターアカウントとメンバーアカウントの両方で追加できます。
タイプ: オブジェクト
例:
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z"}
66
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Process (p. 82) いいえ 検出結果に関するプロセス関連情報の詳細。
タイプ: オブジェクト
例:
"Process": { "Name": "syslogd", "Path": "/usr/sbin/syslogd", "Pid": 12345, "ParentPid": 56789, "LaunchedAt": "2018-09-27T22:37:31Z", "TerminatedAt": "2018-09-27T23:37:31Z"}
ProductArn はい サードパーティーの検出製品が Security Hub に登録された後でその製品を一意に識別する、Security Hub によって生成された ARN。
Type (タイプ): ARN
このフィールドの形式はarn:partition:securityhub:region:account-id:product/company-id/product-id です。
• Security Hub と統合されている AWS サービスの場合、company-id は "aws" である必要があり、product-id は AWS パブリックサービス名である必要があります。AWS 製品およびサービスはアカウントに関連付けられていないため、ARN の account-id セクションは空です。まだ Security Hub と統合されていない AWSサービスは、サードパーティー製品と見なされます。
• パブリック製品の場合、company-id および product-id は登録時に指定された ID 値である必要があります。
• プライベート製品の場合、company-id はアカウント ID である必要があります。product-id は、予約語の "default"、または登録時に指定された ID である必要があります。
例:
// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"
// Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
67
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
ProductFields いいえ 定義済みの AWS Security Finding 形式の一部ではないソリューション固有の詳細をセキュリティ検出製品に追加で含めることができるデータ型。
タイプ: 最大 50 個のキー/値ペアのマップ
このフィールドには冗長データを含めないでください。また、AWSSecurity Finding 形式フィールドと競合するデータを含めることはできません。
プレフィックス "aws/" は、AWS 製品およびサービス専用の予約された名前空間を表します。このプレフィックスを、パートナー製品からの検出結果とともに送信しないでください。
必須ではありませんが、製品はフィールド名を company-id/product-id/field-name として形式設定することが推奨されます。ここで、company-id と product-id は、検出結果のProductArn に指定されているものと一致します。
フィールド名には、英数字、空白、および記号 _ . / = + \ - @ を含めることができます。
例:
"ProductFields": { "generico/secure-pro/Count": "6", "generico/secure-pro/Action.Type", "AWS_API_CALL", "API", "DeleteTrail", "Service_Name": "cloudtrail.amazonaws.com", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures"}
RecordState いいえ 検出結果の記録状態。
デフォルトでは、サービスによって最初に生成されたときの検出結果は ACTIVE と見なされます。
ARCHIVED 状態は、検出結果がビューで非表示になることを示します。アーカイブされた結果はすぐに削除されません。検索、レビュー、レポートすることができます。
プロバイダーを検索すると、レコードの状態を更新できます。Security Hub は、関連付けられたリソースが削除されると、コントロールベースの結果を自動的にアーカイブします。
タイプ: enum
有効な値: ACTIVE | ARCHIVED
例:
"RecordState": "ACTIVE"
68
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
RelatedFindings (p. 83) いいえ 関連する検出結果のリスト。
結果プロバイダーは、関連する結果の初期リストを提供できますが、それ以降はリストを更新できません。関連する結果のリストは、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。
タイプ: 最大 10 RelatedFinding 個のオブジェクトの配列
例:
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" }]
Remediation (p. 84) いいえ 検出結果の修復オプション。
タイプ: オブジェクト
例:
"Remediation": { "Recommendation": { "Text": "Run sudo yum update and cross your fingers and toes.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" }}
69
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Resources (p. 85) はい 検出結果が参照するリソースを記述する、一連のリソースデータタイプ。
タイプ: 最大 32 個のリソースオブジェクトの配列
例:
"Resources": [ { "Type": "AwsEc2Instance", "Id": "i-cafebabe", "Partition": "aws", "Region": "us-west-2", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }, "Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" } } }]
SchemaVersion はい 検出結果が形式設定されているスキーマのバージョン。このフィールドの値は、AWS で識別された正式公開バージョンの 1 つである必要があります。
現在のリリースでは、AWS Security Finding 形式スキーマのバージョンは 2018-10-08 です。
タイプ: 文字列 (10 文字以内、YYYY-MM-DD に準拠)
例:
"SchemaVersion": "2018-10-08"
70
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Severity (p. 123) はい 検出結果の重要度。
検出結果には、Label または Normalized が含まれている必要があります。Label が優先される属性です。どちらの属性も含まれていない場合、検出結果は無効です。
結果プロバイダーは、検索の初期重大度情報を提供できますが、それ以降は更新できません。重大度情報は、BatchUpdateFindingsを使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。
タイプ: オブジェクト
例:
"Severity": { "Label": "CRITICAL", "Product": 8.3}
SourceUrl いいえ 検出製品内の現在の検出結果に関するページにリンクする URL。
タイプ: URL
ThreatIntelIndicators (p. 126)いいえ 検出結果に関連する脅威インテリジェンスの詳細。
タイプ: 最大 5 個の脅威インテリジェンスインジケータオブジェクトの配列
例:
"ThreatIntelIndicators": [ { "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888" }]
Title はい 検出結果のタイトル。このフィールドに指定できるのは、固有ではない共通のテキストまたは検出結果のこのインスタンスに固有の詳細です。
タイプ: 文字列 (256 文字以内)
71
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Types はい 検出結果を分類する、namespace/category/classifier の形式の 1 つ以上の検出結果タイプ。
タイプ: 最大 50 個の文字列の配列
• namespace は、定義済みの名前空間値のセットに含まれる値である必要があります。
有効な値: Software and Configuration Checks | TTPs| Effects | Unusual Behaviors | Sensitive DataIdentifications
• category はどのような値でも構いませんが、検出製品ではASFF のタイプ分類 (p. 127) の検出タイプの分類に含まれるカテゴリを使用することをお勧めします。
• classifier はどのような値でも構いませんが、可能であれば、公開された標準で定義されている識別子をそのまま検出結果プロバイダーで使用することをお勧めします。
名前空間はすべての検出結果タイプに必須ですが、カテゴリと分類子はオプションです。分類子を指定した場合は、カテゴリも指定する必要があります。
'/' 文字は予約されているため、カテゴリや分類子に使用しないでください。'/' 文字のエスケープはサポートされていません。
例:
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE"]
72
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
UpdatedAt はい 検出製品が最後に検出結果レコードを更新した日時を示す ISO 8601形式のタイムスタンプ (RFC-3339 Date and Time on the Internet:Timestamps で定義)。このタイムスタンプは、検出結果レコードが最後に更新された時刻を反映するため、イベントまたは脆弱性が最後に検出された時刻を反映する LastObservedAt タイムスタンプとは異なる場合があります。
検出結果レコードを更新する際には、このタイムスタンプを現在のタイムスタンプに更新する必要があります。検出結果レコードの作成時には、CreatedAt と UpdatedAt のタイムスタンプが同じタイムスタンプである必要があります。検出結果レコードを更新した後、このフィールドの値は、それに含まれていたすべての以前の値より大きい値である必要があります。
UpdatedAt は BatchUpdateFindings からの変更によって更新されないことに注意してください。これは、BatchImportFindingsによってのみ更新されます。
タイプ: タイムスタンプ
検出結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。検出結果を90 日間以上保存するには、検出結果を Amazon S3 バケットにルーティングするCloudWatch イベント でルールを設定できます。
UserDefinedFields いいえ 検出結果に関連付けられている名前と値の文字列のペアのリスト。これらは、検出結果に追加されるカスタムのユーザー定義フィールドです。これらのフィールドは、特定の設定によって自動的に生成されることがあります。検出製品では、このフィールドを製品で生成されるデータに使用しないでください。検出製品ではProductFields フィールドを、標準の AWS フィールドにマップされていないデータに使用できます。
これらのフィールドは、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。
タイプ: 最大 50 個のキー/値ペアのマップ
例:
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday"}
73
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
VerificationState いいえ 結果の信憑性。検出製品は、このフィールドに値 UNKNOWN を設定できます。検出製品のシステムに有意のアナログが存在する場合、検出製品はこの値を設定する必要があります。このフィールドは一般的に、検出結果調査後のユーザーの決定またはアクションに従って入力されます。
結果プロバイダーはこの属性の初期値を提供できますが、それ以降は更新できません。この属性は、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。
タイプ: enum
有効な値:
• UNKNOWN – セキュリティ検出結果のデフォルトの処理 (ただし、ユーザーが変更していない場合)。
• TRUE_POSITIVE – セキュリティの検出結果が確認された場合は、ユーザーがこの値を設定します。
• FALSE_POSITIVE – セキュリティの検出結果が不正なアラームであると判別された場合は、ユーザーがこの値を設定します。
• BENIGN_POSITIVE – ユーザーはこの値を TRUE_POSITIVE の特別なケースとして設定します。特別なケースとは、検出結果が脅威を提供しない、予期される、またはその両方が発生する場合です。
Workflow (p. 127) いいえ 検出結果の調査ステータスに関する情報を提供します。
ワークフローステータスは、プロバイダーを見つけるためのものではありません。ワークフローステータスは、BatchUpdateFindings を使用してのみ更新できます。お客様は、コンソールから更新することもできます。「the section called“検索のワークフローステータスの設定” (p. 53)」を参照してください。ワークフローステータスは、マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。
タイプ: オブジェクト
例:
Workflow: { "Status": "NEW"}
74
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
WorkflowState (廃止) いいえ このフィールドは廃止予定になっているため、代わりに Workflowオブジェクトの Status フィールドを使用することをお勧めします。
検出結果のワークフローの状態。検出製品は、このフィールドに値NEW を設定できます。検出製品のシステムに有意のアナログが存在する場合、検出製品はこのフィールドに値を設定できます。
タイプ: enum
有効な値:
• NEW – これは、レコード状態が Active である検出結果に関連付けることができます。これは、新しい検出結果のデフォルトのワークフロー状態です。
• ASSIGNED – これは、レコード状態が Active である検出結果に関連付けることができます。検出結果が確認され、レビューまたは対処のために担当者に提供されました。
• IN_PROGRESS – これは、レコード状態が Active である検出結果に関連付けることができます。チームメンバーがこの検出結果に対処中です。
• RESOLVED – これは、レコード状態が Archived である検出結果に関連付けることができます。これは、その検出結果が再度発生する (ネイティブサービスによって更新される) 場合、またはこれに一致する新しい検出結果がある場合に、検出結果が新しいアクティブな検出結果として顧客に表示されるという点で、DEFERRED の検出結果と異なります。
• DEFERRED – これは、レコード状態が Archived である検出結果に関連付けることができ、この検出結果に一致する追加の検出結果が、一定期間または無期限に表示されないことを意味します。
顧客がその検出結果を適用可能と見なしていないか、またはその検出結果がアクティブなデータセットに含める必要のない既知の問題です。
• DUPLICATE – これは、レコード状態が Archived である検出結果に関連付けることができます。これは、その結果が別の検出結果の重複であることを意味します。
例:
"WorkflowState": "NEW"
AWS Security Finding 形式のオブジェクトの詳細• Compliance (p. 77)• Malware (p. 78)• Network (p. 79)• Note (p. 81)• Process (p. 82)• RelatedFindings (p. 83)• Remediation (p. 84)
75
AWS Security Hub ユーザーガイドASFF の属性
• Recommendation (p. 85)• Resources (p. 85)
• AwsCloudFrontDistribution (p. 90)• Logging (p. 91)• Origins (p. 91)
• AwsCodeBuildProject (p. 92)• Environment (p. 93)• Source (p. 94)• VpcConfig (p. 96)
• AwsEc2Instance (p. 96)• AwsEc2NetworkInterface (p. 97)
• Attachment (p. 98)• SecurityGroups (p. 98)
• AwsEc2SecurityGroup (p. 99)• IP アクセス許可オブジェクト (p. 100)
• AwsElasticSearchDomain (p. 102)• DomainEndpointOptions (p. 102)• DomainStatus (p. 103)• EncryptionAtRestOptions (p. 104)• NodeToNodeEncryptionOptions (p. 104)• VpcOptions (p. 104)
• AwsElbv2LoadBalancer (p. 105)• AvailabilityZones (p. 106)• State (p. 106)
• AwsIamAccessKey (p. 106)• AwsIamRole (p. 107)• AwsKmsKey (p. 107)• AwsLambdaFunction (p. 108)
• Code (p. 110)• DeadLetterConfig (p. 110)• Environment (p. 111)• Layer (p. 111)• TracingConfig (p. 111)• VpcConfig (p. 112)
• AwsLambdaLayerVersion (p. 112)• AwsRdsDbInstance (p. 113)
• AssociatedRoles (p. 115)• Endpoint (p. 115)• VpcSecurityGroups (p. 116)
• AwsS3Bucket (p. 116)• ApplyServerSideEncryptionByDefault (p. 117)
• AwsS3Object (p. 117)• AwsSnsTopic (p. 118)
• Subscription (p. 119)• AwsSqsQueue (p. 119)
76
AWS Security Hub ユーザーガイドASFF の属性
• AwsWafWebAcl (p. 119)• ルールオブジェクト (p. 120)
• Container (p. 122)• Other (p. 123)
• Severity (p. 123)• Security Hub が Label と Normalized 値をマップする方法 (p. 124)• 正規化された重要度を割り当てるためのガイダンス (AWS サービスおよびパート
ナー) (p. 125)• ThreatIntelIndicators (p. 126)• Workflow (p. 127)
Complianceサポートされている標準の特定のルールに対してチェックを実行した結果として生成された検出結果専用(CIS AWS Foundations など)。標準関連の検出結果の詳細が含まれます。
例:
"Compliance": { "Status": "PASSED", "RelatedRequirements": ["Req1", "Req2"]}
Compliance オブジェクトには、次の属性を含めることができます。
属性 必須 説明
Status いいえ セキュリティチェックの結果。
タイプ: enum
有効な値:
• PASSED – 評価されたすべてのリソースがセキュリティチェックに合格しました。
• WARNING – 不足している情報があるか、設定に対するこのチェックはサポートされていません。
• FAILED – 評価された 1 つ以上のリソースがセキュリティチェックに合格しませんでした。
• NOT_AVAILABLE – サービスの停止または API エラーのため、チェックを実行できませんでした。NOT_AVAILABLE ステータスは、AWS Config 評価の結果が NOT_APPLICABLE であったことを示すこともできます。その場合は、3日後に、Security Hub によって自動的に検出結果がアーカイブされます。
例:
"Status": "PASSED"
RelatedRequirements いいえ Security Hub コントロールの場合、業界または規制フレームワーク内の関連する要件。そのコントロールのチェックは、それらの要件に沿って行われます。
77
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明最大 32 個の関連要件を指定できます。
要件を識別するには、その識別子を使用します。
タイプ: 文字列の配列
MalwareMalware オブジェクトは、検出結果に関連するマルウェアのリストを提供します。これは、最大 5 個のマルウェアオブジェクトを含めることができる配列です。
例:
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" }]
各マルウェアオブジェクトには、次の属性を含めることができます。
属性 必須 説明
Name はい 検出されたマルウェアの名前。
タイプ: 文字列 (64 文字以内)
例:
"Name": "Stringler"
Path いいえ 検出されたマルウェアのファイルシステムパス。
タイプ: 文字列 (512 文字以内)
例:
"Path": "/usr/sbin/stringler"
State いいえ 検出されたマルウェアの状態。
タイプ: enum
有効な値: OBSERVED | REMOVAL_FAILED | REMOVED
例:
"State": "OBSERVED"
Type いいえ 検出されたマルウェアのタイプ。
78
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: enum
有効な値: ADWARE | BLENDED_THREAT | BOTNET_AGENT| COIN_MINER | EXPLOIT_KIT | KEYLOGGER | MACRO |POTENTIALLY_UNWANTED | SPYWARE | RANSOMWARE |REMOTE_ACCESS | ROOTKIT | TROJAN | VIRUS | WORM
例:
"Type": "COIN_MINER"
Network検出結果に関するネットワーク関連情報の詳細。
タイプ: オブジェクト
例:
"Network": { "Direction": "IN", "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "here.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "there.com"}
Network オブジェクトには、次の属性を含めることができます。
属性 必須 説明
DestinationDomain いいえ 検出結果に関するネットワーク関連情報の送信先ドメイン。
タイプ: 文字列 (128 文字以内)
例:
"DestinationDomain": "there.com"
DestinationIpV4 いいえ 検出結果に関するネットワーク関連情報の送信先 IPv4 アドレス。
タイプ: IPv4
例:
"DestinationIpV4": "2.3.4.5"
DestinationIpV6 いいえ 検出結果に関するネットワーク関連情報の送信先 IPv6 アドレス。
79
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: IPv6
例:
"DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C"
DestinationPort いいえ 検出結果に関するネットワーク関連情報の送信先ポート。
タイプ: 数値 (0 ~ 65535 の範囲)
例:
"DestinationPort": "80"
Direction いいえ 検出結果に関連付けられているネットワークトラフィックの方向。
タイプ: enum
有効な値: IN | OUT
例:
"Direction": "IN"
Protocol いいえ 検出結果に関するネットワーク関連情報のプロトコル。
タイプ: 文字列 (16 文字以内)
検出製品がより正確なプロトコルを判別できる場合を除き、名前は関連付けられているポートの IANA 登録名である必要があります。
例:
"Protocol": "TCP"
SourceDomain いいえ 検出結果に関するネットワーク関連情報の送信元ドメイン。
タイプ: 文字列 (128 文字以内)
例:
"SourceDomain": "here.com"
SourceIpV4 いいえ 検出結果に関するネットワーク関連情報の送信元 IPv4 アドレス。
タイプ: IPv4
例:
"SourceIpV4": "1.2.3.4"
80
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
SourceIpV6 いいえ 検出結果に関するネットワーク関連情報の送信元 IPv6 アドレス。
タイプ: IPv6
例:
"SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C"
SourceMac いいえ 検出結果に関するネットワーク関連情報の送信元メディアアクセスコントロール (MAC) アドレス。
タイプ: 文字列 (MM:MM:MM:SS:SS:SSと一致する必要がある)
例:
"SourceMac": "00:0d:83:b1:c0:8e"
SourcePort いいえ 検索結果に関するネットワーク関連情報の送信元ポート。
タイプ: 数値 (0 ~ 65535 の範囲)
例:
"SourcePort": "80"
NoteNote オブジェクトによってユーザー定義のメモが検出結果に追加されます。
結果プロバイダーは、結果の最初のメモを提供できますが、それ以降にメモを追加することはできません。注意は、BatchUpdateFindings を使用してのみ更新できます。メモは、マスターアカウントとメンバーアカウントの両方で追加できます。
例:
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z"}
Note オブジェクトには、次の属性を含めることができます。
属性 必須 説明
Text はい 検索結果メモのテキスト。
タイプ: 文字列 (512 文字以内)
例:
"Text": "Example text."
81
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
UpdatedAt はい メモが更新された日時を示すタイムスタンプ。
タイプ: タイムスタンプ
例:
"UpdatedAt": "2018-08-31T00:15:09Z"
UpdatedBy はい メモを作成したプリンシパル。
タイプ: 文字列 (512 文字以内) または ARN
例:
"UpdatedBy": "jsmith"
ProcessProcess オブジェクトは、検出結果に関するプロセス関連の詳細を提供します。
例:
"Process": { "Name": "syslogd", "Path": "/usr/sbin/syslogd", "Pid": 12345, "ParentPid": 56789, "LaunchedAt": "2018-09-27T22:37:31Z", "TerminatedAt": "2018-09-27T23:37:31Z"}
Process オブジェクトには、次の属性を含めることができます。
属性 必須 説明
LaunchedAt いいえ プロセスが開始された日時を示すタイムスタンプ。
タイプ: タイムスタンプ
例:
"LaunchedAt": "2018-09-27T22:37:31Z"
Name いいえ プロセスの名前。
タイプ: 文字列 (64 文字以内)
例:
"Name": "syslogd"
ParentPid いいえ 親プロセス ID。
82
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: 数値
例:
"ParentPid": 56789
Path いいえ 実行可能プロセスへのパス。
タイプ: 文字列 (512 文字以内)
例:
"Path": "/usr/sbin/syslogd"
Pid いいえ プロセス ID。
タイプ: 数値
例:
"Pid": 12345
TerminatedAt いいえ プロセスが終了した日時を示すタイムスタンプ。
タイプ: タイムスタンプ
例:
"TerminatedAt": "2018-09-27T23:37:31Z"
RelatedFindingsRelatedFindings オブジェクトは、現在の検出結果に関連する検出結果のリストを提供します。
結果プロバイダーは、関連する結果の初期リストを提供できますが、それ以降は更新できません。RelatedFindingsは、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。
例:
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" }]
関連する検出結果の各オブジェクトには、次の属性を含めることができます。
属性 必須 説明
Id はい 関連する検出結果の、製品によって生成された識別子。
83
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: 文字列 (512 文字以内) または ARN
例:
"Id": "123e4567-e89b-12d3-a456-426655440000"
ProductArn はい 関連する検出結果を生成した製品の ARN。
Type (タイプ): ARN
例:
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
RemediationRemediation オブジェクトは、検出結果に対処するために推奨される修復手順に関する情報を提供します。
例:
"Remediation": { "Recommendation": { "Text": "Run sudo yum update and cross your fingers and toes.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" }}
Remediation オブジェクトには、次の属性を含めることができます。
属性 必須 説明
Recommendation (p. 85) いいえ 検出結果内で特定された問題の修正方法に関する推奨事項。
Recommendation フィールドは、検出結果を解決するための手動の手順または詳細を容易にするためのものです。
推奨オブジェクトが存在する場合は、Text フィールドまたは Urlフィールドが存在し、データが入力されている必要があります。両方のフィールドが存在し、データを入力することができます。
タイプ: オブジェクト
例:
"Recommendation": { "Text": "Example text.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html"}
84
AWS Security Hub ユーザーガイドASFF の属性
RecommendationRecommendation オブジェクトには、次の属性を含めることができます。
属性 必須 説明
Text いいえ ユーザーに向けて表示する、検出結果への対処法の推奨事項を記述する自由形式の文字列。このフィールドに指定できるのは、固有ではない共通のテキストまたは検出結果のこのインスタンスに固有の詳細です。
タイプ: 文字列 (512 文字以内)
例:
"Text": "Example text."
Url いいえ その検出結果タイプの一般的な修復の情報にリンクする URL。
この URL は、アクセスするために資格情報を求めないこと、パブリックインターネットからアクセス可能であること、およびいかなるコンテキストやセッションも期待しないことが必要です。
タイプ: URL
例:
"Url": "http://myfp.com/recommendations/example_domain.html"
ResourcesResources オブジェクトは、検出結果に関連するリソースに関する情報を提供します。
タイプ: 最大 10 個のリソースオブジェクトの配列
例:
"Resources": [ { "Type": "AwsEc2Instance", "Id": "i-cafebabe", "Partition": "aws", "Region": "us-west-2", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }, "Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633",
85
AWS Security Hub ユーザーガイドASFF の属性
"LaunchedAt": "2018-05-08T16:46:19.000Z" } } }]
各リソースオブジェクトには、次の属性を含めることができます。
属性 必須 説明
Details いいえ このフィールドは、適切なサブフィールドを使用して、1 つのリソースに関する追加の詳細を提供します。
各リソースは、Resources フィールド内の個別のリソースオブジェクトで指定する必要があります。
Security Hub には、そのサポートされているリソースタイプに使用できる一連のサブフィールドが用意されています。これらのサブフィールドは、リソース Type の値に対応します。可能な限り、提供されたタイプとサブフィールドを使用してください。
• AwsCloudFrontDistribution (p. 90)• AwsCodeBuildProject (p. 92)• AwsEc2Instance (p. 96)• AwsEc2NetworkInterface (p. 97)• AwsEc2SecurityGroup (p. 99)• AwsElasticsearchDomain (p. 102)• AwsElbv2LoadBalancer (p. 105)• AwsIamAccessKey (p. 106)• AwsIamRole (p. 107)• AwsKmsKey (p. 107)• AwsLambdaFunction (p. 108)• AwsLambdaLayerVersion (p. 112)• AwsRdsDbInstance (p. 113)• AwsS3Bucket (p. 116)• AwsS3Object (p. 117)• AwsSnsTopic (p. 118)• AwsSqsQueue (p. 119)• AwsWafWebAcl (p. 119)• Container (p. 122)
たとえば、リソースが S3 バケットの場合、リソース Type をAwsS3Bucket に設定し、AwsS3Bucket サブフィールドにリソースの詳細を指定します。
Other (p. 123) サブフィールドでは、カスタムのフィールドおよび値を指定できます。Other サブフィールドは、次の場合に使用します。
• リソースタイプ (リソース Type の値) に対応するサブフィールドがない場合。リソースの詳細を指定するには、 Other 詳細サブフィールドを使用します。
86
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明• リソースタイプのサブフィールドに、入力するすべてのフィール
ドが含まれているわけではない場合。この場合は、リソースタイプのサブフィールドを使用して、使用可能なフィールドを挿入します。Other サブフィールドを使用して、タイプ固有のサブフィールドにないフィールドを挿入します。
• リソースタイプが提供されたタイプのいずれでもない場合。この場合、リソース Type を Other に設定し、Other 詳細サブフィールドを使用して詳細を挿入します。
タイプ: オブジェクト
例:
"Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" }, "AwsS3Bucket": { "OwnerId": "da4d66eac431652a4d44d490a00500bded52c97d235b7b4752f9f688566fe6de", "OwnerName": "acmes3bucketowner" }, "Other": [ { "Key": "LightPen", "Value": "blinky" }, { "Key": "SerialNo", "Value": "1234abcd" } ]}
Id はい 指定されたリソースタイプの正規の識別子。
ARN で識別される AWS リソースの場合、これは ARN である必要があります。
ARN が欠落している他のすべての AWS リソースタイプの場合、これはリソースを作成した AWS サービスで定義されている識別子である必要があります。
AWS 以外のリソースの場合、これはリソースに関連付けられている一意の識別子である必要があります。
タイプ: 文字列 (512 文字以内) または ARN
例:
"Id": "arn:aws:s3:::example-bucket"
87
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Partition いいえ リージョンが割り当てられている正規の AWS パーティション名。
タイプ: enum
有効な値:
パーティション 説明
aws 商用
aws-cn 中国
aws-us-gov AWS GovCloud (US)
例:
"Partition": "aws"
Region いいえ このリソースが配置されている正規の AWS 外部リージョン名。
タイプ: 文字列 (16 文字以内)
例:
"Region": "us-west-2"
Tags いいえ 検出結果が処理された時点でリソースに関連付けられていたAWS タグのリスト。タグが関連付けられているリソースの場合のみ、Tags 属性を含めます。リソースにタグが関連付けられていない場合は、検出結果に Tags 属性を含めないでください。
タイプ: 最大 50 個のタグのマップ (値は 256 文字以内)
タグには以下のような基本制限があります。
• このフィールドには、AWS リソースに実際に存在するタグのみを指定できます。AWS Security Finding 形式で定義されていないリソースタイプのデータを提供するには、Other 詳細サブフィールドを使用します。
• 値に使用できるのは、英数字、スペース、+、-、=、.、_、:、/、@ のみです。
• 値の最大長は、AWS タグ値の長さである 256 文字です。
例:
"Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true"}
88
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Type あり 詳細を提供しているリソースのタイプ。
可能な限り、提供されているリソースタイプの 1 つ(AwsEc2Instance または AwsS3Bucket など)を使用します。
リソースタイプが提供されているリソースタイプと一致しない場合は 、リソース Type を Other に設定し、Other 詳細サブフィールドを使用して詳細を挿入します。
タイプ: 文字列 (256 文字以内)
有効な値は次のとおりです。タイプに対応するサブフィールドがある場合、そのサブフィールドの詳細を表示するには、タイプ名を選択します。
• AutoscalingAutoscalingGroup
• AwsAccount
• AwsApiGatewayMethod
• AwsApiGatewayRestApi
• AwsAppStreamFleet
• AwsCertificateManagerCertificate
• AwsCloudFormationStack
• AwsCloudFrontDistribution (p. 90)• AwsCloudTrailTrail
• AwsCloudWatchAlarm
• AwsCodeBuildProject (p. 92)• AwsCodeCommitRepository
• AwsCodeDeployApplication
• AwsCodeDeployDeploymentGroup
• AwsCodePipelinePipeline
• AwsCognitoIdentityPool
• AwsCognitoUserPool
• AwsDynamoDbTable
• AwsEc2Eip
• AwsEc2Instance (p. 96)• AwsEc2NetworkInterface (p. 97)• AwsEc2SecurityGroup (p. 99)• AwsEc2Snapshot
• AwsEc2Volume
• AwsEc2Vpc
• AwsEcsService
• AwsEcsTaskDefinition
• AwsEfsFileSystem
• AwsEksCluster
• AwsElastiCacheCacheCluster
• AwsElasticsearchDomain (p. 102)• AwsElbLoadBalancer• AwsElbv2LoadBalancer (p. 105)
89
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明• AwsEmrCluster• AwsIamAccessKey (p. 106)• AwsIamUser
• AwsIamRole (p. 107)• AwsIamPolicy
• AwsKinesisStream• AwsKmsKey (p. 107)• AwsLambdaFunction (p. 108)• AwsLambdaLayerVersion (p. 112)• AwsLogsLogGroup• AwsRdsDbInstance (p. 113)• AwsRdsDbSnapshot
• AwsRedshiftCluster
• AwsS3Bucket (p. 116)• AwsS3Object (p. 117)• AwsSnsTopic (p. 118)• AwsSqsQueue (p. 119)• AwsWafWebAcl (p. 119)• Container (p. 122)• Other (p. 123)
例:
"Type": "AwsS3Bucket"
AwsCloudFrontDistributionAwsCloudFrontDistribution オブジェクトは、ディストリビューション設定の詳細を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
DomainName いいえ ディストリビューションに対応するドメイン名。
タイプ: 文字列
Etag いいえ エンティティタグは、オブジェクトのハッシュです。
タイプ: 文字列
LastModifiedTime いいえ ディストリビューションが最後に変更された日時。
タイプ: 文字列
Logging (p. 91) いいえ ディストリビューションのアクセスログを記録するかどうかを制御する複合型。
タイプ: オブジェクト
90
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Origins (p. 91) いいえ このディストリビューションのオリジンとオリジングループに関する情報を含む複合型。
タイプ: 文字列
Status いいえ ディストリビューションの現在のステータスを示します。
タイプ: 文字列
WebAclId いいえ このディストリビューションに関連付ける AWS WAF ウェブ ACLがある場合は、それを指定する一意の識別子。
タイプ: 文字列
Logging
Logging オブジェクトは、ディストリビューションのログ記録に関する情報を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
Bucket いいえ アクセスログを保存する S3 バケット。
タイプ: 文字列
Enabled いいえ このフィールドでは、選択したディストリビューションを有効または無効にすることができます。
タイプ: ブール値
IncludeCookies いいえ CloudFront がアクセスログに Cookie を含めるかどうかを指定します。
タイプ: ブール値
Prefix いいえ CloudFront でこのディストリビューションのアクセスログのファイル名にプレフィックスとして使用するオプションの文字列。
タイプ: 文字列
Origins
このディストリビューションのオリジンとオリジングループに関する情報を含む Origins オブジェクト。
これには、次の属性を含めることができます。
属性 必須 説明
Items いいえ このディストリビューションのオリジンまたはオリジングループを含む複合型。
タイプ: オブジェクト
91
AWS Security Hub ユーザーガイドASFF の属性
各項目には、次の属性を含めることができます。
属性 必須 説明
OriginPath いいえ CloudFront が S3 バケットまたはカスタムオリジンのディレクトリにコンテンツをリクエストするように指示するオプションの要素。
タイプ: 文字列
Id いいえ オリジンまたはオリジングループの一意の識別子。
タイプ: 文字列
DomainName いいえ Amazon S3 オリジン: CloudFront がこのオリジンのオブジェクトの取得先としている S3 バケットの DNS 名。
タイプ: 文字列
AwsCodeBuildProject
AwsCodeBuildProject オブジェクトは、AWS CodeBuild プロジェクトに関する情報を提供します。
例:
"AwsCodeBuildProject": { "EncryptionKey": "my-symm-key", "Environment": { "Type": "LINUX_CONTAINER", "Certificate": "myX509", "ImagePullCredentialsType": "CODEBUILD", "RegistryCredential": { "Credential": "my_dockerhub_secret", "CredentialProvider": "SECRETS_MANAGER" } }, "Name": "my-cd-project", "Source": { "Type": "CODECOMMIT", "Location": "https://git-codecommit.us-east-2.amazonaws.com/v1/repos/MyDemoRepo", "GitCloneDepth": 1 }, "ServiceRole": "arn:aws:iam:myrole", "VpcConfig": { "VpcId": "vpc-1234456", "Subnets": ["sub-12344566"], "SecurityGroupIds": ["sg-123456789012"] }}
AwsCodeBuildProject オブジェクトには、次の属性を含めることができます。
属性 必須 説明
EncryptionKey いいえ ビルド出力アーティファクトの暗号化に使用する AWS KMS カスタマーマスターキー (CMK)。
92
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Note
サービスロールにそのキーへのアクセス権限がある場合、クロスアカウントの KMS キーを使用してビルド出力アーティファクトを暗号化できます。
CMK の ARN または CMK エイリアス (使用可能な場合: 形式alias/alias-name を使用) のいずれかを指定できます。
タイプ: 文字列
長さの制限: 最小長は 1 です。
Environment (p. 93) いいえ このビルドプロジェクトのビルド環境に関する情報。
タイプ: オブジェクト
Name いいえ ビルドプロジェクトの名前です。
タイプ: 文字列
長さの制限: 最小長は 2 です。最大長は 255 です。
パターン: [A-Za-z0-9][A-Za-z0-9\-_]{1,254}
ServiceRole いいえ CodeBuild が AWS アカウントの代わりに依存 AWS サービスとやり取りできるようにする IAM ロールの ARN。
タイプ: 文字列
長さの制限: 最小長は 1 です。
Source (p. 94) いいえ このビルドプロジェクトのビルド入力ソースコードに関する情報。
タイプ: オブジェクト
VpcConfig (p. 96) いいえ CodeBuild がアクセスする VPC 設定に関する情報。
タイプ: オブジェクト
Environment
Environment オブジェクトは、ビルドプロジェクトのビルド環境に関する情報を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
Certificate いいえ このビルドプロジェクトで使用する証明書。
タイプ: 文字列
ImagePullCredentialsType いいえ ビルドのイメージをプルするために CodeBuild で使用する認証情報のタイプ。2 つの有効な値があります。
CODEBUILD は、CodeBuild で独自の認証情報を使用することを指定します。これに伴って、CodeBuild サービスプリンシパルを信頼するように ECR リポジトリポリシーを変更する必要があります。
93
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明SERVICE_ROLE は、CodeBuild でビルドプロジェクトのサービスロールを使用することを指定します。
クロスアカウントまたはプライベートレジストリイメージを使用する場合は、SERVICE_ROLE の認証情報を使用する必要があります。CodeBuild の選別されたイメージを使用する場合は、CODEBUILD の認証情報を使用する必要があります。
タイプ: 文字列
有効な値: CODEBUILD | SERVICE_ROLE
RegistryCredential いいえ プライベートレジストリにアクセスするための認証情報。
タイプ: オブジェクト
Type あり 関連するビルドに使用するビルド環境のタイプ。
タイプ: 文字列
有効な値: WINDOWS_CONTAINER | LINUX_CONTAINER |LINUX_GPU_CONTAINER | ARM_CONTAINER
RegistryCredentials オブジェクト内の各レジストリ認証情報には、次の属性があります。
属性 必須 説明
Credential あり AWS Secrets Manager を使用して作成された認証情報の ARN または名前。
Note
認証情報で認証情報の名前を使用できるのは、認証情報が現在の AWS リージョン内に存在する場合のみです。
タイプ: 文字列
長さの制限: 最小長は 1 です。
CredentialProvider あり プライベート Docker レジストリにアクセスするための認証情報を作成したサービス。有効な値は、Secrets Manager で SECRETS_MANAGER です。
タイプ: 文字列
有効な値: SECRETS_MANAGER
Source
Source オブジェクトは、このビルドプロジェクトのビルド入力ソースコードに関する情報を提供します。
これには、次の属性を含めることができます。
94
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
GitCloneDepth いいえ ビルドプロジェクトの Git クローンの深さに関する情報。
タイプ: 整数
値の範囲: 最小値 は 0 です。
Location いいえ ビルドするソースコードの場所に関する情報。
タイプ: 文字列
有効な値:
• AWS CodePipeline のパイプラインのソースアクションで指定されているソースコード設定の場合は、location を指定しないでください。それを指定した場合、CodePipeline はそれを無視します。これは、CodePipeline がこの値ではなくパイプラインのソースアクションの設定を使用するためです。
• AWS CodeCommit リポジトリのソースコードの場合は、ソースコードとビルド仕様 (例: https://git-codecommit.region-ID.amazonaws.com/v1/repos/repo-name) を含むリポジトリの、HTTPS クローン URL。
• S3 入力バケットのソースコードの場合、次のいずれかです。• ソースコードを含む ZIP ファイルのパス (例: bucket-name/path/to/object-name.zip)。
• ソースコードを含むフォルダのパス (例: bucket-name/path/to/source-code/folder/)。
• GitHub リポジトリのソースコードの場合は、ソースコードとbuildspec ファイルを含むリポジトリの HTTPS クローン URL。
• Bitbucket リポジトリのソースコードの場合は、ソースコードとbuildspec ファイルを含むリポジトリの HTTPS クローン URL。
Type あり ビルドするソースコードを含むリポジトリのタイプ。
型: 文字列
有効な値:
• BITBUCKET ‐ ソースコードは Bitbucket リポジトリにあります。
CODECOMMIT ‐ ソースコードは CodeCommit リポジトリにあります。
CODEPIPELINE ‐ ソースコード設定は、CodePipeline のパイプラインのソースアクションで指定されています。
GITHUB ‐ ソースコードは GitHub リポジトリにあります。
GITHUB_ENTERPRISE ‐ ソースコードは GitHub エンタープライズリポジトリにあります。
NO_SOURCE ‐ プロジェクトに入力ソースコードがありません。
S3 ‐ ソースコードは Amazon S3 入力バケットにあります。
95
AWS Security Hub ユーザーガイドASFF の属性
VpcConfig
VpcConfig オブジェクトは、CodeBuild がアクセスする VPC 設定に関する情報を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
SecurityGroupIds いいえ Amazon VPC 内の 1 つ以上のセキュリティグループ ID のリスト。
タイプ: 文字列の配列
配列メンバー: 5 個の項目の最大数。
長さの制限: 最小長は 1 です。
Subnets いいえ Amazon VPC 内の 1 つ以上のサブネット ID のリスト。
タイプ: 文字列の配列
配列メンバー: 16 個の項目の最大数。
長さの制限: 最小長は 1 です。
VpcId いいえ VPC の ID。
タイプ: 文字列
長さの制限: 最小長は 1 です。
AwsEc2InstanceAmazon EC2 インスタンスの詳細。
タイプ: オブジェクト
AwsEc2Instance オブジェクトには、次の属性を含めることができます。
属性 必須 説明
IamInstanceProfileArn いいえ インスタンスの IAM プロファイルの ARN。
タイプ:文字列(AWS ARN 形式に準拠)
ImageId いいえ インスタンスの Amazon Machine Image (AMI) の ID。
タイプ: 文字列 (64 文字以内)
IpV4Addresses いいえ インスタンスに関連付けられている IPv4 アドレス。
タイプ: 最大 10 個の IPv4 アドレスの配列
IpV6Addresses いいえ インスタンスに関連付けられている IPv6 アドレス。
タイプ: 最大 10 個の IPv6 アドレスの配列
KeyName いいえ インスタンスに関連付けられているキー名。
タイプ: 文字列 (128 文字以内)
96
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
LaunchedAt いいえ インスタンスが起動された日時。
タイプ: タイムスタンプ
SubnetId いいえ インスタンスが作成されたサブネットの識別子。
タイプ: 文字列 (32 文字以内)
Type いいえ インスタンスのインスタンスタイプ。これは有効な EC2 インスタンスタイプである必要があります。
タイプ: 文字列 (16 文字以内)
VpcId いいえ インスタンスが起動された VPC の識別子。
タイプ: 文字列 (32 文字以内)
AwsEc2NetworkInterface
AwsEc2NetworkInterface オブジェクトは、Amazon EC2 ネットワークインターフェイスに関する情報を提供します。
例:
"AwsEc2NetworkInterface": { "Attachment": { "AttachTime": "2019-01-01T03:03:21Z", "AttachmentId": "eni-attach-43348162", "DeleteOnTermination": true, "DeviceIndex": 123, "InstanceId": "i-1234567890abcdef0", "InstanceOwnerId": "123456789012", "Status": 'ATTACHED' }, "SecurityGroups": [ { "GroupName": "my-security-group", "GroupId": "sg-903004f8" }, ], "NetworkInterfaceId": 'eni-686ea200', "SourceDestCheck": false}
AwsEc2NetworkInterface オブジェクトには、次の属性を含めることができます。
属性 必須 説明
Attachment (p. 98) いいえ ネットワークインターフェイスのアタッチメントに関する情報。
タイプ: オブジェクト
NetworkInterfaceId いいえ ネットワークインターフェイスの ID。
タイプ: 文字列
SecurityGroups (p. 98) いいえ ネットワークインターフェイスのセキュリティグループ。
97
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: グループオブジェクトの配列
SourceDestCheck いいえ インスタンスへのトラフィックまたはインスタンスからのトラフィックを検証するかどうかを示します。
タイプ: ブール値
Attachment
Attachment オブジェクトは、ネットワークインターフェイスのアタッチメントに関する情報を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
AttachmentId いいえ ネットワークインターフェイスのアタッチメントの ID。
タイプ: 文字列
AttachTime いいえ アタッチメントがいつ開始されたかを示すタイムスタンプ。
タイプ: タイムスタンプ
DeleteOnTermination いいえ インスタンスの終了時にネットワークインターフェイスを自動的に削除するかどうかを示します。
タイプ: ブール値
DeviceIndex いいえ インスタンス上のネットワークインターフェイス接続のデバイスインデックス。
タイプ: 整数
InstanceId いいえ インスタンスの ID。
タイプ: 文字列
InstanceOwnerId いいえ インスタンスの所有者の AWS アカウント ID。
タイプ: 文字列
Status いいえ アタッチ状態。
型: 文字列
有効な値: attaching | attached | detaching | detached
SecurityGroups
SecurityGroups オブジェクトには、ネットワークインターフェイスのセキュリティグループのリストが含まれます。
各セキュリティグループには、次の属性を含めることができます。
98
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
GroupId いいえ セキュリティグループの ID.
タイプ: 文字列
GroupName セキュリティグループの名前。
タイプ: 文字列
AwsEc2SecurityGroup
AwsEc2SecurityGroup オブジェクトは、Amazon EC2 セキュリティグループを記述します。
例:
"AwsEc2SecurityGroup": { "GroupName": "MySecurityGroup", "GroupId": "sg-903004f8", "OwnerId": "123456789012", "VpcId": "vpc-1a2b3c4d", "IpPermissions": [ { "IpProtocol": "-1", "IpRanges": [], "UserIdGroupPairs": [ { "UserId": "123456789012", "GroupId": "sg-903004f8" } ], "PrefixListIds": [ {"PrefixListId": "pl-63a5400a"} ] }, { "PrefixListIds": [], "FromPort": 22, "IpRanges": [ { "CidrIp": "203.0.113.0/24" } ], "ToPort": 22, "IpProtocol": "tcp", "UserIdGroupPairs": [] } ]}
AwsEc2SecurityGroup オブジェクトには、次の属性を含めることができます。
属性 必須 説明
GroupId いいえ セキュリティグループの ID.
タイプ: 文字列
GroupName いいえ セキュリティグループの名前。
99
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: 文字列
IpPermissions (p. 100) いいえ セキュリティグループに関連付けられたインバウンドルール。
タイプ: IP アクセス許可オブジェクトの配列
IpPermissionsEgress (p. 100) いいえ [VPC のみ] セキュリティグループに関連付けられたアウトバウンドルール。
タイプ: IP アクセス許可オブジェクトの配列
OwnerId いいえ セキュリティグループ所有者の AWS アカウント ID。
型: 文字列
VpcId いいえ [VPC のみ] セキュリティグループの VPC の ID。
型: 文字列
IP アクセス許可オブジェクト
IpPermissions および IpPermissionsEgress オブジェクトには、両方とも IP アクセス許可オブジェクトの配列が含まれます。
各 IP アクセス許可オブジェクトには、次の属性を含めることができます。
属性 必須 説明
FromPort いいえ TCP および UDP プロトコルのポート範囲の開始番号、またはICMP/ICMPv6 タイプの番号。
-1 の値は、すべての ICMP/ICMPv6 タイプを示します。すべてのICMP/ICMPv6 タイプを指定した場合、すべてのコードを指定する必要があります。
タイプ: 整数
IpProtocol いいえ IP プロトコルの名前 (tcp、udp、icmp、icmpv6) または番号 (「プロトコル番号」を参照)。
[VPC のみ] -1 を使用してすべてのプロトコルを指定します。
セキュリティグループルールを許可するときに、-1、またはtcp、udp、icmp、または icmpv6 以外のプロトコル番号を指定すると、指定したポート範囲に関係なく、すべてのポートでトラフィックが許可されます。
tcp、udp、および icmp には、ポート範囲を指定する必要があります。
icmpv6 では、ポート範囲はオプションです。ポート範囲を省略すると、すべてのタイプとコードのトラフィックが許可されます。
タイプ: 文字列
IpRanges いいえ IP アドレスの範囲。
100
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: IP 範囲オブジェクトの配列
PrefixListIds いいえ [VPC のみ] AWS サービスのプレフィックスリスト ID。アウトバウンドルールでは、これは、セキュリティグループに関連付けられたインスタンスから VPC エンドポイントを介してアクセスする AWSサービスです。
タイプ: プレフィックスリスト ID オブジェクトの配列
ToPort いいえ TCP および UDP プロトコルのポート範囲の終了番号、またはICMP/ICMPv6 コード。
-1 の値はすべての ICMP/ICMPv 6 コードを示しています。すべてのICMP/ICMPv6 タイプを指定した場合、すべてのコードを指定する必要があります。
タイプ: 整数
UserIdGroupPairs いいえ セキュリティグループと AWS アカウント ID のペア。
タイプ: ユーザー ID グループペアオブジェクトの配列
IpRanges 配列内の各エントリには、次の属性を含めることができます。
属性 必須 説明
CidrIp いいえ IP アドレスの範囲。
CIDR 範囲またはソースセキュリティグループのいずれかを指定できますが、両方を指定することはできません。
単一の IPv4 アドレスを指定するには、/32 プレフィックス長を使用します。
単一の IPv6 アドレスを指定するには、/128 プレフィックス長を使用します。
タイプ: 文字列
PrefixListIds 配列内の各エントリには、次の属性を含めることができます。
属性 必須 説明
PrefixListId いいえ プレフィックスの ID。
型: 文字列
UserIdGroupPairs 配列内の各エントリには、次の属性を含めることができます。
属性 必須 説明
GroupId いいえ セキュリティグループの ID.
101
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: 文字列
UserId いいえ AWS アカウントの ID。
別の VPC で参照されるセキュリティグループの場合、参照されるセキュリティグループのアカウント ID がレスポンスで返されます。参照されるセキュリティグループを削除すると、この値は返されません。
[Amazon EC2-Classic] 別の AWS アカウントのセキュリティグループを参照するルールを追加または削除する場合に必要です。
タイプ: 文字列
AwsElasticSearchDomainAwsElasticSearchDomain オブジェクトは、Elasticsearch ドメインの詳細を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
AccessPolicies いいえ 新しい Amazon ES ドメインのアクセスポリシーを指定する IAM ポリシードキュメント。
タイプ: 文字列
DomainEndpointOptions (p. 102)いいえ ドメインエンドポイントの追加オプション。
タイプ: オブジェクト
DomainStatus (p. 103) いいえ ドメインステータスの詳細。
タイプ: オブジェクト
ElasticsearchVersion いいえ Elasticsearch バージョン。
タイプ: 文字列
EncryptionAtRestOptions (p. 104)いいえ 保管時の暗号化の設定の詳細。
タイプ: オブジェクト
NodeToNodeEncryptionOptions (p. 104)いいえ ノード間の暗号化の設定の詳細。
タイプ: オブジェクト
VPCOptions (p. 104) いいえ ドメインの VPCOptions に基づいて Amazon ES が取得する情報。
タイプ: オブジェクト
DomainEndpointOptions
DomainEndpointOptions オブジェクトは、ドメインエンドポイントの追加オプションに関する情報を提供します。
これには、次の属性を含めることができます。
102
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
EnforceHTTPS いいえ ドメインへのすべてのトラフィックが HTTPS 経由で到着することを要求するかどうか。
タイプ: ブール値
TLSSecurityPolicy いいえ Elasticsearch ドメインの HTTPS エンドポイントに適用する TLS セキュリティポリシー。
タイプ: 文字列
有効な値:
• Policy-Min-TLS-1-0-2019-07 (TLSv1.0 以上をサポートします)。
• Policy-Min-TLS-1-2-2019-07 (TLSv1.2 のみをサポートします)。
DomainStatus
DomainStatus オブジェクトは、ドメインのステータスに関する詳細を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
DomainId いいえ Amazon ES ドメイン用の一意の識別子。
タイプ: 文字列
DomainName いいえ Amazon ES ドメインの名前。
ドメイン名は、AWS リージョン内の同じアカウントによって所有されるドメイン間で一意です。
ドメイン名は小文字で始まり、3~28 文字で構成される必要があります。
有効な文字は、a ~ z (小文字のみ)、0 ~ 9、– (ハイフン) です。
タイプ: 文字列
Endpoint いいえ インデックス、検索、データアップロードのリクエストを AmazonES ドメインに送信するために使用されるドメイン固有のエンドポイント。
エンドポイントはサービス URL です。
タイプ: 文字列
Endpoints いいえ Amazon ES ドメインが VPC エンドポイントを使用する場合に存在するキー値ペア。
タイプ: キーと値のペアのマップ
例:
103
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
"vpc": "<VPC_ENDPOINT>"
EncryptionAtRestOptions
EncryptionAtRestOptions オブジェクトは、保管時の暗号化の設定に関する詳細を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
Enabled いいえ 保管時の暗号化が有効かどうか。
タイプ: ブール値
KmsKeyId いいえ AWS KMS キー ID。形式は1a2a3a4-1a2a-3a4a-5a6a-1a2a3a4a5a6a です。
タイプ: 文字列
NodeToNodeEncryptionOptions
NodeToNodeEncryptionOptions オブジェクトは、ノード間の暗号化の設定に関する詳細を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
有効 いいえ ノード間の暗号化が有効かどうか。
タイプ: ブール値
VpcOptions
VpcOptions オブジェクトには、ドメインの VPCOptions に基づいて Amazon ES が取得する情報が含まれます。
これには、次の属性を含めることができます。
属性 必須 説明
AvailabilityZones いいえ VPC サブネットに関連付けられるアベイラビリティーゾーンのリスト。
タイプ: 文字列の配列
SecurityGroupIds いいえ ドメインの VPC エンドポイントに関連付けられるセキュリティグループ ID のリスト。
タイプ: 文字列の配列
SubnetIds いいえ ドメインの VPC エンドポイントに関連付けられるサブネット ID のリスト。
104
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: 文字列の配列
VPCId いいえ VPC の ID。
タイプ: 文字列
AwsElbv2LoadBalancerAwsElbv2LoadBalancer オブジェクトは、ロードバランサーに関する情報を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
AvailabilityZones (p. 106) いいえ ロードバランサーのアベイラビリティーゾーン。
タイプ: オブジェクト
CanonicalHostedZoneId いいえ ロードバランサーに関連付けられる Amazon Route 53 ホストゾーンの ID。
タイプ: 文字列
CreatedTime いいえ ロードバランサーが作成された日時。
タイプ: 文字列
DNSName いいえ ロードバランサーのパブリック DNS 名。
タイプ: 文字列
IpAddressType いいえ ロードバランサーのサブネットで使用される IP アドレスのタイプ。
指定できる値は、ipv4 (IPv4 アドレスの場合) または dualstack(IPv4 および IPv6 アドレスの場合) です。
タイプ: 文字列
Scheme いいえ インターネット向けロードバランサーのノードにはパブリック IP アドレスが必要です。
タイプ: 文字列
SecurityGroups いいえ ロードバランサーのセキュリティグループの ID。
タイプ: 文字列の配列
State (p. 106) いいえ ロードバランサーの状態。
タイプ: オブジェクト
Type いいえ ロードバランサーのタイプ。
タイプ: 文字列
VpcId いいえ ロードバランサーの VPC の ID。
タイプ: 文字列
105
AWS Security Hub ユーザーガイドASFF の属性
AvailabilityZones
ロードバランサーのアベイラビリティーゾーンを指定します。
各アベイラビリティーゾーンには、次の属性を含めることができます。
属性 必須 説明
SubnetId いいえ サブネットの ID。
タイプ: 文字列
ZoneName いいえ アベイラビリティーゾーンの名前。
タイプ: 文字列
State
ロードバランサーの状態に関する情報。
State オブジェクトには、次の属性を含めることができます。
属性 必須 説明
Code いいえ 状態コード。
ロードバランサーの初期状態はプロビジョニングです。
ロードバランサーが完全にセットアップされ、トラフィックをルーティングする準備ができると、その状態はアクティブです。
ロードバランサーを設定できなかった場合、その状態は失敗です。
タイプ: 文字列
Reason いいえ 状態の説明。
タイプ: 文字列
AwsIamAccessKey
検出結果に関連する IAM アクセスキーの詳細。
タイプ: オブジェクト
AwsIamAccessKey オブジェクトには、次の属性を含めることができます。
属性 必須 説明
CreatedAt いいえ 検出結果に関連する IAM アクセスキーの作成日時。
タイプ: タイムスタンプ
PrincipalId いいえ アクセスキーに関連付けられたプリンシパルの ID。
106
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: 文字列
PrincipalName いいえ プリンシパルの名前。
タイプ: 文字列
PrincipalType いいえ プリンシパルのタイプ。
タイプ: 文字列
Status いいえ 検出結果に関連する IAM アクセスキーのステータス。有効な値は、ACTIVE および INACTIVE です。
タイプ: enum
AwsIamRole
IAM ロールに関する情報(ロールのすべてのポリシーを含む)が含まれます。
タイプ: オブジェクト
AwsIamRole オブジェクトには、次の属性を含めることができます。
属性 必須 説明
AssumeRolePolicyDocument いいえ ロールを引き受けるアクセス許可を付与する信頼ポリシー。
タイプ: 文字列
CreateDate いいえ ロールが作成された日時(ISO 8601 日付/時刻形式)。
タイプ: 文字列
RoleId いいえ ロールを識別する安定した一意の文字列。
タイプ: 文字列
RoleName いいえ ロールを識別するわかりやすい名前。
タイプ: 文字列
MaxSessionDuration いいえ 指定したロールに設定する最大セッション時間 (秒単位)。
タイプ: 整数
Path いいえ ロールへのパス。
タイプ: 文字列
AwsKmsKey
AWS KMS カスタマーマスターキー (CMK) の詳細。
タイプ: オブジェクト
AwsKmsKey オブジェクトには、次の属性を含めることができます。
107
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
AWSAccountId いいえ CMK を所有するアカウントの AWS アカウント識別子。
タイプ: 文字列
CreationDate いいえ CMK が作成された日時。
タイプ: タイムスタンプ
KeyId あり CMK のグローバル一意識別子。
型: 文字列
最小長は 1 です。最大長は 2048 です。
KeyManager いいえ CMK のマネージャー。AWS アカウントの CMK は、お客様またはAWS が管理します。
タイプ: 文字列
有効な値: AWS | CUSTOMER.
KeyState いいえ CMK の状態。
タイプ: 文字列
有効な値: Enabled | Disabled | PendingDeletion |PendingImport | Unavailable
Origin いいえ CMK のキーマテリアルのソース。
この値が AWS_KMS の場合、AWS KMS がキーマテリアルを作成しています。
この値が EXTERNAL の場合、キーマテリアルは既存のキー管理インフラストラクチャからインポートされたか、CMK にキーマテリアルがありません。
この値が AWS_CLOUDHSM の場合、キーマテリアルはカスタムキーストアに関連付けられた AWS CloudHSM クラスターに作成されています。
型: 文字列
有効な値: AWS_KMS | EXTERNAL | AWS_CLOUDHSM
AwsLambdaFunction
AwsLambdaFunction オブジェクトは、 Lambda 関数の設定に関する詳細を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
Code (p. 110) いいえ AwsLambdaFunctionCode オブジェクト。
タイプ: オブジェクト
108
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
CodeSha256 いいえ 関数のデプロイパッケージの SHA256 ハッシュ。
タイプ: 文字列
DeadLetterConfig (p. 110) いいえ 関数のデッドレターキュー。
タイプ: オブジェクト
Environment (p. 111) いいえ 関数の環境変数を設定。
タイプ: オブジェクト
FunctionName いいえ 関数の名前。
タイプ: 文字列
Handler いいえ Lambda が関数の実行を開始するために呼び出す関数。
タイプ: 文字列
KmsKeyArn いいえ 関数の環境変数を暗号化するために使用される AWS KMS キー。このキーは、カスタマー管理の CMK を設定している場合にのみ返されます。
タイプ: 文字列
LastModified いいえ 関数が最後に更新された日付と時刻(ISO-8601 形式 (YYYY-MM-DDThh:mm:ss.sTZD))。
タイプ: 文字列
Layers (p. 111) いいえ 関数のレイヤー。
タイプ: オブジェクト
MasterArn いいえ Lambda@Edge 関数の場合、マスター関数の ARN。
タイプ: 文字列
MemorySize いいえ 関数に割り当てられているメモリ。
タイプ: 整数
RevisionId いいえ 関数またはエイリアスの最新の更新リビジョン。
タイプ: 文字列
Role いいえ 関数の実行ロール。
タイプ: 文字列
Runtime いいえ Lambda 関数のランタイム環境。
タイプ: 文字列
Timeout いいえ Lambda で関数が停止するまでに許可される実行時間。
タイプ: 整数
109
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
TracingConfig (p. 111) いいえ 関数の AWS X-Ray トレース設定。
タイプ: オブジェクト
Version いいえ Lambda 関数のバージョン。
タイプ: 文字列
VpcConfig (p. 112) いいえ 関数のネットワーク設定。
タイプ: オブジェクト
Code
AwsLambdaFunctionCode オブジェクト。
Code オブジェクトには、次の属性を含めることができます。
属性 必須 説明
S3Bucket いいえ 関数と同じ AWS リージョンにある S3 バケット。バケットがあるAWS アカウントは異なる場合があります。
タイプ: 文字列
S3Key いいえ デプロイパッケージの Amazon S3 キー。
タイプ: 文字列
S3ObjectVersion いいえ バージョニングされたオブジェクトの場合、使用するデプロイパッケージオブジェクトのバージョン。
タイプ: 文字列
ZipFile いいえ デプロイパッケージの base64 でエンコードされたコンテンツ。AWS SDK および AWS CLI クライアントによりエンコーディングが処理されます。
タイプ: 文字列
DeadLetterConfig
Lambda 関数のデッドレターキューに関する情報が含まれます。
DeadLetterConfig オブジェクトには、次の属性を含めることができます。
属性 必須 説明
TargetArn いいえ デッドレターキューを含む Amazon SQS キューまたは AmazonSNS トピックの Amazon リソースネーム (ARN)。
タイプ: 文字列
110
AWS Security Hub ユーザーガイドASFF の属性
Environment
Lambda 関数の環境変数の設定が含まれます。
Environment オブジェクトには、次の属性を含めることができます。
属性 必須 説明
Variables いいえ 各環境変数はキーと値のペア。
タイプ: 文字列間のマッピング
Error いいえ 適用できなかった環境変数のエラーメッセージ。
タイプ: オブジェクト
Error オブジェクトには、次の属性を含めることができます。
属性 必須 説明
ErrorCode いいえ エラーコード。
タイプ: 文字列
Message いいえ エラーメッセージ。
タイプ: 文字列
Layer
Lambda 関数のレイヤー。
各レイヤーオブジェクトには、次の属性を含めることができます。
属性 必須 説明
Arn いいえ 関数レイヤーの Amazon リソースネーム (ARN)。
タイプ: 文字列
CodeSize いいえ レイヤーアーカイブのサイズ(バイト単位)。
タイプ: 整数
TracingConfig
関数の AWS X-Ray トレース設定が含まれます。
TracingConfig オブジェクトには、次の属性を含めることができます。
属性 必須 説明
Mode いいえ トレースモード。
111
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: 文字列
VpcConfig
Lambda 関数のネットワーク設定が含まれます。
VpcConfig オブジェクトには、次の属性を含めることができます。
属性 必須 説明
SecurityGroupIds いいえ VPC セキュリティグループ ID のリスト。
タイプ: 文字列の配列
SubnetIds いいえ VPC サブネット ID のリスト。
タイプ: 文字列の配列
AwsLambdaLayerVersionAwsLambdaLayerVersion オブジェクトは、Lambda レイヤーのバージョンに関する詳細を提供します。
例:
"AwsLambdaLayerVersion": { "Version": 2, "CompatibleRuntimes": [ "java8" ], "CreatedDate": "2019-10-09T22:02:00.274+0000"}
AwsLambdaLayerVersion オブジェクトには、次の属性を含めることができます。
属性 必須 説明
CompatibleRuntimes いいえ レイヤーの互換性のあるランタイム。
タイプ: 文字列の配列
最大項目数は 5 です。
有効な値: nodejs10.x | nodejs12.x | java8 | java11| python2.7 | python3.6 | python3.7 | python3.8 |dotnetcore1.0 | dotnetcore2.1 | go1.x | ruby2.5 |provided
CreatedDate いいえ バージョンが作成された日付 (ISO 8601 形式)。
たとえば、2018-11-27T15:10:45.123+0000 です。
タイプ: 文字列
Version いいえ バージョン番号。
112
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: Long
AwsRdsDbInstanceAwsRdsDbInstance オブジェクトは、Amazon RDS DB インスタンスの詳細を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
AssociatedRoles (p. 115) いいえ DB インスタンスに関連付けられた IAM ロール。
タイプ: ロールオブジェクトの配列
CACertificateIdentifier いいえ この DB インスタンスの CA 証明書の識別子。
タイプ: 文字列
DBClusterIdentifier いいえ DB インスタンスが DB クラスターのメンバーである場合は、DB インスタンスがメンバーとなっている DB クラスターの名前が含まれます。
タイプ: 文字列
DBInstanceClass いいえ DB インスタンスのコンピューティングおよびメモリ容量クラスの名前を指定します。
タイプ: 文字列
DBInstanceIdentifier いいえ ユーザーが指定したデータベース識別子が含まれています。この識別子は、DB インスタンスを識別する一意のキーです。
タイプ: 文字列
DbInstancePort いいえ DB インスタンスがリッスンするポートを指定します。DB インスタンスが DB クラスターの一部である場合は、DB クラスターのポートとは異なるポートを指定できます。
タイプ: 整数
DbiResourceId いいえ DB インスタンスの AWS リージョン固有のイミュータブルな識別子。
この識別子は、DB インスタンスの AWS KMS キーにアクセスするたびに CloudTrail ログエントリに記録されます。
タイプ: 文字列
DBName いいえ このパラメータの意味は、使用しているデータベースエンジンによって異なります。
MySQL、MariaDB、SQL Server、PostgreSQL
DB インスタンスの作成時に指定された場合は、作成時に提供されたこの DB インスタンスの初期データベースの名前が入ります。DB インスタンスの存続中はこれと同じ名前が返されます。
タイプ: 文字列
113
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明Oracle
作成した DB インスタンスの Oracle システム ID (SID) が含まれます。返されるパラメータが Oracle DB インスタンスに適用されない場合は表示されません。
タイプ: 文字列
DeletionProtection いいえ DB インスタンスで削除保護が有効になっているかどうかを示します。削除保護が有効な場合、データベースは削除できません。
タイプ: ブール値
Endpoint (p. 115) いいえ 接続エンドポイントを指定します。
タイプ: オブジェクト
Engine いいえ この DB インスタンスに使用されるデータベースエンジンの名前を入力します。
タイプ: 文字列
EngineVersion いいえ データベースエンジンのバージョンを示します。
タイプ: 文字列
IAMDatabaseAuthenticationEnabledいいえ IAM アカウントのデータベースアカウントへのマッピングが有効な場合は true、それ以外の場合は false です。
次のデータベースエンジンには、IAM データベース認証を有効にできます。
• MySQL 5.6、マイナーバージョン 5.6.34 以降の場合• MySQL 5.7、マイナーバージョン 5.7.16 以降の場合• オーロラ 5.6 以降
タイプ: ブール値
InstanceCreateTime いいえ DB インスタンスが作成された日時を入力します。
タイプ: タイムスタンプ
KmsKeyId いいえ StorageEncrypted が true の場合、暗号化された DB インスタンスの AWS KMS キー識別子。
タイプ: 文字列
PubliclyAccessible いいえ DB インスタンスのアクセシビリティオプションを指定します。
true の値は、パブリック IP アドレスに解決されるパブリックに解決可能な DNS 名を持つインターネットに直接接続するインスタンスを指定します。
値 false は、プライベート IP アドレスに解決される DNS 名を持つ内部インスタンスを指定します。
タイプ: ブール値
114
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
StorageEncrypted いいえ DB インスタンスが暗号化されているかどうかを指定します。
タイプ: ブール値
TdeCredentialArn いいえ インスタンスが TDE 暗号化のために関連付けられているキーストアからの ARN。
タイプ: 文字列
VpcSecurityGroups (p. 116) いいえ DB インスタンスが属する VPC セキュリティグループのリスト。
タイプ: オブジェクトの配列
AssociatedRoles
AssociatedRoles 配列には、DB インスタンスに関連付けられた IAM ロールが一覧表示されます。
AssociatedRoles 配列内の各ロールオブジェクトには、次の属性を含めることができます。
属性 必須 説明
FeatureName いいえ IAM ロールに関連付けられた機能の名前。
タイプ: 文字列
RoleArn いいえ DB インスタンスに関連付けられた IAM ロールの ARN。
タイプ: 文字列
Status いいえ IAM ロールと DB インスタンスの間の関連付けの状態を記述します。
タイプ: 文字列
有効な値:
• ACTIVE ‐ IAM ロール ARN は DB インスタンスに関連付けられており、ユーザーに代わって他の AWS のサービスにアクセスするために使用できます。
• PENDING ‐ IAM ロール ARN は DB インスタンスに関連付けられています。
• INVALID ‐ IAM ロール ARN は DB インスタンスに関連付けられていますが、DB インスタンスはユーザーに代わって他の AWS のサービスにアクセスするために IAM ロールを引き受けることができません。
Endpoint
Endpoint オブジェクトは、DB インスタンスの接続エンドポイントに関する詳細を提供します。
これには、次の属性を含めることができます。
属性 必須 説明
Address いいえ DB インスタンスの DNS アドレスが指定されます。
115
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明タイプ: 文字列
HostedZoneId いいえ ホストゾーンを作成するときに Amazon Route 53 が割り当てる IDを指定します。
タイプ: 文字列
Port いいえ データベースエンジンが待機しているポートを指定します。
タイプ: 整数
VpcSecurityGroups
VpcSecurityGroups 配列は、DB インスタンスが属する VPC セキュリティグループのリストを提供します。
VpcSecurityGroups 配列内の各オブジェクトには、次の属性を含めることができます。
属性 必須 説明
VpcSecurityGroupId いいえ VPC セキュリティグループの名前。
タイプ: 文字列
Status いいえ VPC セキュリティグループのステータス。
タイプ: 文字列
AwsS3BucketAmazon S3 バケットの詳細。
タイプ: オブジェクト
AwsS3Bucket オブジェクトには、次の属性を含めることができます。
属性 必須 説明
CreatedAt いいえ S3 バケットの作成日時。
型: 文字列 (RFC 3339 形式を使用)
OwnerId いいえ Amazon S3 バケット所有者の正規ユーザー ID。
タイプ: 文字列 (6 文字以内)
OwnerName いいえ Amazon S3 バケット所有者の表示名。
タイプ: 文字列 (128 文字以内)
ServerSideEncryptionConfigurationいいえ S3 バケットに適用される暗号化ルール。
タイプ: オブジェクト
ApplyServerSideEncryptionByDefault (p. 117) オブジェクトを含む Rules オブジェクトで構成されます。
116
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明例:
"ServerSideEncryptionConfiguration": { "Rules": [ { "ApplyServerSideEncryptionByDefault": { "KMSMasterKeyID": "12345678-abcd-abcd-abcd-123456789012", "SSEAlgorithm": "aws.kms" } } ]}
ApplyServerSideEncryptionByDefault
デフォルトのサーバー側の暗号化を指定して、バケット内の新しいオブジェクトに適用します。
ApplyServerSideEncryptionByDefault には、以下の属性を含めることができます。
属性 必須 説明
KMSMasterKeyID いいえ デフォルトの暗号化に使用する AWS KMSカスタマーマスターキー (CMK) ID。
キー ID または CMK ARN のいずれかです。
タイプ: 文字列
SSEAAlgorithm あり デフォルト暗号化に使用するサーバー側の暗号化アルゴリズム。
タイプ: 文字列
有効な値: AES256 | aws:kms
AwsS3Object
AWS S3 オブジェクトに関する詳細。
例:
"AwsS3Object": { "ContentType": "text/html", "ETag": "\"30a6ec7e1a9ad79c203d05a589c8b400\"", "LastModified": "2012-04-23T18:25:43.511Z", "ServerSideEncryption": "aws:kms", "SSEKMSKeyId": "arn:aws:kms:us-west-2:123456789012:key/4dff8393-e225-4793-a9a0-608ec069e5a7", "VersionId": "ws31OurgOOjH_HHllIxPE35P.MELYaYh"}
AWSS3Object には、以下の属性を含めることができます。
117
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
ContentType いいえ オブジェクトデータの形式を記述する標準MIME タイプ。
タイプ: 文字列
ETag いいえ URL で見つかったリソースの特定のバージョンにウェブサーバーによって割り当てられた不透明な識別子。
タイプ: 文字列
LastModified いいえ オブジェクトの最終変更日時。
型: 日時
ServerSideEncryption いいえ オブジェクトがサーバー側暗号化を使用して保存されている場合、このオブジェクトを Amazon S3 に保存するときに使用されるサーバー側暗号化アルゴリズムの値。
タイプ: 文字列
SSEKMSKeyId いいえ オブジェクトに使用された AWS KeyManagement Service 対称カスタマーマネージドカスタマーマスターキー (CMK) の識別子。
タイプ: 文字列
VersionId いいえ オブジェクトのバージョン。
タイプ: 文字列
AwsSnsTopic
トピックの Amazon リソースネーム (ARN) のラッパータイプ。
タイプ: オブジェクト
AwsSnsTopic オブジェクトには、次の属性を含めることができます。
属性 必須 説明
KmsMasterKeyId いいえ Amazon SNS 用 AWS マネージドカスタマーマスターキー (CMK) またはカスタム CMK の ID。
タイプ: 文字列
Subscription いいえ サブスクリプションは、Amazon SNS トピックのサブスクリプションエンドポイントを記述する埋め込みプロパティです。
タイプ: オブジェクトの配列
TopicName いいえ トピックの名前。
タイプ: 文字列
118
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Owner いいえ サブスクリプションの所有者。
タイプ: 文字列
Subscription
AwsSnsTopic オブジェクト内の Subscription オブジェクトには、次の属性を含めることができます。
属性 必須 説明
Endpoint いいえ サブスクリプションのエンドポイント (形式はプロトコルによって異なる)。
タイプ: 文字列
Protocol いいえ サブスクリプションのプロトコル。
タイプ: 文字列
AwsSqsQueue
Amazon SQS キューに関するデータ。
タイプ: オブジェクト
AwsSqsQueue オブジェクトには、次の属性を含めることができます。
属性 必須 説明
KmsDataKeyReusePeriodSecondsいいえ Amazon SQS がデータキーを再利用して、もう一度 AWS KMS を呼び出す前にメッセージを暗号化または復号できる時間の長さ (秒)。
タイプ: 整数
KmsMasterKeyId いいえ Amazon SQS 用 AWS マネージドカスタマーマスターキー (CMK) またはカスタム CMK の ID。
タイプ: 文字列
QueueName いいえ 新しいキューの名前です。
タイプ: 文字列
DeadLetterTargetArn いいえ maxReceiveCount の値を超えた後、Amazon SQS がメッセージを移動するデッドレターキューの Amazon リソースネーム (ARN)。
タイプ: 文字列
AwsWafWebAcl
AwsWafWebAcl オブジェクトは、 AWS WAF WebACL の詳細を提供します。
例:
119
AWS Security Hub ユーザーガイドASFF の属性
"AwsWafWebAcl": { "DefaultAction": "ALLOW", "Name": "MyWafAcl", "Rules": [ { "Action": { "Type": "ALLOW" }, "ExcludedRules": [ { "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98" } ], "OverrideAction": { "Type": "NONE" }, "Priority": 1, "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98", "Type": "REGULAR" } ], "WebAclId": "waf-1234567890"}
AwsWafWebAcl オブジェクトには、次の属性を含めることができます。
属性 必須 説明
DefaultAction あり WebACL に含まれているルールに一致するものがない場合に実行するアクション。アクションは、WafAction オブジェクトによって指定されます。
タイプ: WafAction オブジェクト
Name いいえ WebACL のフレンドリ名または説明。作成後に WebACL の名前は変更できません。
タイプ: 文字列
長さの制限: 最小長は 1 です。最大長は 128 です。
Rules (p. 120) はい WebACL のルールのリスト。
タイプ: オブジェクトの配列
WebAclId あり WebACL の一意の識別子。
タイプ: 文字列
長さの制限: 最小長は 1 です。最大長は 128 です。
ルールオブジェクト
Rules 配列は、WebACL のルールのリストを提供します。
配列内の各ルールオブジェクトには、次の属性を含めることができます。
120
AWS Security Hub ユーザーガイドASFF の属性
属性 必須 説明
Action いいえ ウェブリクエストがルールの条件に一致したときに CloudFront または AWS WAF が実行するアクションを指定します。
タイプ: オブジェクト
ExcludedRules いいえ ルールグループから除外するルールの配列。これは、ActivatedRule がルールグループを参照している場合にのみ適用されます。
タイプ: オブジェクトの配列
OverrideAction いいえ OverrideAction を使用して RuleGroup をテストします。
ルールグループ内のルールは、リクエストをブロックする可能性があります。OverrideAction を None に設定した場合、ルールグループ内の個々のルールがリクエストと一致し、そのリクエストをブロックするよう設定されている場合、ルールグループはリクエストをブロックします。
ただし、最初にルールグループをテストする場合は、OverrideAction を Count に設定します。このルールグループは、グループに含まれる個々のルールで指定されたブロックアクションを上書きします。一致するリクエストをブロックする代わりに、それらのリクエストがカウントされます。
ActivatedRule|OverrideAction は、ルールグループをWebACL に更新または追加した場合にのみ適用されます。この場合は、ActivatedRule|Action を使用しません。その他のすべての更新リクエストでは、ActivatedRule|OverrideAction の代わりに ActivatedRule|Action が使用されます。
タイプ: オブジェクト
Priority あり WebACL のルールを評価する順序を指定します。優先度の値が小さいルールは、大きな値のルールよりも先に評価されます。
値は一意の整数である必要があります。
複数のルールを WebACL に追加する場合、値が連続する必要はありません。
タイプ: 整数
RuleId あり ルールの識別子。
型: 文字列
長さの制限: 最小長は 1 です。最大長は 128 です。
Type いいえ ルールタイプ (REGULAR、 RATE_BASED、または GROUP)。
デフォルト: REGULAR。
タイプ: 文字列
有効な値: REGULAR | RATE_BASED | GROUP
121
AWS Security Hub ユーザーガイドASFF の属性
各アクションには、次の属性を含めることができます。
属性 必須 説明
Type いいえ ルールの設定と一致するリクエストに AWS WAF が応答する方法を指定します。
• ALLOW ‐ AWS WAF がリクエストを許可します• BLOCK ‐ AWS WAF がリクエストをブロックします• COUNT ‐ AWS WAF は、ルールのすべての条件に該当するリクエ
ストのカウンターを増分します。その後、AWS WAF は、引き続きウェブ ACL の残りのルールに基づいてウェブリクエストを検査します。WebACL のデフォルトアクションについては、COUNT を指定できません。
タイプ: 文字列
有効な値: BLOCK | ALLOW | COUNT
除外される各ルールには、次の属性を含めることができます。
属性 必須 説明
RuleId あり ルールグループから除外するルールの一意の識別子。
タイプ: 文字列
長さの制限: 最小長は 1 です。最大長は 128 です。
ルールの各オーバーライドアクションには、次の属性を含めることができます。
属性 必須 説明
Type あり COUNT は、ルールグループ内の個々のルールで指定されたアクションをオーバーライドします。
NONE に設定すると、ルールのアクションが実行されます。
タイプ: 文字列
有効な値: NONE | COUNT
Container検出結果に関連するコンテナの詳細。
タイプ: オブジェクト
例:
"Container": { "Name": "Secret Service Container", "ImageId": "image12", "ImageName": "SecSvc v1.2 Image",
122
AWS Security Hub ユーザーガイドASFF の属性
"LaunchedAt": "2018-09-29T01:25:54Z"}
Container オブジェクトには、次の属性を含めることができます。
属性 必須 説明
ImageId いいえ 検出結果に関連するイメージの識別子。
タイプ: 文字列 (128 文字以内)
ImageName いいえ 検出結果に関連するイメージの名前。
タイプ: 文字列 (128 文字以内)
LaunchedAt いいえ コンテナが開始された日時。
タイプ: タイムスタンプ
Name いいえ 検出結果に関連するコンテナの名前。
タイプ: 文字列 (128 文字以内)
OtherOther サブフィールドでは、カスタムのフィールドおよび値を指定できます。Other サブフィールドは、次の場合に使用します。
• リソースタイプに対応するサブフィールドがない場合。リソースの詳細を指定するには、 Other サブフィールドを使用します。
• リソースタイプのサブフィールドに、入力するすべてのフィールドが含まれているわけではない場合。この場合は、リソースタイプのサブフィールドを使用して、使用可能なフィールドを挿入します。Other サブフィールドを使用して、タイプ固有のサブフィールドにないフィールドを挿入します。
• リソースタイプが提供されたタイプのいずれでもない場合。この場合、Resource.Type を Other に設定し、Other サブフィールドを使用して詳細を挿入します。
タイプ: 最大 50 個のキー/値ペアのマップ
各キーと値のペアは、次の要件を満たしている必要があります。
• キーは 128 文字未満である必要があります。• 値は 1,024 文字未満である必要があります。
Severity検出結果の重要度に関する詳細。
結果プロバイダーは初期重大度を設定できますが、それ以降は更新できません。重大度は、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。
検出結果の重要度には、関連するアセットまたは基になるリソースの重要度は考慮されません。重要度は、検出結果に関連付けられたリソースの重要度のレベルとして定義されます。たとえば、ミッションクリティカルなアプリケーションに関連付けられたリソースもあれば、非本番稼働用テストに関連付けられたリソースもあります。リソースの重要度に関する情報をキャプチャするには、Criticality フィールドを使用します。
123
AWS Security Hub ユーザーガイドASFF の属性
検出結果に Label または Normalized が含まれている必要があります。どちらの属性も含まれていない場合、検出結果は無効です。Label が優先される属性です。
Severity オブジェクトには、次の属性を含めることができます。
属性 必須 説明
Label いいえ 結果の重要度値。
タイプ: enum
使用可能な値: INFORMATIONAL | LOW | MEDIUM | HIGH |CRITICAL
概して、Label 値は以下のように解釈できます。
• INFORMATIONAL – 問題は見つかりませんでした。• LOW – この問題は単独で対処する必要はありません。• MEDIUM – この問題は対処する必要がありますが、緊急ではありま
せん。• HIGH – この問題は優先事項として対処する必要があります。• CRITICAL – この問題は悪化しないようにすぐに修正する必要が
あります。
Normalized (廃止予定) いいえ 検出結果の正規化された重大度。
この属性は廃止される予定です。Normalized ではなく、Label を指定します。
タイプ: 整数
Normalized の値は 0 〜 100 の整数であることが必要です。ゼロは検出結果に重要度が適用されないことを意味し、100 は検出結果の重要度が最大であることを意味します。
Normalized の値の設定に関するガイダンスについては、「thesection called “正規化された重要度を割り当てるためのガイダンス(AWS サービスおよびパートナー)” (p. 125)」を参照してください。
Product いいえ 検出結果を生成した検出製品で定義されているネイティブの重大度。
タイプ: 数値 (単精度 32 ビット IEEE 754 浮動小数点数、有限値に制限)
Security Hub が Label と Normalized 値をマップする方法Label のみまたは Normalized のみを指定した場合、Security Hub はもう一方のフィールドの値を自動的に入力します。
Normalized を提供し、Label を提供しない場合、Label は以下のように自動的に設定されます。
Normalized Label
0 INFORMATIONAL
1–39 LOW
124
AWS Security Hub ユーザーガイドASFF の属性
Normalized Label
40–69 MEDIUM
70–89 HIGH
90–100 CRITICAL
Label のみを指定し、Normalized を指定しない場合、Normalized は以下のように自動的に設定されます。
Label Normalized
INFORMATIONAL 0
LOW 1
MEDIUM 40
HIGH 70
CRITICAL 90
正規化された重要度を割り当てるためのガイダンス (AWS サービスおよびパートナー)
AWS のサービスおよびサードパーティーパートナーの製品によって生成された検出結果の場合、重要度は以下に基づいています。
• 最も重大 – 実際のデータの損失やサービス拒否に関連付けられている検出結果• 2 番目に重大 – アクティブなセキュリティ侵害に関連付けられているが、データの損失やその他の悪影
響が発生したことを示してない検出結果• 3 番目に重大 – 今後のセキュリティ侵害の可能性を示す問題に関連付けられている検出結果
検出結果のネイティブの重要度スコアを ASFF 対応の正規化された重要度に変換する際には、以下のガイダンスを使用することをお勧めします。
• 通知目的の検出結果。合格したチェックまたは機密データの識別に対応する検出結果など。
推奨スコア: 0• 今後の侵害につながる可能性のある問題に関連付けられた検出結果。脆弱性、設定の弱点、公開された
パスワードなど。
これは一般的に、検出結果のタイプに基づいて Software and Configuration Checks 名前空間に合わせられます。
推奨スコア: 1 ~ 39 (低)• 積極的な侵害を示しているが、攻撃者による目標達成を示していない問題に関連付けられた検出結果。
マルウェアアクティビティ、ハッキングアクティビティ、または異常な動作の検出など。
これは通常、検出結果のタイプに基づいて Threat Detections and Unusual Behavior 名前空間に合わせられます。
推奨スコア: 40 ~ 69 (中)
125
AWS Security Hub ユーザーガイドASFF の属性
• 攻撃者がアクティブなデータの損失、漏洩、サービス拒否などの目標を達成したことを示す検出結果。
これは一般的に、検出結果のタイプに基づいて Effects 名前空間に合わせられます。
推奨スコア: 70 〜 100 (高または重大)
ThreatIntelIndicators検出結果に関連する脅威インテリジェンスの詳細。
タイプ: 最大 5 個の脅威インテリジェンスインジケータオブジェクトの配列
例:
"ThreatIntelIndicators": [ { "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888" }]
各脅威インテリジェンスインジケータオブジェクトには、次の属性を含めることができます。
属性 必須 説明
Category いいえ 脅威インテリジェンスインジケータのカテゴリ。
タイプ: enum
有効な値: BACKDOOR | CARD_STEALER | COMMAND_AND_CONTROL |DROP_SITE | EXPLOIT_SITE | KEYLOGGER
LastObservedAt いいえ 脅威インテリジェンスインジケータが最後に検出された日時。
タイプ: タイムスタンプ
Source いいえ 脅威インテリジェンスのソース。
タイプ: 文字列 (64 文字以内)
SourceUrl いいえ 脅威インテリジェンスのソースからの詳細情報の URL。
タイプ: URL
Type いいえ 脅威インテリジェンスインジケータのタイプ。
タイプ: enum
有効な値: DOMAIN | EMAIL_ADDRESS | HASH_MD5 | HASH_SHA1 |HASH_SHA256 | HASH_SHA512 | IPV4_ADDRESS | IPV6_ADDRESS| MUTEX | PROCESS | URL
Value いいえ 脅威インテリジェンスインジケータの値。
タイプ: 文字列 (512 文字以内)
126
AWS Security Hub ユーザーガイドASFF のタイプ分類
WorkflowWorkflow オブジェクトは、検出結果の調査ステータスに関する情報を提供します。
検出結果の提供元を見つけるためのものではありません。このオブジェクトは顧客専用に用意されており、顧客の修復ツール、オーケストレーションツール、チケット発行ツールによって使用されます。
ワークフローのステータスは、BatchUpdateFindings を使用してのみ更新できます。お客様は、コンソールから更新することもできます。「the section called “検索のワークフローステータスの設定” (p. 53)」を参照してください。ワークフローステータスは、マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。
Workflow には、以下の属性を含めることができます。
属性 必須 説明
Status いいえ 検出結果の調査ステータス。
タイプ: enum
有効な値: NEW | NOTIFIED | RESOLVED |SUPPRESSED
• NEW – レビュー前の検出結果の初期状態。
• NOTIFIED – セキュリティの問題についてリソース所有者に通知したことを示します。初回レビュー者がリソース所有者ではなく、リソース所有者の介入が必要な場合に使用されます。
• RESOLVED – この検出結果はレビューおよび修正され、現在は解決済みと見なされています。
• SUPPRESSED – 検出結果はレビューされず、対処されません。
ASFF のタイプ分類Types パスの最初の 3 つのレベルについて説明します。このリストでは、最上位の項目は名前空間、2 番目のレベルの項目はカテゴリ、3 番目のレベルの項目は分類子です。分類子は Software and ConfigurationChecks 名前空間でのみ定義されます。
• 名前空間• カテゴリ
• 分類子
検出結果の提供元には、定義済みの名前空間を使用する必要があります。定義済みのカテゴリと分類子の使用をお勧めしますが、必須ではありません。
検出結果の提供元には、名前空間/カテゴリ/分類子の部分パスを定義できます。たとえば、以下の検出結果タイプはすべて有効です。
• TTPs
127
AWS Security Hub ユーザーガイドASFF のタイプ分類
• TTPs/Defense Evasion• TTPs/Defense Evasion/CloudTrailStopped
TTP は Tactics、Techniques、Procedures の略です。次のリストの TTP カテゴリは、MITRE ATT&CKMatrixTM に対応します。Unusual Behaviors は、一般的な異常動作 (統計的異常など) を反映しており、特定の TTP に合わせられていません。ただし、Unusual Behaviors と TTP の両方の検出結果タイプを持つ検出結果として分類できます。
• Software and Configuration Checks• Vulnerabilities
• CVE• AWS Security Best Practices
• Network Reachability• Runtime Behavior Analysis
• Industry and Regulatory Standards• CIS Host Hardening Benchmarks• CIS AWS Foundations Benchmark• PCI-DSS Controls• Cloud Security Alliance Controls• ISO 90001 Controls• ISO 27001 Controls• ISO 27017 Controls• ISO 27018 Controls• SOC 1• SOC 2• HIPAA Controls (USA)• NIST 800-53 Controls (USA)• NIST CSF Controls (USA)• IRAP Controls (Australia)• K-ISMS Controls (Korea)• MTCS Controls (Singapore)• FISC Controls (Japan)• My Number Act Controls (Japan)• ENS Controls (Spain)• Cyber Essentials Plus Controls (UK)• G-Cloud Controls (UK)• C5 Controls (Germany)• IT-Grundschutz Controls (Germany)• GDPR Controls (Europe)• TISAX Controls (Europe)
• TTPs• Initial Access• Execution• Persistence• Privilege Escalation• Defense Evasion• Credential Access
128
AWS Security Hub ユーザーガイドASFF のタイプ分類
• Discovery• Lateral Movement• Collection• Command and Control
• Effects• Data Exposure• Data Exfiltration• Data Destruction• Denial of Service• Resource Consumption
• Unusual Behaviors• Application• Network Flow• IP address• User• VM• Container• Serverless• Process• Database• Data
• Sensitive Data Identifications• PII• Passwords• Legal• Financial• Security• Business
129
AWS Security Hub ユーザーガイド製品統合の管理
AWS Security Hub での製品の統合AWS Security Hub では、複数の AWS サービスおよびサードパーティー製品との統合が可能です。
また、独自のカスタムセキュリティ製品から生成された結果を送信することもできます。Important
Security Hub は、AWS アカウントで Security Hub が有効化された後で生成された、AWS とパートナー製品の統合からのセキュリティ結果のみを受け取り、統合します。Security Hub を有効化する前に生成されたセキュリティ結果をさかのぼって受け取ったり統合したりすることはありません。
取り込まれた結果に対して Security Hub が課金する方法の詳細については、Security Hub 料金表を参照してください。
トピック• 製品統合の管理 (p. 130)• 利用可能な AWS のサービスの統合 (p. 132)• 利用可能なサードパーティーパートナー製品の統合 (p. 133)• カスタム製品統合を使用して AWS Security Hub に結果を送信する (p. 139)
製品統合の管理[統合] ページで、利用可能なすべての AWS およびサードパーティー製品の統合にアクセスできます。AWS Security Hub API には、統合を管理できるようにするオペレーションも用意されています。
Note
AWS GovCloud (米国東部) または AWS GovCloud (US-West) では一部の統合を使用できません。統合がサポートされていない場合は、[統合] ページに表示されません。
統合のリストの表示とフィルター処理[統合] ページから、統合のリストを表示およびフィルターできます。
統合のリストを表示するには
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. Security Hub ナビゲーションペインで、[統合] を選択します。
[統合] ページで、他の AWS のサービスとの統合が最初に一覧表示され、その後にサードパーティー製品との統合が一覧表示されます。
統合ごとに、[統合] ページに以下の情報が表示されます。
• 会社の名前• 製品の名前。• 統合の説明です。• 統合が適用されるカテゴリ• 統合を有効にする方法• 統合の現在のステータス
130
AWS Security Hub ユーザーガイド統合の有効化
以下のフィールドのテキストを使用してリストをフィルター処理できます。
• 会社名• 製品名• 統合の説明• カテゴリ
統合の有効化[統合] ページで、統合を有効にするための手順が統合別に表示されます。
他の AWS のサービスとの統合では、多くの場合、唯一必要なステップは他のサービスを有効にすることです。統合情報には、サービスのホームページへのリンクが含まれています。他のサービスを有効にすると、Security Hub がサービスから検出結果を受信できるようにするリソースレベルのアクセス許可が自動的に作成されて適用されます。
サードパーティー製品の統合では、AWS Marketplace から統合を購入して設定することが必要になる場合があります。統合情報には、それらのタスクを実行するためのリンクが含まれます。
AWS Marketplace で複数のバージョンの製品が使用可能な場合は、サブスクライブするバージョンを選択してから [Continue to Subscribe (サブスクライブを継続)] を選択します。たとえば、一部の製品では標準バージョンと AWS GovCloud (US) バージョンが提供されています。
製品の統合を有効にすると、リソースポリシーがその製品サブスクリプションに自動的に付加されます。このリソースポリシーは、Security Hub がその製品から結果を受け取るために必要なアクセス許可を定義します。
統合からの検出結果のフローの無効化と有効化 (コンソール)[統合] ページで、結果を送信する統合の場合、[Status (ステータス)] フィールドには、検出結果を現在受け入れているかどうかが示されます。
検出結果の受け入れを停止するには、[Stop accepting findings (検出結果の受け入れを停止)] を選択します。
結果の受け入れを再開するには、[Accept findings (検索結果の受け入れ)] を選択します。
統合からの検出のフローの無効化および有効化 (API)API を使用して統合からの検出結果の受信を停止するには、DisableImportFindingsForProductオペレーションを使用します。統合による結果のフローを無効にするには、サブスクリプションの ARN が必要です。現在有効な統合のサブスクリプション ARN を取得するには、ListEnabledProductsForImport オペレーションを使用します。
API を使用して統合から検出結果を受信できるようにするには、EnableImportFindingsForProductオペレーションを使用します。Security Hub を有効にして、統合から結果を受け取るには、製品 ARN が必要です。利用可能な統合の ARN を取得するには、DescribeProducts オペレーションを使用します。
統合からの調査結果の表示検出結果を受け入れている ([Status (ステータス)] が [Accepting findings (検出結果の受け入れ)] になっている) 統合の場合、検出結果のリストを表示するには、[See findings (検出結果の表示)] を選択します。
結果リストには、ワークフローステータスが NEW または NOTIFIED である、選択した統合のアクティブな結果が表示されます。
131
AWS Security Hub ユーザーガイド利用可能な AWS のサービスの統合
結果リストから、以下のアクションを実行できます。
• リストのフィルターとグループ化の変更 (p. 51)• 個々の結果の詳細を表示 (p. 52)• 結果のワークフローステータスを更新する (p. 53)• カスタムアクションに結果を送信する (p. 53)
利用可能な AWS のサービスの統合Security Hub は、複数の AWS サービスとの統合をサポートしています。
Note
アフリカ (ケープタウン)、ヨーロッパ (ミラノ)、AWS GovCloud (米国東部) または AWSGovCloud (US-West) では一部の統合を使用できません。統合がサポートされていない場合は、[統合] ページに表示されません。
これらのサービスでは、統合により、サービスが Security Hub に結果を送信できるようになります。
• AWS Firewall Manager (p. 132)• IAM Access Analyzer (p. 132)• Amazon GuardDuty (p. 133)• Amazon Inspector (p. 133)• Amazon Macie (p. 133)
Security Hub は、Amazon Detective (p. 132) との統合もサポートしています。この統合により、SecurityHub から Detective にピボットして GuardDuty 結果を調べることができます。
AWS のサービスの統合それぞれの詳細は以下のとおりです。
AWS Firewall Manager
Firewall Manager は、リソースの WAF ポリシーまたはウェブ ACL ルールが準拠していない場合に、調査結果を Security Hub に送信します。また、Firewall Manager は、Shield Advanced がリソースを保護していない場合や、攻撃が特定された場合にも検出結果を送信します。
すでに Firewall Manager を使用している場合、Security Hub はこの統合を自動的に有効にします。Firewall Manager からの結果の受け取りを開始するために追加のアクションを実行する必要はありません 。
統合の詳細については、Security Hub コンソールの [統合] ページを表示してください。
Firewall Manager の詳細については、AWS WAF 開発者ガイド を参照してください。IAM Access Analyzer
IAM Access Analyzer では、すべての結果が Security Hub に送信されます。
IAM Access Analyzer は、論理ベースの推論を使用して、アカウントでサポートされるリソースに適用されたリソースベースのポリシーを分析します。IAM Access Analyzer は、アカウント内のリソースへの外部プリンシパルアクセスを許可するポリシーステートメントを検出すると、結果を生成します。
詳細については、IAM ユーザーガイド の「IAM Access Analyzer とは」を参照してください。Amazon Detective
Detective は AWS リソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に視覚化および実施できるようにします。
132
AWS Security Hub ユーザーガイド利用可能なサードパーティーパートナー製品の統合
Detective との Security Hub 統合により、Security Hub の Amazon GuardDuty 結果から Detective にピボットすることができます。その後、Detective ツールと可視化を使用してそれらを調査できます。統合では、Security Hub または Detective に追加の設定は必要ありません。
Detective がサポートする GuardDuty 結果タイプの場合、結果の詳細には [Investigate in Detective(DET での調査)] サブセクションが含まれます。そのサブセクションには、Detective へのリンクが含まれています。Amazon Detective ユーザーガイド の「Pivoting to a Finding Profile from AmazonGuardDuty or AWS Security Hub」を参照してください。
Detective がサポートする検索タイプの一覧については、「サポートされる検索タイプ」を参照してください。
リンクが機能しない場合のトラブルシューティングのアドバイスについては、「Troubleshooting thePivot」を参照してください。
Amazon GuardDuty
GuardDuty は、サポートされているすべての結果タイプの結果を Security Hub に送信します。
GuardDuty からの新しい検出結果は 5 分以内に Security Hub に送信されます。検出結果の更新は、GuardDuty 設定の CloudWatch イベント イベントの [Updated findings (更新された検出結果)] 設定に基づいて送信されます。
GuardDuty の [Setting (設定)] ページを使用して GuardDuty サンプル結果を生成すると、Security Hubではサンプル結果を受け取り、結果タイプからプレフィックス「[Sample]」が省かれます。たとえば、GuardDuty のサンプル検出結果タイプ「[SAMPLE] Recon:IAMUser/ResourcePermissions」はSecurity Hub で「Recon:IAMUser/ResourcePermissions」と表示されます。
GuardDuty の検出結果の詳細については、Amazon GuardDuty ユーザーガイド の「AmazonGuardDuty の結果」を参照してください。
Amazon Inspector
Amazon Inspector は、Amazon Inspector 結果をサポートされているすべてのルールパッケージの評価実行によって生成された Security Hub に送信します。
Amazon Inspector のルールパッケージとルールの詳細については、Amazon Inspector ユーザーガイド の「Amazon Inspector のルールパッケージとルール」を参照してください。
Amazon Macie
Macie を使用すると、検出結果 (現在アラートと呼ばれている) は、CloudTrail データ、S3 バケットプロパティ、および S3 オブジェクトのいずれかのインデックスになります。
詳細については、Amazon Macie ユーザーガイド の「Macie アラートの検索と分析」を参照してください。
Macie は、S3 バケットプロパティと S3 オブジェクトのインデックスからのみ Security Hub 基本アラートとカスタムアラート (結果) を送信します。Macie はデータ分類を送信しません。
Macie は、[CloudTrail データ] インデックスからの結果を Security Hub に送信しません 。
利用可能なサードパーティーパートナー製品の統合AWS Security Hub は以下のサードパーティー製品と統合されています。検出結果の提供元別にリストでは、製品が Security Hub に検出結果を送信するか、Security Hub から結果を受信するか、またはその両方かが示されます。
Note
アフリカ (ケープタウン)、ヨーロッパ (ミラノ)、AWS GovCloud (米国東部) または AWSGovCloud (US-West) では一部の統合を使用できません。統合がサポートされていない場合は、[統合] ページに表示されません。
133
AWS Security Hub ユーザーガイド利用可能なサードパーティーパートナー製品の統合
該当する場合、リストでは製品 ARN も指定されます。Security Hub に結果を送信する統合には、常にARN があります。
会社名 製品名 統合タイプ
製品 ARN 製品の説明
AlertLogic
SIEMlessThreatManagement
送信 arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement
脆弱性とアセットの可視性、脅威の検出とインシデント管理、WAF、割り当てられた SOC アナリストのオプションなど、適切なレベルがカバーされています。
AquaSecurity
AquaCloudNativeSecurityPlatform
送信 arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity
Aqua Cloud Native Security Platform(CSP) は、CI/CD パイプラインからランタイム運用環境まで、コンテナベースのアプリケーションおよびサーバーレスアプリケーションの完全なライフサイクルセキュリティを提供します。
Armor ArmorAnywhere
送信 arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere
Armor Anywhere は AWS のセキュリティとコンプライアンスを管理します。
Atlassian OpsGenie
受信 Opsgenie は、常時稼働のサービスを運用するための最新のインシデント管理ソリューションであり、開発および運用チームがサービス中断の計画を立て、インシデント中の管理を維持できるようにします。
Security Hub と統合することで、ミッションクリティカルなセキュリティ関連のインシデントが適切なチームにルーティングされるため、即座の解決が可能となります。
AttackIQ AttackIQ 送信 arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform
AttackIQ プラットフォームは、MITREATT&CK Framework と連携して現実的な敵対的動作をエミュレートし、全体的なセキュリティ体制の検証と改善を支援します。
BarracudaNetworks
CloudSecurityGuardian
送信 arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian
Barracuda Cloud Security Sentry は、パブリッククラウドでアプリケーションを構築し、ワークロードをパブリッククラウドに移行するだけでなく、組織の安全性を維持するのに役立ちます。
BigID BigIDEnterprise
送信 arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise
BigID Enterprise Privacy ManagementPlatform
CapitisSolutions
C2VS 送信 arn:aws:securityhub:<REGION>::product/capitis/c2vs
C2VS は、アプリケーション固有の設定ミスとその根本原因を自動的に特定するように設計された、カスタマイズ可能なコンプライアンスソリューションです。
Caveonix CaveonixRiskForesight.io
送信と受信
arn:aws:securityhub:<REGION>::product/caveonix/riskforesight-io
コンプライアンスの自動化とハイブリッドクラウドのセキュリティ体制管理を提供し、包括的なワークロード保護を実
134
AWS Security Hub ユーザーガイド利用可能なサードパーティーパートナー製品の統合
会社名 製品名 統合タイプ
製品 ARN 製品の説明
現する SaaS リスク軽減プラットフォーム。
CheckpointCloudGuardIaaS
送信 arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas
Check Point CloudGuard は、クラウド内のアセットを保護するだけでなく、包括的な脅威防止セキュリティを AWS に容易に拡張します。
CheckpointDome9Arc
送信 arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc
検証可能なクラウドネットワークセキュリティ、高度な IAM 保護、および包括的なコンプライアンスとガバナンスを提供する SaaS プラットフォーム。
CloudCustodian
CloudCustodian
送信と受信
arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian
Cloud Custodian を使用すると、ユーザーをクラウドで適切に管理できます。シンプルな YAML DSL を使用すると、ルールを容易に定義して、適切に管理されているクラウドインフラストラクチャを有効にすることができます。
CrowdStrikeCrowdStrikeFalcon
送信 arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon
CrowdStrike Falcon の単一の軽量センサーでは、次世代のウイルス対策、エンドポイントの検出と対応、および 24 時間 365 日管理されるクラウド経由のハンティングが統合されています。
CyberArk PrivilegedThreatAnalytics
送信 arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta
Privileged Threat Analytics は、特権アカウントのリスクの高いアクティビティや動作を収集、検出、警告、および対応して、進行中の攻撃を阻止します。
DisruptOps,Inc.
DisruptOPS送信と受信
arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops
DisruptOps の Security OperationsPlatform は、自動化されたガードレールを使用することにより、組織がクラウド内でベストプラクティスを維持するのに役立ちます。
F5Networks
AdvancedWAF
送信 arn:aws:securityhub:<REGION>:250871914685:product/f5networks/f5-advanced-waf
Advanced WAF は、悪意のあるボット対策、L7 DoS 軽減、API 検査、動作分析などを提供して、ウェブアプリの攻撃から防御します。
FireEye FireEyeHelix
受信 FireEye Helix は、クラウドホスト型のセキュリティ運用プラットフォームであり、組織は、アラートから修正までのあらゆるインシデントを制御できるようになります。
ForcepointForcepointCASB
送信 arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-casb
Forcepoint CASB では、クラウドアプリケーションの使用を検出し、リスクを分析して、SaaS およびカスタムアプリケーションの適切なコントロールを実施できます。
135
AWS Security Hub ユーザーガイド利用可能なサードパーティーパートナー製品の統合
会社名 製品名 統合タイプ
製品 ARN 製品の説明
ForcepointForcepointDLP
送信 arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-dlp
Forcepoint DLP は、人間が主体のリスクに対処し、ユーザーが作業するすべての場所とデータが存在するすべての場所を可視化して制御します。
ForcepointForcepointNGFW
送信 arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-ngfw
Forcepoint NGFW では、ネットワークの管理と脅威への対応に必要なスケーラビリティ、保護、インサイトを備えた AWS 環境をエンタープライズネットワークに接続できます。
GuardiCoreCentra4.0
送信 arn:aws:securityhub:<REGION>:324264561773:product/guardicore/guardicore
GuardiCore Centra は、最新のデータセンターやクラウドにおけるワークロードのフローの可視化、マイクロセグメンテーション、および違反検出を行います。
GuardiCoreInfectionMonkey
送信 arn:aws:securityhub:<REGION>:324264561773:product/guardicore/aws-infection-monkey
Infection Monkey は、攻撃者に対してネットワークをテストする目的で設計された攻撃シミュレーションツールです。
IBM QRadar 送信と受信
arn:aws:securityhub:<REGION>:949680696695:product/ibm/qradar-siem
IBM QRadar SIEM は、セキュリティチームに、迅速かつ正確に脅威を検出、優先順位付け、調査、および対応する機能を提供します。
Imperva AttackAnalytics
送信 arn:aws:securityhub:<REGION>:955745153808:product/imperva/imperva-attack-analytics
Imperva Attack Analytics は、何千ものセキュリティイベントをいくつかの判読可能なセキュリティインシデントに関連付け、絞り込みます。
McAfee MVISIONCloudfor AWS
送信 arn:aws:securityhub:<REGION>:297986523463:product/mcafee-skyhigh/mcafee-mvision-cloud-aws
McAfee MVISION Cloud for AmazonWeb Services は、AWS 環境のための包括的なモニタリング、監査、修復のソリューションです。
136
AWS Security Hub ユーザーガイド利用可能なサードパーティーパートナー製品の統合
会社名 製品名 統合タイプ
製品 ARN 製品の説明
PagerDutyPagerDuty受信 PagerDuty のデジタル運用管理プラットフォームを使用すると、あらゆるシグナルが自動的に適切なインサイトとアクションに変換されることで、顧客に影響を与える問題をチームが事前に軽減できます。
AWS ユーザーは、PagerDuty が備える一連の AWS との統合性を利用して、AWS およびハイブリッド環境を確実にスケールすることができます。
PagerDuty を AWS Security Hub の集計および整理されたセキュリティアラートと組み合わせれば、チームは脅威応答プロセスを自動化し、潜在的な問題を防ぐためのカスタムアクションを迅速に設定することが可能になります。
クラウド移行プロジェクトを実施している PagerDuty ユーザーは、移行のライフサイクルを通して発生する問題の影響を軽減しながら、迅速に移行することができます。
PaloAltoNetworks
DemistoEnterpriseAMI
受信 Demisto は、セキュリティ製品スタック全体と統合してインシデント対応とセキュリティ運用を迅速化する、Security Orchestration, Automation,and Response (SOAR) プラットフォームです。
PaloAltoNetworks
Redlock 送信 arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock
クラウドセキュリティ分析、高度な脅威検出、およびコンプライアンスモニタリングにより、AWS のデプロイを保護します。
Qualys VulnerabilityManagement
送信 arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm
Qualys Vulnerability Management (VM)は、脆弱性を継続的にスキャンして識別し、アセットを保護します。
RackspaceCloudNativeSecurity
受信 ネイティブ AWS セキュリティ製品に基づくマネージドセキュリティサービスであり、Rackspace SOC による 24 時間365 日のモニタリング、高度な分析、脅威の改善が可能です。
Rapid7 InsightConnect受信 Rapid7 の InsightConnect は、セキュリティ上のオーケストレーションと自動化のソリューションであり、チームはコードをほとんどまたは一切使用せずにSOC 操作を最適化できます。
137
AWS Security Hub ユーザーガイド利用可能なサードパーティーパートナー製品の統合
会社名 製品名 統合タイプ
製品 ARN 製品の説明
Rapid7 InsightVM 送信 arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm
Rapid7 InsightVM は、最新の環境のための脆弱性管理を提供し、脆弱性の検出、優先順位付け、および修復を効率化します。
ServiceNowITSM 受信 ServiceNow Security Hub の統合により、Security Hub からのセキュリティ検出結果を ServiceNow ITSM 内で表示できます。
ServiceNowSecOps 受信 ServiceNow Security Hub の統合により、Security Hub から ServiceNowSecurity Operations へのセキュリティ検出結果の自動転送と手動転送の両方が可能になります。
Slack Slack 受信 Slack は、人、データ、およびアプリケーションを 1 か所に集約したビジネステクノロジースタックのレイヤーです。人々が効果的に協力し、重要な情報を見つけ、何十万もの重要なアプリケーションやサービスにアクセスして、最善の仕事ができるようにします。
Sophos ServerProtection
送信 arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection
Sophos Server Protection は、包括的な多層防御テクノロジーを使用して、組織の中核となるクリティカルなアプリケーションとデータを保護します。
Splunk SplunkEnterprise
受信 arn:aws:securityhub:<REGION>:112543817624:product/splunk/splunk-enterprise
Splunkは、Security Hub の検出結果のコンシューマーとして AmazonCloudWatch Events を使用します。データを Splunk に送信すると、高度なセキュリティ分析と SIEM を実行できます。
Splunk SplunkPhantom
受信 Splunk Phantom App for AWS SecurityHub を使用すると、追加の脅威インテリジェンス情報を使用した自動コンテキスト強化、または自動応答アクションの実行のために、検出結果が Phantom に送信されます。
SumoLogic
MachineDataAnalytics
送信 arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda
Sumo Logic は、DevSecOps チームがAWS アプリケーションを構築、実行、および保護することができる、安全なマシンデータ分析プラットフォームです。
Symantec CloudWorkloadProtection
送信 arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp
Cloud Workload Protection は、マルウェア対策、侵入防止、およびファイルの整合性モニタリングにより、AmazonEC2 インスタンスを完全に保護します。
138
AWS Security Hub ユーザーガイドカスタム製品統合の使用
会社名 製品名 統合タイプ
製品 ARN 製品の説明
Tenable Tenable.io送信 arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io
脆弱性を正確に特定し、調査し、優先順位を付けます。クラウドで管理されます。
Turbot Turbot 受信 Turbot は、クラウドインフラストラクチャの安全性、準拠性、拡張性を保証し、そのコストを最適化します。
Twistlock EnterpriseEdition
送信 arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise
Twistlock は、VM、コンテナ、およびサーバーレスプラットフォームを保護する、クラウドネイティブのサイバーセキュリティプラットフォームです。
VectraAI
CognitoDetect
送信 arn:aws:securityhub:<REGION>::product/vectra-ai/cognito-detect
Vectra は、高度な AI を適用して、隠れたサイバー攻撃者による盗難や損害を事前に検出して対応することで、サイバーセキュリティを変革します。
カスタム製品統合を使用して AWS Security Hub に結果を送信する
Security Hub は、統合された AWS サービスとサードパーティー製品によって生成された検出結果だけでなく、利用される可能性のある他のカスタムセキュリティ製品によって生成された検出結果を使用することもできます。
BatchImportFindings API オペレーションを使用して、これらの結果を Security Hub に手動で送信できます。
カスタムセキュリティ製品からの結果の送信に関する要件と推奨事項BatchImportFindings API オペレーションを正常に呼び出すには、あらかじめ Security Hub を有効にしておく必要があります。
AWS Security Finding 形式 を使用して検出結果の詳細を入力する必要があります。カスタム統合からの検出結果には、以下の要件と推奨事項を使用します。
製品 ARN の設定
Security Hub を有効にすると、Security Hub のデフォルトの製品 Amazon リソースネーム (ARN) が現在のアカウントで生成されます。
この製品 ARN の形式は、arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default です。たとえば、arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default と指定します。
BatchImportFindings API オペレーションを呼び出すときに、この製品 ARN を ProductArn 属性の値として使用します。
製品名の決定
Security Hub に送信する結果を生成する製品の名前を定義するには、ProductFields 属性を使用することをお勧めします。
139
AWS Security Hub ユーザーガイドカスタム製品からの検出結果の更新
以下に例を示します。
"ProductFields": { "ProviderName": "<name of the product>", "ProviderVersion": "<product version>", }
検出結果 ID の設定
Id 属性を使用して、独自の検出結果の ID を提供、管理、および増分する必要があります。
新しい各検出結果には、固有の検出結果 ID が必要です。アカウント ID の設定
AwsAccountId 属性を使用して、自分のアカウント ID を指定する必要があります。作成日と更新日の設定
CreatedAt および UpdatedAt 属性に独自のタイムスタンプを渡す必要があります。
カスタム製品からの検出結果の更新カスタム製品から新しい結果を送信するだけでなく、BatchImportFindings API オペレーションを使用して、カスタム製品から既存の結果を更新することもできます。
既存の結果を更新するには、既存の結果 ID を (Id 属性を介して) 使用します。リクエストで更新された適切な情報 (変更された UpdatedAt タイムスタンプを含む) を使用して、完全な結果を再送信します。
カスタム統合の例次のカスタム製品の統合例をガイドとして使用して、独自のカスタムソリューションを作成できます。
AWS Fargate および Prowler
Prowler は、Amazon Redshift、Amazon ElastiCache、Amazon API Gateway、Amazon CloudFront などのサービスに関連する数十のセキュリティ設定チェックを提供しています。
詳細については、「AWS Fargate と Prowler を使用して AWS のサービスに関するセキュリティ設定の調査結果を Security Hub に送信する」を参照してください。
AWS Config ルールのインポート
AWS CloudFormation テンプレートを使用して、Security Hub に AWS Config ルールをインポートできます。
詳細については、「How to import AWS Config rules evaluations as findings in Security Hub」を参照してください。
140
AWS Security Hub ユーザーガイドセキュリティチェックを実行するための AWS Config の要件
AWS Security Hub でのセキュリティ標準
AWS Security Hub は、さまざまなサポート対象の AWS およびサードパーティー製品からのセキュリティ結果を消費、集計、分析します。
Security Hub では、サポートされている一連のセキュリティ標準でルールに対して自動的かつ継続的なチェックを実行した結果として独自の結果も生成します。これらのチェックにより、準備状況スコアを取得でき、注意の必要なアカウントおよびリソースを特定できます。
Security Hub では、以下の標準のコントロールが利用できます。
• CIS AWS Foundations (p. 149)• Payment Card Industry Data Security Standard (PCI DSS) (p. 191)• AWS の基本的なセキュリティのベストプラクティス (p. 231)
セキュリティチェックの Security Hub 料金については、Security Hub 料金表を参照してください。
トピック• セキュリティチェックを実行するための AWS Config の要件 (p. 141)• セキュリティチェックの実行スケジュール (p. 143)• セキュリティチェックの結果 (p. 143)• セキュリティ標準の無効化または有効化 (p. 145)• コントロールの詳細の表示 (p. 146)• 個々のコントロールの無効化と有効化 (p. 148)• CIS AWS Foundations 標準 (p. 149)• Payment Card Industry Data Security Standard (PCI DSS) (p. 191)• AWS の基本的なセキュリティのベストプラクティス標準 (p. 231)
セキュリティチェックを実行するための AWSConfig の要件
環境のリソースに対してセキュリティチェックを実行するために、AWS Security Hub は、標準で指定されたステップを使用するか特定の AWS Config マネージドルールを使用します。これらの AWS Config マネージドルールは、セキュリティハブ サービスによって有効化および制御されるため、サービスリンクルールと呼ばれます。
セキュリティハブ に対する AWS Config の有効化セキュリティハブ で標準が機能するには、セキュリティ標準を有効にする前に、セキュリティハブ アカウントで AWS Config もを有効にする必要があります。
141
AWS Security Hub ユーザーガイドセキュリティハブ がセキュリティ標準の AWSConfig サービスリンクルールを生成する方法
セキュリティハブ は AWS Config を管理しません。すでに AWS Config が有効になっている場合は、引き続き AWS Config コンソールまたは API を介してその設定を設定します。
AWS Config が有効になっていない場合は、手動で有効にするか、AWS CloudFormation StackSets サンプルテンプレートの AWS CloudFormation「AWS Config テンプレートの有効化」を使用して有効にできます。セキュリティハブ マルチアカウント、マルチリージョンの有効化スクリプトを使用すると、AWSConfig も有効になります。
Important
セキュリティハブ マスターアカウントで、AWS Config を有効にした場合、AWS Config は、このマスターアカウントの セキュリティハブ メンバーアカウントで自動的に有効になりません。セキュリティハブ で セキュリティハブ メンバーアカウントのリソースのセキュリティ標準に対する結果を生成する場合は、そのメンバーアカウントで AWS Config を有効にする必要があります。
Important
AWS Config レコーダーを有効にする一環として AWS Config レコーダーを有効にする場合は、指定されたリージョンで、グローバルリソースを含む、サポートされているすべてのリソースを記録することを選択します。詳細については、AWS Config Developer Guide の「AWS Config の開始方法」を参照してください。
セキュリティハブ がセキュリティ標準の AWS Configサービスリンクルールを生成する方法セキュリティ標準を有効にすると、セキュリティハブ は、有効なコントロールに対してチェックを実行するために必要な AWS Config サービスリンクルールを自動的に作成します。
AWS Config サービスリンクルールを使用するすべてのコントロールに対して、セキュリティハブ が AWS環境内で必要な規則のインスタンスを作成します。これらのサービスリンクルールは、セキュリティハブに固有です。同じルールの他のインスタンスがすでに存在していても、これらのサービスリンクルールが作成されます。
Note
AWS Config マネージドルールの場合、制限は 1 リージョンあたりのアカウントごとに 150 ルールです。ただし、Security Hub でセキュリティ標準を有効にすると、自動的に作成されるサービスにリンクされた AWS Config ルールはその制限にカウントされません。アカウントに 150 のAWS Config マネージドルールがすでにある場合でも、これらのセキュリティ標準を有効にできます。セキュリティハブ によりセキュリティ標準に追加されるようなサービスリンクルールの場合、制限は 1 リージョンあたりアカウントごとに 150 のルールです。これは、AWS Config マネージドルールの 150 ルールの制限とは別のものです。
セキュリティハブ が各 CIS AWS Foundations コントロールに使用する特定の AWS Config マネージドルールについては、CIS AWS Foundations のコントロール (p. 149) を参照してください。CIS AWSFoundations コントロールに必要な AWS Config リソースのリストについては、the section called “CIS コントロールに必要な AWS Config リソース” (p. 149) を参照してください。
各 Payment Card Industry Data Security Standard (PCI DSS) コントロールに セキュリティハブ が使用する特定の AWS Config マネージドルールの詳細については、the section called “PCI DSS コントロール” (p. 192) を参照してください。PCI DSS 制御に必要な AWS Config リソースのリストについては、the section called “PCI DSS コントロールに必要な AWS Config リソース” (p. 192) を参照してください。
142
AWS Security Hub ユーザーガイドセキュリティチェックの実行スケジュール
AWS Config ルールに基づくセキュリティチェックによって検出結果が生成される場合、検出結果の詳細には、関連付けられた AWS Config ルールを開くための [ルール] リンクが含まれます。AWS Config ルールに移動するには、AWS Config に移動するために選択したアカウントの IAM アクセス許可も必要です。
セキュリティチェックの実行スケジュールセキュリティ標準を有効にした後、AWS Security Hub は 2 時間以内にチェックの実行を開始します。
最初のチェックの後、各コントロールのスケジュールは、定期的または変更によってトリガーされるのいずれかになります。
• 定期的なチェックは、最後に実行してから 12 時間以内に自動的に実行されます。周期性を変更することはできません。
• 変更によってトリガーされるチェックは、関連付けられたリソースの状態が変更されたときに実行されます。リソースの状態が変わらない場合でも、変更によってトリガーされるチェックの更新時刻は 18時間ごとに更新されます。これは、コントロールがまだ有効であることを示すのに便利です。
一般に、セキュリティハブ は、可能な限り、変更によってトリガーされるルールを使用します。リソースが変更によってトリガーされるルールを使用するには、AWS Config 設定項目のサポートが必要です。
マネージド AWS Config ルールに基づくコントロールの場合、コントロールの説明には、AWS ConfigDeveloper Guide 内のルールの説明へのリンクが含まれています。この説明には、ルールが変更によってトリガーされるか定期的かが含まれます。
セキュリティハブ カスタム Lambda 関数を使用するチェックは、常に定期的です。
セキュリティチェックの結果有効なセキュリティ標準に対して有効なコントロールに対してチェックを実行すると、AWS Security Hubにより結果が生成されます。これらの結果は、AWS Security Finding 形式 (ASFF) を使用します。
ASFF の標準関連情報セキュリティチェックによって生成された検出結果の場合、ASFF の Compliance (p. 77) フィールドには、標準関連の検出結果の詳細が含まれます。Compliance (p. 77) フィールドには、次の情報が含まれます。
• セキュリティハブ により特定のコントロールに対して実行された最新のチェックの結果を含む Statusフィールド。前のチェックの結果は 90 日間、アーカイブされた状態で保持されます。
• コントロールに関連する要件のリストを含む RelatedRequirements 配列
セキュリティ標準検出結果の重要度の決定セキュリティ標準検出結果では、重要度 (Severity.Label) は、問題が検出された場合に AWS リソースを侵害する難易度の評価に基づいて決定されます。
• CRITICAL – この問題は悪化しないようにすぐに修正する必要があります。
たとえば、公開された S3 バケットは重大な重要度の検出結果と見なされます。非常に多くの行為者が、公開された S3 バケットをスキャンするため、公開された S3 バケット内のデータは、他者によって発見され、アクセスされる可能性があります。一般に、意図しないパブリックアクセスを許可する過度に広範な権限のあるリソースは重大であると見なされます。
143
AWS Security Hub ユーザーガイドその結果からのコントロールの全体的なステータスの特定
これらの問題には、レスポンス時間に関する最高レベルの SLA が必要です。• HIGH – この問題は優先事項として対処する必要があります。
たとえば、CloudTrail ログ記録が有効になっていないことは重要度の高い問題と見なされます。これは、悪意のある行為者がログ記録を無効にして、侵入したインフラストラクチャ内で行ったアクションを隠すことができるためです。
このセキュリティ問題は優先事項として対応し、直ちに修正措置を講じることをお勧めします。• MEDIUM – この問題は対処する必要がありますが、緊急ではありません。
たとえば、保管時の暗号化の欠如は、重要度が中程度の検出結果と見なされます。これは、データがアクティブではなく、公開に対する脆弱性が低いためです。
できるだけ早く、関連するリソースを調査することをお勧めします。• LOW – この問題は単独で対処する必要はありません。
たとえば、タグがないと、リソースの可視性が失われることがあるため、必要なタグがない EC2 インスタンスが検出されると、重要度が低くなると考えられます。ただし通常、タグがなくても、リソースが直接侵害されるわけではありません。
重要度の低い問題に対して即座に対処する必要はありませんが、他の問題と相関関係がある場合は、コンテキストが提供されます。
• INFORMATIONAL – 問題は見つかりませんでした。つまり、ステータスは PASSED です。推奨されるアクションはありません。通知目的の検出結果は、顧客が準拠状態にあることを示すのに便利です。
その結果からのコントロールの全体的なステータスの特定セキュリティチェックによって生成された検出結果では、Status フィールドに以下のいずれかの値が割り当てられます。
• PASSED
• FAILED
• WARNING – チェックが完了しても、リソースが PASSED または FAILED の状態であるかどうかを セキュリティハブ が判断できないことを示します。
• NOT_AVAILABLE – サーバー障害があるか、リソースが削除されたか、AWS Config 評価の結果がNOT_APPLICABLE であったため、チェックを完了できないことを示します。
AWS Config 評価結果が NOT_APPLICABLE だった場合、結果は セキュリティハブ により自動的にアーカイブされます。
各コントロールの全体的なステータスは、そのコントロールのアクティブな結果の Compliance.Statusおよび Workflow.Status 値に基づきます。マスターアカウントとメンバーアカウントのアクティブな結果を使用します。全体的なステータスに使用できる値は次のとおりです。
• [成功] – 以下のいずれかが真であることを示します。• すべての結果には、PASSED の Compliance.Status があります。• すべての結果には、RESOLVED の Workflow.Status があります。すべての結果が RESOLVED の場
合 、制御ステータスは、Compliance.Status とは無関係に [合格] になります。• すべての結果には、PASSED の Compliance.Status、または FAILED の Compliance.Status だ
が SUPPRESSED の Workflow.Status のいずれかがあります。• [失敗] – 以下が真であることを示します。
144
AWS Security Hub ユーザーガイドセキュリティ標準のセキュリティスコアの決定
• 少なくとも 1 つの結果に FAILED の Compliance.Statusがあります。• これらの FAILED の結果のどれにも、SUPPRESSED または RESOLVED の Workflow.Status はあり
ません。• [不明] – 以下が真であることを示します。
• 少なくとも 1 つの結果に WARNING または NOT_AVAILABLE の Compliance.Status があります。• これらの WARNING または NOT_AVAILABLE の結果のどれにも、SUPPRESSED または RESOLVED の Workflow.Status はありません。
• FAILED の Compliance.Status がある結果はありません。
セキュリティ標準のセキュリティスコアの決定[Security standards (セキュリティ標準)] ページで、有効な標準別に 0% 〜 100% のセキュリティスコアが表示されます。
セキュリティスコアは、有効なコントロールに対する合格したコントロールの割合を表します。スコアはパーセンテージで表示されます。たとえば、10 個のコントロールが標準に対して有効になっており、それらのコントロールのうち 7 個が合格状態にある場合、セキュリティスコアは 70% です。
[Summary (概要)] ページの [Security standards (セキュリティ標準)] カードに、有効な標準別にセキュリティスコアも表示されます。また、有効な標準別に、有効なコントロールに対する合格したコントロールの割合を表す統合セキュリティスコアも表示されます。
標準関連の結果を更新するための規則指定されたルールに対するそれ以降のチェックが新しい結果を生成する場合 (たとえば、「ルートアカウントは使用しない」のステータスが FAILED から PASSED に変更されるなど)、最新の結果を含む新しい検出結果が生成されます。
指定されたルールに対するそれ以降のチェックが現在の結果と同じ結果を生成する場合は、既存の検出結果が更新され、新しい検出結果は生成されません。
セキュリティハブ は、関連付けられたリソースが削除された場合に、次のいずれかの基準に基づいて、コントロールから結果を自動的にアーカイブします。
• 結果は 3 日間で更新されませんでした。• 関連付けられた AWS Config 評価が NOT_APPLICABLE を返しました。
セキュリティ標準の無効化または有効化各セキュリティ標準を無効にまたは有効にできます。
セキュリティハブ はリージョン別のサービスであることに注意してください。セキュリティ標準を有効または無効にすると、現在のリージョンまたは API リクエストで指定したリージョンでのみ有効または無効になります。
セキュリティ標準を無効にすると、次のようになります。
• そのコントロールのチェックは実行されなくなります• コントロールに対して追加の結果は生成されません• セキュリティハブ により作成された関連 AWS Config ルールが削除されます
145
AWS Security Hub ユーザーガイドセキュリティ標準 (コンソール) の無効化
セキュリティ標準を有効にすると、その標準のすべてのコントロールがデフォルトで有効になります。その後、個々のコントロールを無効にできます。「the section called “個々のコントロールの無効化と有効化” (p. 148)」を参照してください。
セキュリティ標準 (コンソール) の無効化[セキュリティ標準] ページでは、有効な標準それぞれに標準を無効にするオプションがあります。
標準を無効にするには
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. 標準を無効にするリージョンで セキュリティハブ を使用していることを確認します。3. セキュリティハブ ナビゲーションペインで、[セキュリティ標準] を選択します。4. 無効にする標準に対して、[無効化] を選択します。
セキュリティ標準 (API) の無効化プログラムでセキュリティ標準を無効にするには、BatchDisableStandards オペレーションを使用します。
セキュリティ標準 (コンソール) の有効化[セキュリティ標準] ページでは、無効な標準それぞれに標準を有効にするオプションがあります。
セキュリティ標準を有効にするには
1. マスターアカウントとすべてのメンバーアカウントで AWS Config が有効になっていることを確認します。「the section called “セキュリティチェックを実行するための AWS Config の要件” (p. 141)」を参照してください。
2. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。3. 標準を無効にするリージョンで セキュリティハブ を使用していることを確認します。4. セキュリティハブ ナビゲーションペインで、[セキュリティ標準] を選択します。5. 有効にする標準に対して、[有効化] を選択します。
セキュリティ標準 (API) の有効化プログラムでセキュリティ標準を有効にするには、BatchEnableStandards オペレーションを使用します。
コントロールの詳細の表示[セキュリティ標準] ページでは、セキュリティハブでサポートされているセキュリティ標準にアクセスできます。
有効な標準ごとに、コントロールのリストを表示およびフィルタリングできます。各コントロールについて、コントロールに関する結果のリストを含む詳細ページを表示できます。
有効化された標準のコントロールを表示する[セキュリティ標準] ページから、その標準に関連付けられているコントロールのリストを表示できます。
146
AWS Security Hub ユーザーガイドコントロールのリストをフィルタリングする
有効な標準に対するコントロールの一覧を表示するには
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. セキュリティハブ ナビゲーションペインで、[セキュリティ標準] を選択します。3. 標準に対するコントロールを表示する場合は、[結果の表示] を選択します。
各コントロールについて、コントロールページには次の情報が表示されます。
• コントロールの識別子とタイトル• コントロールが有効か無効か• コントロールの全体的なステータス。「the section called “その結果からのコントロールの全体的なス
テータスの特定” (p. 144)」を参照してください。• コントロールに関連付けられた重大度• 各結果ステータスに結果があるアカウントの数
コントロールのリストをフィルタリングするデフォルトでは、コントロールのリストには、選択した標準に対するすべてのコントロールが含まれます。コントロール識別子、説明、関連要件、ステータス、または重大度に基づいてリストをフィルタリングできます。
識別子、説明、または関連要件のテキストに基づいてコントロールのリストをフィルタリングするには、テキストの入力を開始します。リストは自動的に更新され、一致するテキストを含むコントロールのみが表示されます。
コントロールステータスに基づいてコントロールのリストをフィルタリングするには、ドロップダウンリストから含めるステータスを選択します。有効なコントロールの場合、すべての有効なコントロールを表示することも、特定の全体的なステータス ([成功]、[失敗]、または [不明]) の有効なコントロールのみを表示することもできます。また、無効な標準のみを表示するように選択することもできます。
コントロールの重大度に基づいてコントロールのリストをフィルタリングするには、[重大度] ドロップダウンリストから含める重大度を選択します。
コントロールの詳細と結果の表示各コントロールについて、そのコントロールの詳細ページを表示できます。詳細ページには、概要と結果のリストが含まれています。
コントロールの詳細を表示するには、コントロール名を選択します。
詳細ページの上部には、コントロールの概要と現在のステータスが表示されます。
詳細ページの下部には、そのコントロールに対する結果のリストがあります。結果リストには、ワークフローステータスが、NEW、NOTIFIED、または RESOLVED の選択したコントロールのアクティブな結果が表示されます。
結果リスト内のテキストのみに基づいてリストをフィルターできます。フィルターを追加または削除したり、結果をグループ化したりすることはできません。
以下のアクションも実行できます。
• 個々の結果の詳細を表示 (p. 52)• 結果のワークフローステータスを更新する (p. 53)• カスタムアクションに結果を送信する (p. 53)
147
AWS Security Hub ユーザーガイド個々のコントロールの無効化と有効化
個々のコントロールの無効化と有効化標準を有効にすると、その標準のすべてのコントロールがデフォルトで有効になります。その後、有効な標準内の特定のコントロールを無効または有効にできます。
コントロールを無効にすると、次のようになります。
• コントロールのチェックは実行されなくなります。• そのコントロールに対して追加の結果は生成されません。• セキュリティハブ により作成された関連 AWS Config ルールが削除されます。
環境に関係のないコントロールのセキュリティチェックをオフにするために役立ちます。たとえば、1 つの S3 バケットを使用して CloudTrail ログを記録する場合、集中管理された S3 バケットがあるアカウントとリージョンを除き、すべてのアカウントとリージョンでの CloudTrail ロギングに関連するコントロールをオフにすることができます。無関係なコントロールを無効にすると、無関係な結果の数を減らすことができます。また、関連付けられた標準の準備状況スコアから失敗したチェックを削除します。
セキュリティハブ はリージョン別のサービスであることに注意してください。コントロールを無効または有効にすると、そのコントロールは現在のリージョン、または API リクエストで指定したリージョンでのみ無効になります。
また、標準全体を無効にすると(the section called “セキュリティ標準の無効化または有効化” (p. 145) を参照)、セキュリティハブ ではどのコントロールが無効にされたかを追跡しません。その後、標準を再度有効にすると、すべてのコントロールが有効になります。
コントロールの無効化 (コンソール)セキュリティハブ コンソールでは、有効なコントロールそれぞれにそのコントロールを無効にするオプションがあります。
コントロールを無効にするには
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. コントロールを無効にするリージョンで セキュリティハブ を使用していることを確認します。3. セキュリティハブ ナビゲーションペインで、[セキュリティ標準] を選択します。4. コントロールを無効にする標準に対して、[結果の表示] を選択します。5. 無効にするコントロールを特定し、[無効化] を選択します。6. コントロールを無効にする理由を入力します。これにより、組織内の他のユーザーがコントロールが
無効になっている理由を理解しやすくなります。7. [Disable (無効化)] を選択します。
コントロールの有効化 (コンソール)コントロールが無効な場合、コントロールタイトルの横に [無効] と表示されます。
いつでもコントロールを有効にするには、[有効化] を選択します。
コントロール (API) の無効化または有効化プログラムでコントロールを有効または無効にするには、セキュリティハブ API のUpdateStandardsControl オペレーションを使用します。
148
AWS Security Hub ユーザーガイドCIS AWS Foundations 標準
CIS AWS Foundations 標準Security Hub は、CIS AWS Foundations 標準をサポートしています。詳細については、CIS ウェブサイトの「Amazon Web Services セキュリティの確保」を参照してください。
AWS Security Hub は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarksに対して CIS Security Software Certification を授与されています。
• CIS Amazon Web Services Foundations Benchmark 用の CIS Benchmark for CIS、v1.2.0、レベル 1• CIS Amazon Web Services Foundations Benchmark 用の CIS ベンチマーク、v1.2.0、レベル 2
トピック• CIS コントロールに必要な AWS Config リソース (p. 149)• CIS AWS Foundations のコントロール (p. 149)• 無効にする場合がある CIS AWS Foundations のコントロール (p. 190)• Security Hub でサポートされていない CIS AWS Foundations セキュリティチェック (p. 191)
CIS コントロールに必要な AWS Config リソースお客様の環境のリソースで有効化された CIS AWS Foundations コントロールのセキュリティチェックを実行するために、Security Hub では「Amazon Web Services のセキュリティの確保」に規定されている正確な監査ステップを介して実行するか、特定の AWS Config マネージドルールを使用します。
AWS Config のすべてのリソースを有効にしない場合、検出結果はそのコントロール 2.5 – AWS Config が有効になっていることを確認する (p. 164) に対して生成されます。その他の CIS 制御では、AWS Configで結果を正確にレポートするために、Security Hub で次のリソースを有効にする必要があります 。
• AWS CloudTrail 証跡• Amazon EC2 セキュリティグループ• Amazon EC2 VPC• IAM ポリシー• IAM ユーザー• AWS KMS キー• S3 バケット
AWS Config ルールに基づくセキュリティチェックによって検出結果が生成される場合、検出結果の詳細には、関連付けられた AWS Config ルールを開くための [ルール] リンクが含まれます。AWS Config ルールに移動するには、AWS Config に移動するために選択したアカウントの IAM アクセス許可も必要です。
CIS AWS Foundations のコントロールCIS AWS Foundations標準では、Security Hub は次のコントロールをサポートしています。各コントロールについて、必要な AWS Config ルールと修復手順が情報に含まれます。
1.1 – 「ルート」アカウントの使用を避ける重要度: 非常事態
AWS Config ルール: なし
149
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
ルートアカウントは、AWS アカウントのすべてのリソースに無制限にアクセスできます。このアカウントを使用しないことを強くお勧めします。ルートアカウントは、最も権限があるアカウントです。このアカウントの使用を最低限にし、アクセス管理の最小権限の原則を採用することで権限の高い認証情報の意図しない変更や偶発的な開示のリスクが軽減されます。
ベストプラクティスとしては、ルート認証情報を使用して、アカウントおよびサービス管理タスクを実行します。ユーザーではなくグループとロールに直接 IAM ポリシーを適用します。日常的に使用する管理者のセットアップ方法のチュートリアルについては、IAM ユーザーガイド の「最初の IAM 管理ユーザーとグループを作成する」を参照してください。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.3 に規定された正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
修復
この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。これらは、3.3 – 「ルート」アカウントに対してログメトリクスフィルターとアラームが存在することを確認します (p. 171) の結果を修正するためのステップと同じです。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。
150
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-1.1-RootAccountUsage など、アラームの [名前] と [説
明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm] を選択します。
1.2 – コンソールパスワードを持っているすべての IAM ユーザーについて多要素認証 (MFA) が有効にします。重大度: 中
AWS Config ルール: mfa-enabled-for-iam-console-access
多要素認証 (MFA) はユーザー名とパスワードの上に、もう 1 つの保護レイヤーを追加します。MFA が有効な場合、AWS ウェブサイトにサインインするときに、ユーザー名とパスワード、および AWS MFA デバイスからの認証コードを求められます。
コンソールパスワードを持つすべてのアカウントの MFA を有効にすることをお勧めします。MFA を有効にすると、認証プリンシパルが時間的制約のあるキーを発行し、時間に敏感な鍵を発行し、資格情報の知識を持っているデバイスを所有する必要があるため、コンソールアクセスのセキュリティが強化されます。
Important
このチェックに使用される AWS Config ルールは、MFA の結果を正確にレポートするために最大4 時間かかる場合があります。CIS セキュリティチェックが有効になった後の最初の 4 時間以内に生成された検出結果は正確ではない可能性があります。チェックのこの問題を修正してから渡すまで、最大 4 時間かかる場合もあります。
修復
ユーザーの MFA を設定するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [ユーザー] を選択します。3. MFA を設定するユーザーの [ユーザー名] を選択します。4. [Security credentials (セキュリティ認証情報)] を選択し、次に [Assigned MFA device (割り当てられた
MFA デバイス)] の横にある [管理] を選択します。5. [Manage MFA Device (MFA デバイスの管理)] ウィザードに従って、ご利用の環境に応じたデバイスの
タイプを割り当てます。
ユーザーに MFA セットアップを委任する方法については、AWS セキュリティブログの「AWS IAM ユーザーに多要素認証の管理を委任する方法」を参照してください。
1.3 – 90 日間以上使用されていない認証情報は無効にします。重大度: 中
AWS Config ルール: iam-user-unused-credentials-check
パスワードやアクセスキーなど、さまざまなタイプの認証情報を使用して IAM ユーザーは AWS リソースにアクセスできます。
151
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
90 日以上使用されていないすべての認証情報を削除または非アクティブ化することをお勧めします。不要な認証情報を無効化または削除することにより、認証情報が漏洩したり、放棄されたアカウントが使用される機会が少なくなります。
このコントロールの AWS Config ルールでは、GetCredentialReport およびGenerateCredentialReport API オペレーションを使用します。API オペレーションは 4 時間ごとに更新されます。IAM ユーザーへの変更がこのコントロールに表示されるまでに最大 4 時間かかる場合があります。
修復
日付付きの認証情報のアカウントを監視するために必要な一部の情報を取得するには、IAM コンソールを使用します。たとえば、アカウントのユーザーを表示する場合、[Access key age (アクセスキーの古さ)]、[Password age (パスワードの古さ)]、および [Last activity (最後のアクティビティ)] の列が表示されます。これらの列の値が 90 日より大きい場合は、それらのユーザーの認証情報を無効にします。
認証情報レポートを使用してユーザーアカウントを監視し、90 日以上アクティビティのないアカウントを特定することもできます。IAM コンソールから 認証情報レポートを .csv 形式でダウンロードできます。認証情報レポートの詳細については、「AWS アカウントの認証情報レポートの取得」を参照してください。
非アクティブなアカウントや使用されていない認証情報を識別したら、次のステップを使用してそれらを無効にします。
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [ユーザー] を選択します。3. 90 日を超えた認証情報を持つユーザーの名前を選択します。4. [Security credentials (セキュリティ認証情報)] を選択し、次に 90 日以上使用されていないすべてのサ
インイン認証情報とアクセスキーに対して [Make inactive (非アクティブにする)] を選択します。
1.4 – アクセスキーは 90 日ごとに更新します。重大度: 中
AWS Config マネージドルール: access-keys-rotated
アクセスキーは、アクセスキー ID とシークレットアクセスキーで構成され、AWS に対して行うプログラムリクエストに署名するために使用されます。AWS ユーザーは、AWS Command Line Interface (AWSCLI)、Tools for Windows PowerShell、AWS SDK からAWS に対してプログラム呼び出しを行うか、個々の AWS サービスの API を使用して直接 HTTP 呼び出しを行うために独自のアクセスキーが必要です。
すべてのアクセスキーを定期的に更新することをお勧めします。アクセスキーを更新することにより、侵害されたアカウントや終了したアカウントに関連付けられているアクセスキーが使用される可能性が低くなります。アクセスキーを更新して、紛失、解読、または盗難にあった可能性のある古いキーを使用してデータにアクセスできないようにします。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
修復
アクセスキーを 90 日間以上使用しないようにするには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
152
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
2. [ユーザー] を選択します。3. 90 日間を超える [Access key age (アクセスキーの古さ)] を示す各ユーザーで、[ユーザー名] を選択し
てそのユーザーの設定を開きます。4. [セキュリティ認証情報] を選択します。5. ユーザーの新しいキーを作成するには:
a. [アクセスキーの作成] を選択します。b. キーコンテンツを保存するには、シークレットアクセスキーをダウンロードするか、[表示] を選
択してページからコピーします。c. ユーザーに提供する安全な場所にキーを格納します。d. [Close] を選択します。
6. 以前のキーを使用していたすべてのアプリケーションを更新し、新しいキーを使用するようにします。
7. 以前のキーでは、[Make inactive (非アクティブにする)] を選択してアクセスキーを非アクティブにします。これで、ユーザーがそのキーを使用してリクエストを行うことはできません。
8. すべてのアプリケーションが新しいキーで想定どおりに機能することを確認します。9. すべてのアプリケーションが新しいキーで想定どおりに機能することを確認したら、以前のキーを削
除します。削除した後でアクセスキーを復元することはできません。
前のキーを削除するには、行の末尾にある [X] を選択し、[削除] を選択します。
1.5 – IAM パスワードポリシーには少なくとも 1 つの大文字が必要です重大度: 中
AWS Config ルール: iam-password-policy
パスワードポリシーは、部分的に、パスワードの複雑さの要件を適用します。IAM パスワードポリシーを使用してパスワードが別の文字セットを使用するようにします。
パスワードポリシーでは少なくとも 1 つの大文字が必要です。パスワードの複雑さに関するポリシーを設定すると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。
修復
パスワードポリシーを変更するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [Account settings (アカウント設定)] を選択します。3. [Requires at least one uppercase letter (少なくとも 1 つの大文字が必要です)] を選択し、[Apply
password policy (パスワードポリシーを適用する)] を選択します。
1.6 – IAM パスワードポリシーには少なくとも 1 つの小文字が必要です重大度: 中
AWS Config ルール: iam-password-policy
パスワードポリシーは、部分的に、パスワードの複雑さの要件を適用します。IAM パスワードポリシーを使用してパスワードが別の文字セットを使用するようにします。パスワードポリシーでは少なくとも 1 つ
153
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
の小文字が必要です。パスワードの複雑さに関するポリシーを設定すると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。
修復
パスワードポリシーを変更するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [Account settings (アカウント設定)] を選択します。3. [Requires at least one lowercase letter (少なくとも 1 つの小文字が必要です)] を選択し、[Apply
password policy (パスワードポリシーを適用する)] を選択します。
1.7 – IAM パスワードポリシーには少なくとも 1 つの記号が必要です重大度: 中
AWS Config ルール: iam-password-policy
パスワードポリシーは、部分的に、パスワードの複雑さの要件を適用します。IAM パスワードポリシーを使用してパスワードが別の文字セットを使用するようにします。
パスワードポリシーでは少なくとも 1 つの記号が必要です。パスワードの複雑さに関するポリシーを設定すると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。
修復
パスワードポリシーを変更するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [Account settings (アカウント設定)] を選択します。3. [Requires at least one non-alphanumeric character (少なくとも 1 つのアルファベット以外の文字が必
要です)] を選択し、[Apply password policy (パスワードポリシーを適用する)] を選択します。
1.8 – IAM パスワードポリシーには少なくとも 1 つの数字が必要です重大度: 中
AWS Config ルール: iam-password-policy
パスワードポリシーは、部分的に、パスワードの複雑さの要件を適用します。IAM パスワードポリシーを使用してパスワードが別の文字セットを使用するようにします。
パスワードポリシーでは少なくとも 1 つの数字が必要です。パスワードの複雑さに関するポリシーを設定すると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。
修復
パスワードポリシーを変更するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [Account settings (アカウント設定)] を選択します。
154
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
3. [Requires at least one number (少なくとも 1 つの数字が必要です)] を選択し、[Apply password policy(パスワードポリシーを適用する)] を選択します。
1.9 – IAM パスワードポリシーは 14 文字以上の長さが必要です。重大度: 中
AWS Config ルール: iam-password-policy
パスワードポリシーは、部分的に、パスワードの複雑さの要件を適用します。IAM パスワードポリシーを使用してパスワードが指定された最低限の長さになるようにします。
パスワードポリシーは 14 文字以上の長さが必要です。パスワードの複雑さに関するポリシーを設定すると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。
修復
パスワードポリシーを変更するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [Account settings (アカウント設定)] を選択します。3. [Minimum password length (パスワードの最小長)] フィールドに、「14」と入力し、[Apply password
policy (パスワードポリシーの適用)] を選択します。
1.10 – IAM パスワードポリシーはパスワードの再使用を禁止しています重大度: 低
AWS Config ルール: iam-password-policy
IAM パスワードポリシーにより、同じユーザーによる特定のパスワードの再使用を防ぐことができます。
パスワードポリシーはパスワードの再使用を禁止しています。パスワードの再使用を禁止すると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。
修復
パスワードポリシーを変更するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [Account settings (アカウント設定)] を選択します。3. [Prevent password reuse (パスワードの再利用の禁止)] を選択し、[Number of passwords to remember
(記憶するパスワードの数)] に「24」を入力します。4. [Apply Password Policy (パスワードポリシーの適用)] をクリックします。
1.11 – Ensure IAM パスワードポリシーにより、パスワードは 90日以内に有効期限が切れます重大度: 低
AWS Config ルール: iam-password-policy
155
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
IAM パスワードポリシーでは、パスワードを指定された日数後に更新または期限切れにすることを要求できます。
パスワードポリシーでは、パスワードは 90 日以内に期限切れになります。パスワードの有効期間を短くすると、ブルートフォースのログイン試行に対するアカウントの耐障害性が高まります。定期的にパスワードを変更することも以下のシナリオで役立ちます。
• パスワードはユーザーが知らない間に盗まれたり漏洩する可能性があります。これは、システムの侵害、ソフトウェアの脆弱性、または内部の脅威によって発生する可能性があります。
• 特定の企業および政府ウェブフィルターまたはプロキシサーバーは、暗号化された場合でもトラフィックを傍受し記録できます。
• 多くの人々が仕事、E メール、個人用など多くのシステムで同じパスワードを使用しています。• 侵害されているエンドユーザーのワークステーションはキーストロークロガーがある可能性がありま
す。
修復
パスワードポリシーを変更するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [Account settings (アカウント設定)] を選択します。3. [Enable password expiration (パスワードの有効期限を有効にする)] を選択し、[Password expiration
period (in days) (パスワードの有効期間 (日数))] で「90」を入力します。4. [Apply Password Policy (パスワードポリシーの適用)] をクリックします。
1.12 – ルートアカウントキーが存在しないことを確認します重要度: 非常事態
AWS Config ルール: iam-root-access-key-check
ルートアカウントは、AWS で最も権限があるユーザーです。AWS アクセスキーを使用すると、プログラムから指定されたアカウントにアクセスできます。
ルートアカウントに関連付けられたすべてのアクセスキーを削除します。ルートアカウントに関連付けられたアクセスキーを削除すると、アカウントを侵害する可能性のあるベクトルを制限します。ルートアクセスキーを削除することでも、最も権限の低いロールベースのアカウントの作成と使用が促進されます。
Note
このコントロールは、アフリカ (ケープタウン) ではサポートされていません。
修復
アクセスキーを無効にするか削除するには
1. ルート認証情報を使用してアカウントにログインします。2. ページの右上隅近くにあるアカウント名を選択し、[My Security Credentials (セキュリティの認証情
報)] を選択します。3. ポップアップ警告で、[Continue to Security Credentials (セキュリティ認証情報に進む)] を選択しま
す。4. [アクセスキー (アクセスキー ID とシークレットアクセスキー)] を選択します。5. 既存のキーの場合は、次のいずれかを実行します。
• [Make Inactive (非アクティブにする)] を選択して、キーがアカウントの認証に使用されるのを防止します。
156
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
• [削除] を選択し、次に [はい] を選択して完全にキーを削除します。削除したキーを復元することはできません。
1.13 – 「ルート」アカウントで MFA を有効にします。重要度: 非常事態
AWS Config ルール: root-account-mfa-enabled
ルートアカウントは、アカウントで最も権限があるユーザーです。MFA はユーザー名とパスワードの上に、もう 1 つの保護レイヤーを追加します。MFA が有効な場合、AWS ウェブサイトにサインインするときに、ユーザー名とパスワード、および AWS MFA デバイスからの認証コードを求められます。
ルートアカウントの仮想 MFA を使用する場合、Security Hub では、個人用のデバイスは使用しないことをお勧めします。代わりに、個々の個人用デバイスからは独立して課金およびセキュリティ保護を維持できるように管理している専用のモバイルデバイス (タブレットまたは電話) を使用してください。これにより、デバイスの紛失、デバイスの下取り、またはデバイスを所有する個人が会社で採用されなくなったために MFA へのアクセスが失われるリスクが軽減されます。
Note
このコントロールは、AWS GovCloud (米国東部) または AWS GovCloud (US-West) ではサポートされていません 。
修復
ルートアカウントの MFA を有効にするには
1. ルート認証情報を使用してアカウントにログインします。2. ページの右上隅近くにあるアカウント名を選択し、[My Security Credentials (セキュリティの認証情
報)] を選択します。3. ポップアップ警告で、[Continue to Security Credentials (セキュリティ認証情報に進む)] を選択しま
す。4. [多要素認証 (MFA)] を選択します。5. [MFA の有効化] を選択します。6. MFA で使用するデバイスのタイプを選択し、[続行] を選択します。7. 選択に応じて適切なデバイスタイプを設定するステップを完了します。
チェックに合格するのに最良の結果を得るためには、ハードウェアベースの認証メカニズムを選択します1.14 – 「ルート」アカウントで ハードウェア MFA を有効にします (p. 157)。
1.14 – 「ルート」アカウントで ハードウェア MFA を有効にします重要度: 非常事態
AWS Config ルール: root-account-hardware-mfa-enabled
ルートアカウントは、アカウントで最も権限があるユーザーです。MFA はユーザー名とパスワードの上に、もう 1 つの保護レイヤーを追加します。MFA が有効な場合、AWS ウェブサイトにサインインするときに、ユーザー名とパスワード、および AWS MFA デバイスからの認証コードを求められます。
レベル 2 について、Security Hub では、ハードウェア MFA を使用してルートアカウントを保護することをお勧めします。ハードウェア MFA は 仮想 MFA よりも攻撃対象領域が小さくなっています。たとえば、
157
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
ハードウェア MFAは、仮想 MFA が置かれているモバイルスマートフォンによってもたらされる攻撃対象領域はありません。
多くのアカウントでハードウェア MFA を使用すると、物流デバイス管理の問題が発生する可能性があります。このような場合は、このレベル 2 の推奨事項を最も高いセキュリティアカウントに対して選択的に実装することを検討してください。その後、レベル 1 の推奨事項を残りのアカウントに適用できます。
Note
このコントロールは、AWS GovCloud (米国東部) または AWS GovCloud (US-West) ではサポートされていません 。
修復
ルートアカウントのハードウェアベースの MFA を有効にするには
1. ルート認証情報を使用してアカウントにログインします。2. ページの右上隅近くにあるアカウント名を選択し、[My Security Credentials (セキュリティの認証情
報)] を選択します。3. ポップアップ警告で、[Continue to Security Credentials (セキュリティ認証情報に進む)] を選択しま
す。4. [多要素認証 (MFA)] を選択します。5. [MFA の有効化] を選択します。6. MFA で使用するハードウェアベース (仮想ではない) のデバイスを選択し、 [続行] を選択します。7. 選択に応じて適切なデバイスタイプを設定するステップを完了します。
1.16 – Ensure IAM ポリシーはグループまたはロールのみにアタッチされます。重大度: 低
AWS Config ルール: iam-user-no-policies-check
デフォルトでは、IAM ユーザー、グループ、およびロールは、AWS リソースへアクセスすることはできません。IAM ポリシーはユーザー、グループ、またはロールに権限を付与する方法です。
IAM ポリシーはグループとロールには直接適用しますが、ユーザーには直接適用しません。グループレベルまたはロールレベルで権限を割り当てると、ユーザー数が増えるにつれてアクセス管理の複雑さが軽減されます。アクセス管理の複雑さを軽減することで、プリンシパルが誤って過剰な権限を受け取ったり保持したりする機会を減らすことができます。
修復
この問題を解決するには、 IAM グループを作成し、そのグループにポリシーを割り当て、ユーザーをグループに追加します。ポリシーは、グループ内の各ユーザーに適用されます。
IAM グループを作成するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [グループ] を選択し、[Create New Group (新しいグループの作成)] を選択します。3. 作成するグループの名前を入力し、[次のステップ] を選択します。4. グループに割り当てる各ポリシーを選択し、[次のステップ] を選択します。
選択したポリシーには、現在ユーザーアカウントに直接アタッチされているすべてのポリシーが含まれている必要があります。失敗したチェックを解決するための次のステップは、ユーザーをグループ
158
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
に追加してから、そのグループにポリシーを割り当てることです。グループ内の各ユーザーには、そのグループに割り当てられたポリシーが割り当てられます。
5. [確認] ページで詳細を確認し、[グループの作成] を選択します。
グループの作成の詳細については、IAM ユーザーガイド の「IAM グループの作成」を参照してください。
IAM グループにユーザーを追加するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [グループ] を選択します。3. [Group Actions (グループアクション)] で、[Add Users to Group (ユーザーをグループに追加)] を選択
します。4. グループに追加するユーザーを選択し、[Add Users (ユーザーを追加)] を選択します。
グループへのユーザーの追加の詳細については、「IAM グループのユーザーの追加と削除」を参照してください。
ユーザーに直接アタッチされているポリシーを削除するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [ユーザー] を選択します。3. ポリシーをデタッチするユーザーの User name 列から名前を選択します。4. [Attached directly (直接アタッチ)] に一覧表示されている各ポリシーで、ページの右側にある [X] を選
択してユーザーからポリシーを削除し、[削除] を選択します。5. 想定した通りにユーザーが AWS サービスを利用できることを確認します。
1.20 - AWS でインシデントを管理するためのサポートロールが作成されていることを確認します。重大度: 低
AWS Config ルール: iam-policy-in-use
AWS は、インシデントの通知とレスポンス、およびテクニカルサポートとカスタマーサービスに使用できるサポートセンターを提供しています。
IAM ロールを作成して、承認済みユーザーが AWS サポートでインシデントを管理できるようにします。アクセスコントロールの最小限の特権を実装することにより、IAM ロールには、AWS サポートでのインシデントの管理のためにサポートセンターにアクセスすることを許可する適切な IAM ポリシーが必要になります。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
修復
この問題を修正するには、承認済みユーザーに AWS サポートインシデントの管理を許可するロールを作成します。
AWS サポートへのアクセスに使用するロールを作成するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
159
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
2. IAM ナビゲーションペインで、[Roles (ロール)]、[ロールの作成] の順に選択します。3. [ロールタイプ] で、[別の AWS アカウント] を選択します。4. [Account ID (アカウント ID)] に、リソースへのアクセスを許可する AWS アカウントの AWS アカウン
ト ID を入力します。
このロールを引き受けるユーザーまたはグループが同じアカウントに属している場合は、ローカルアカウント番号を入力します。
Note
指定したアカウントの管理者は、そのアカウントのすべての IAM ユーザーに、このロールを引き受けるアクセス権限を付与できます。そのためには、 sts:AssumeRole アクションに対するアクセス許可を付与するポリシーを管理者がユーザーまたはグループにアタッチします。そのポリシーで、リソースはロール ARN であることが必要です。
5. [Next: Permissions (次へ: アクセス権限)] を選択します。6. マネージドポリシー AWSSupportAccess を検索します。7. AWSSupportAccess マネージドポリシーのチェックボックスをオンにします。8. [次へ: タグ] を選択します。9. (オプション) ロールにメタデータを追加するには、キーと値のペアとしてタグをアタッチします。
IAM でのタグの使用の詳細については、IAM ユーザーガイドの「IAM ユーザーとロールのタグ付け」を参照してください。
10. [Next: Review] を選択します。11. [ロール名] に、ロールの名前を入力します。
ロール名は AWS アカウント内で一意でなければなりません。大文字と小文字は区別されません。12. (オプション) [Role description] に、新しいロールの説明を入力します。13. ロールを確認し、[ロールの作成] を選択します。
1.22 – 完全な「*:*」管理権限を許可する IAM ポリシーは作成されません。重要度: 非常事態
AWS Config ルール: iam-policy-no-statements-with-admin-access
IAM ポリシーは、ユーザー、グループ、またはロールに付与される権限のセットを定義します。最小限の特権、つまりタスクを実行するために必要なアクセス許可のみを付与することが標準的なセキュリティアドバイスとして推奨され、考慮されています。完全な管理権限を許可するのではなく、ユーザーが何をする必要があるのかを決定し、ユーザーが、それらのタスクのみを実行できるポリシーを作成します。
最初は最小限のアクセス許可から開始し、必要な場合には追加のアクセス許可を認める方が、最初にあまりにも寛大にアクセス許可を許し、後に規制を厳しくしようとするより安全です。ユーザーが実行する必要がある最小限のアクセス許可セットに制限するのではなく、完全な管理特権を提供すると、リソースが望ましくない可能性のあるアクションにさらされます。
「Effect」: 「Action」と「Allow」: 「Resource」の上の「*」: 「*」などのステートメントのある IAM ポリシーを削除する必要があります。
修復
IAM ポリシーを変更するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [ポリシー] を選択します。
160
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
3. 削除するポリシーの横にあるラジオボタンを選択します。4. [Policy Actions (ポリシーアクション)] ドロップダウンメニューから [デタッチ] を選択します。5. [Detach policy (ポリシーのデタッチ)] ページで、ポリシーをデタッチする各ユーザーの横にあるラジ
オボタンを選択して、[Detach policy (ポリシーのデタッチ)] を選択します。
ポリシーをデタッチしたユーザーが、想定どおりに AWS サービスおよびリソースには引き続きアクセスできることを確認します。
2.1 – CloudTrail はすべてのリージョンで有効になっています。重要度: 非常事態
AWS Config ルール: multi-region-cloud-trail-enabled
CloudTrail はお客様のアカウントの AWS API コールを記録し、ログファイルをお客様に送信するサービスです。記録される情報には、API 呼び出し元の ID、API 呼び出しの時刻、API 呼び出し元のソース IP アドレス、リクエストパラメータ、および AWS サービスから返された応答の要素が含まれます。CloudTrailは、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、およびより高レベルの AWSサービス (AWS CloudFormation など) を介して行われる API 呼び出しを含む、アカウントに対する AWSAPI 呼び出しの履歴を提供します。
CloudTrail で生成される AWS API の呼び出し履歴を利用して、セキュリティ分析、リソース変更の追跡、およびコンプライアンスの監査を行うことができます。また、
• マルチリージョンの証跡が存在することを確認することで、他の未使用のリージョンで発生した予期しないアクティビティが確実に検出されます
• マルチリージョンの証跡が存在することを確認することで、AWS グローバルサービスで生成されたイベントの記録をキャプチャするために、グローバルサービスログ記録がデフォルトで証跡に対して有効になります
• マルチリージョンの証跡の場合、すべての種類の読み取り/書き込みに対して設定された管理イベントによって、AWS アカウントのすべてのリソースに対して実行された管理オペレーションが確実に記録されます
修復
CloudTrail に新しい証跡を作成するには
1. AWS マネジメントコンソール にサインインした後、https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。
2. これまでに CloudTrail を使用したことがない場合は、[Get Started Now (今すぐ始める)] を選択します。
3. [Trails (証跡)] を選択し、[Create trail (証跡の作成)] を選択します。4. 証跡の名前を入力します。5. [Apply trail to all regions (すべてのリージョンで証跡を適用)] では [いいえ] を選択します。6. [Storage location (ストレージのロケーション)] で、次のいずれかの操作を行います。
• CloudTrail ログ用に新しい S3 バケットを作成するには、[Create a new S3 bucket (新しい S3 バケットの作成)] の横の [はい] を選択し、バケットの名前を入力します。
• [Create a new S3 bucket (新しい S3 バケットの作成)] の [いいえ] を選択し、使用するバケットを選択します。
7. [Advanced (アドバンスト)] を選択し、[Enable log file validation (ログファイルの検証を有効にする)]で、[はい] を選択して 2.2.– Ensure CloudTrail ログファイルの検証は有効なっています。 (p. 162)を渡します。
8. [作成] を選択します。
161
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
CloudTrail の既存の証跡を更新するには
1. AWS マネジメントコンソール にサインインした後、https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。
2. [証跡] を選択します。3. [名前] 列で証跡の名前を選択します。4. [Trail settings (証跡設定)] の鉛筆アイコンを選択します。5. [Apply trail to all regions (すべてのリージョンに証跡を適用する)] で、[はい] を選択して [保存] を選択
します。6. [Management events (管理イベント)] の鉛筆アイコンを選択します。7. [Read/Write events (読み込み/書き込みイベント)] の [すべて] を選択し、[保存] を選択します。8. [Storage location (ストレージロケーション)] の鉛筆アイコンを選択します。9. [Enable log file validation (ログファイルの検証を有効にする)] の [はい] を選択して チェック 2.2 を渡
し、[保存] を選択します。
2.2.– Ensure CloudTrail ログファイルの検証は有効なっています。重大度: 低
AWS Config ルール: cloud-trail-log-file-validation-enabled
CloudTrail ログファイルの検証は、CloudTrail が S3 に書き込むそれぞれのログのハッシュを含むデジタル署名されたダイジェストファイルを作成します。CloudTrail がログを配信した後で、これらのダイジェストファイルを使用して、ログファイルが変更、削除、または変更されなかったかどうかを判断できます。
すべての証跡でファイルの検証を有効にすることをお勧めします。ログファイルの検証を有効にすると、CloudTrail ログの追加の整合性チェックが提供されます。
修復
CloudTrail ログファイルの検証を有効にするには
1. https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。2. [証跡] を選択します。3. [名前] 列で編集する証跡の名前を選択します。4. [Storage location (ストレージロケーション)] の鉛筆アイコンを選択します。5. [Enable log file validation (ログファイルの検証を有効にする)] で、[はい] を選択し、[保存] を選択しま
す。
2.3 – CloudTrail が記録する S3 バケットはパブリックアクセスできません。重要度: 非常事態
AWS Config ルール: s3-bucket-public-read-prohibited、s3-bucket-public-write-prohibited
CloudTrail は、アカウント内で実行された API 呼び出しをすべて記録します。これらのログファイルは S3バケットに保存されます。CloudTrail 記録する S3 バケットに適用するバケットポリシー、またはアクセス制御リスト (ACL) は、CloudTrail ログへのパブリックアクセスを禁止します。CloudTrail ログコンテンツへのパブリックアクセスを許可すると、影響を受けるアカウントの使用または設定において敵対者が弱点を特定する手助けとなる可能性があります。
162
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、米国東部 (バージニア北部) リージョン で Security Hub を使用していて、米国西部 (北カリフォルニア) リージョン のバケットに AWS CloudTrail ログを保存している場合、SecurityHub は 米国西部 (北カリフォルニア) リージョン でバケットを見つけることができません。この場合、このチェックではリソースが見つからないという警告が返されます。同様に、複数のアカウントからのログを 1 つのバケットに集計している場合、バケットを所有するアカウントを除くすべてのアカウントの CIS チェックは警告を返します。チェックが実行されているアカウントとリージョンにバケットがあり、そのバケットがパブリックにアクセス可能な場合、失敗した結果が返されます。
このチェックを実行するため、Security Hub は最初にカスタムロジックを使用して、CloudTrail ログが保存されているバケットを探します。次に、AWS Config マネージドルールを使用して、バケットがパブリックにアクセス可能であることを確認します。
Security Hub が別のアカウントまたはリージョンにあるためにバケットを検出できない場合、警告が表示されます。
バケットが検出され、パブリックにアクセス可能な場合、チェックにより検出の失敗が生成されます。
修復
Amazon S3 バケットに対するパブリックアクセスを削除するには
1. https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。2. CloudTrail が保存されているバケットの名前を選択します。3. [アクセス許可] を選択し、[Public access settings (パブリックアクセス設定)] を選択します。4. [編集] を選択し、4 つのオプションを選択して、次に [保存] を選択します。5. プロンプトが表示されたら、confirm を入力し、[確認] を選択します。
2.4 – CloudTrail 証跡は Amazon CloudWatch Logs によって統合されています重大度: 低
AWS Config ルール: cloud-trail-cloud-watch-logs-enabled
CloudTrail は、指定されたアカウントで実行される AWS API の呼び出しを記録するウェブサービスです。記録される情報には、API 呼び出し元の ID、API 呼び出しの時刻、API 呼び出し元のソース IP アドレス、リクエストパラメータおよび AWS サービスから返された応答のアイデンティティが含まれます。
CloudTrail はログファイルの保存と配信に Amazon S3 を使用するため、ログファイルは永続的に保存されます。長期的な分析のために指定された Amazon S3 バケットに CloudTrail ログをキャプチャするだけでなく、ログを CloudWatch Logs に送信するように CloudTrail を設定することで、リアルタイム分析を実行できます。
アカウント内のすべてのリージョンで有効になっている証跡では、CloudTrail はそれらすべてのリージョンからログファイルを CloudWatch Logs ロググループに送信します。
CloudTrail ログを CloudWatch Logs に送信することをお勧めします。Note
この推奨事項の目的は、アカウントのアクティビティが確実にキャプチャされ、モニタリングされ、適切に警告されるようにすることです。CloudWatch Logs は AWS サービスを使用してこれ
163
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
を達成するためのネイティブな方法ですが、代替ソリューションの使用を妨げるものではありません。
CloudTrail ログを CloudWatch Logs に送信すると、ユーザー、API、リソース、および IP アドレスに基づいてリアルタイムおよび過去のアクティビティのログ記録が容易になります。異常または機密性の高いアカウントのアクティビティに対してアラームと通知を確立する機会を提供します。
修復
CloudTrail 証跡が CloudWatch Logs統合されていることを確認するには
1. https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。2. [証跡] を選択します。3. [CloudWatch Logs Log group (CloudWatch Logs ロググループ)] 列に値のない証跡を選択します。4. [CloudWatch Logs] セクションまで下にスクロールし、[設定] を選択します。5. [New or existing log group (新規または既存のロググループ)] フィールドで、次のいずれかの操作を行
います。• デフォルトのロググループを使用するには、名前はそのままにします。• 既存のロググループを使用するには、使用するロググループの名前を入力します。• 新しいロググループを作成するには、作成するロググループの名前を入力します。
6. [続行] を選択します。7. 次のいずれかを行ってください。
• デフォルトの IAM ロールを使用するには、次のステップに進みます。• 使用するロールを指定するには、[View Details (詳細を表示)] を選択します。
• [IAM ロール] で、次のいずれかを実行します。• [CloudTrail_CloudWatchLogs_role] を選択し、[Policy Name (ポリシー名)] ドロップダウ
ンリストで使用するポリシーを選択します。• [新しい IAM ロールを作成する] を選択し、作成するロールの名前を入力します。
ロールが作成され、必要なアクセス許可を付与するポリシーが割り当てられます。8. [許可] を選択します。
詳細については、AWS CloudTrail User Guide の「コンソールを使用した CloudWatch Logs モニタリングの設定」を参照してください。
2.5 – AWS Config が有効になっていることを確認する重大度: 中
AWS Config ルール: なし
AWS Config は、アカウントでサポートされている AWS リソースの設定管理を実行し、ログファイルを配信するウェブサービスです。記録される情報には、設定アイテム (AWS リソース)、設定アイテム間の関係(AWS リソース)、およびリソース間の設定変更が含まれます。
すべてのリージョンで AWS Config を有効にすることをお勧めします。AWS Config がキャプチャするAWS 設定アイテムの履歴により、セキュリティ分析、リソース変更の追跡、およびコンプライアンスの監査を行うことができます。
Note
CIS 2.5 では、Security Hub を使用しているすべてのリージョンで AWS Config が有効になっている必要があります。
164
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
Security Hub はリージョナルサービスであるため、このコントロールに対して実行されるチェックでは、アカウントの現在のリージョンのみが確認されます。すべてのリージョンが確認されるわけではありません。また、グローバルリソースに対するセキュリティチェックを各リージョンで確認できるように、グローバルリソースを記録する必要もあります。
このチェックを実行するために、Security Hub はカスタムロジックを実行して、CIS AWS FoundationsBenchmark v1.2 で規定された監査手順を実行します。また、Security Hub がリージョンのサービスであり、リージョンごとにセキュリティチェックを実行するため、Security Hub では各リージョンにグローバルリソースが記録される必要もあります。
修復
AWS Config 設定を構成するには
1. AWS Config コンソール (https://console.aws.amazon.com/ config/) を開きます。2. AWS Config を設定するリージョンを選択します。3. 以前に AWS Config を使用したことがない場合は、[Get started (始めに)] を選択します。4. [設定] ページで、以下の操作を行います。
• [Resource types to record (記録するリソースタイプ)] で、[Record all resources supported in thisregion (このリージョンでサポートされているすべてのリソースを記録する)] および [Include globalresources (e.g., AWS IAM resources) (グローバルリソースを含む (AWS IAM など))] を選択します。
• [Amazon S3 バケット] で、バケットを使用するか、バケットを作成し、必要に応じてプレフィックスを含めます。
• [Amazon SNS トピック] で、アカウントから Amazon SNS トピックを選択するか、トピックを作成します。Amazon SNS の詳細については、「Amazon Simple Notification Service 入門ガイド」を参照してください。
• [AWS Config ロール] で、[Create AWS Config service-linked role (AWS Config サービスにリンクされたロールを作成する)] か [Choose a role from your account (アカウントからロールを選択する)] を選択して使用するロールを選択します。
5. [次へ] を選択します。6. [AWS Config] ルールページで、[Skip (スキップ)] を選択します。7. [確認] を選択します。
AWS Command Line Interface からの AWS Config の使用の詳細については、『AWS Config DeveloperGuide』の「AWS Config を有効にする」を参照してください。
AWS CloudFormation テンプレートを使用してこのプロセスを自動化することもできます。詳細については、AWS CloudFormation ユーザーガイド の「AWS CloudFormation StackSets サンプルテンプレート」を参照してください。
2.6 – S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認します重大度: 低
AWS Config ルール: s3-bucket-logging-enabled
Amazon S3 バケットアクセスログ記録は、S3 バケットに対して行われたリクエストごとにアクセスレコードを含むログを生成します。アクセスログには、リクエストのタイプ、リクエストに指定されたリソース、リクエストが処理された日時など、リクエストの詳細が記録されます。
CloudTrail S3 バケットでログ記録バケットアクセスを有効にすることをお勧めします。
165
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
ターゲット S3 バケットで S3 バケットのログ記録を有効にすることで、ターゲットバケット内のオブジェクトに影響を与える可能性のあるすべてのイベントをキャプチャできます。ログを別のバケットに配置するように設定すると、ログ情報にアクセスできるようになり、セキュリティおよびインシデント対応のワークフローで役立ちます。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、米国東部 (バージニア北部) リージョン で Security Hub を使用していて、米国西部 (北カリフォルニア) リージョン のバケットに AWS CloudTrail ログを保存している場合、SecurityHub は 米国西部 (北カリフォルニア) リージョン でバケットを見つけることができません。この場合、このチェックではリソースが見つからないという警告が返されます。同様に、複数のアカウントからのログを 1 つのバケットに集計している場合、バケットを所有するアカウントを除くすべてのアカウントの CIS チェックは警告を返します。チェックが実行されているアカウントとリージョンにバケットがあり、そのバケットがパブリックにアクセス可能な場合、失敗した結果が返されます。
このチェックを実行するため、Security Hub は最初にカスタムロジックを使用して、CloudTrail ログが保存されているバケットを探してから、AWS Config マネージドルールを使用して、ログ記録が有効になっているかどうかを確認します。
バケットが別のアカウントまたはリージョンにあるために検出できない場合、警告が表示されます。バケットが検出され、パブリックにアクセス可能な場合、チェックにより検出の失敗が生成されます。
修復
S3 バケットのアクセスログ記録を有効にするには
1. https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。2. CloudTrail に使用するバケットを選択します。3. [プロパティ] を選択します。4. [Server access logging (サーバーアクセスのログ記録)] を選択し、[Enable logging (ログ記録を有効に
する)] を選択します。5. [Target bucket (ターゲットバケット)] リストからバケットを選択し、必要に応じてプレフィックスを
入力します。6. [保存] を選択します。
2.7 – CloudTrail ログは保管時に AWS KMS CMK を使用して暗号化されていることを確認します重大度: 中
AWS Config ルール: cloud-trail-encryption-enabled
CloudTrail は、アカウントに対するAWS API 呼び出しを記録し、それらのログを IAM ポリシーに従ってユーザーおよびリソースが利用できるようにするウェブサービスです。AWS Key Management Service(AWS KMS) は、アカウントデータの暗号化に使用される暗号化キーの作成と管理を支援するマネージドサービスであり、ハードウェアセキュリティモジュール (HSM) を使用して暗号化キーのセキュリティを保護します。
サーバーサイド暗号化 (SSE) 機能および AWS KMS カスタマー作成のマスターキー (CMK) を活用するように CloudTrail ログを設定して CloudTrail をさらに保護することができます。
166
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
SSE-KMS を使用 するように CloudTrail を設定することをお勧めします。
特定のユーザーには対応するログバケットに対する S3 の読み取り権限が必要であり、CMK ポリシーによる復号化権限が付与されている必要があるため、SSE-KMS を使用するように CloudTrail を設定すると、ログデータに対する追加の機密性管理が提供されます。
修復
CloudTrail ログの暗号化を有効にするには
1. https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。2. [証跡] を選択します。3. 更新する証跡を選択します。4. [Storage location (ストレージロケーション)] で、鉛筆アイコンを選択して設定を編集します。5. [Encrypt log files with SSE-KMS (SSE-KMS でログファイルを暗号化する)] で、[はい] を選択します。6. [Create a new KMS key (新しい KMS キーを作成する)] で、次のいずれかの操作を行います。
• キーを作成するには、[Yes] を選択し、[KMS キー] フィールドのキーのエイリアスを入力します。キーは、バケットと同じリージョンに作成されます。
• 既存のキーを使用するには、[いいえ] を選択し、 [KMS キー] リストからキーを選択します。
Note
AWS KMS キーおよび S3 バケットは同じリージョンにある必要があります。7. [保存] を選択します。
CMK と正常にやり取りするためには、CloudTrail のポリシーを変更する必要がある場合があります。詳細については、AWS CloudTrail User Guide の「AWS KMS–マネージドキー (SSE-KMS) で CloudTrail ログファイルを暗号化する」を参照してください。
2.8 – カスタマー作成の CMK のローテーションが有効になっていることを確認します重大度: 高
AWS Config ルール: cmk-backing-key-rotation-enabled
AWS KMS を使用すると、お客様はバッキングキーをローテーションするができます。バッキングキーは、AWS KMS に格納されているキーマテリアルであり、CMK のキー ID に関連付けられています。暗号化や復号などの暗号化オペレーションを実行するために使用されるのは、バッキングキーです。現在、自動化されたキー更新では以前のすべてのバッキングキーが保持されるため、暗号化したデータの復号は透過的に実行できます。
CMK のキーローテーションを有効にすることをお勧めします。新しいキーで暗号化されたデータは、公開された可能性がある以前のキーではアクセスできないため、暗号化キーをローテーションすることで、侵害されたキーによる潜在的な影響を減らすことができます。
修復
CMK のローテーションを有効にするには
1. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。3. [Customer managed keys (カスタマーマネージドキー)] を選択します。
167
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
4. キーのエイリアスを選択して、[エイリアス] 列で更新します。5. [キーローテーション] を選択します。6. [Automatically rotate this CMK every year (この CMK を毎年自動的にローテーションします)] を選択
し、[保存]を選択します。
2.9 – すべての VPC で VPC フローログ記録が有効になっていることを確認します重大度: 中
AWS Config ルール: vpc-flow-logs-enabled
VPC フローログは、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。フローログを作成すると、そのデータを CloudWatch Logsで表示し、取得できます。
VPC のパケット拒否のフローログ記録を有効にすることをお勧めします。フローログは、VPC を通過するネットワークトラフィックを確認可能にし、セキュリティワークフロー中に異常なトラフィックや洞察を検出できます。
修復
VPC フローログ記録を有効にするには
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. [VPC] を選択します。3. 更新する VPC を選択します。4. ページの下部に表示される [フローログ] タブを選択します。5. [フローログの作成] を選択します。6. [フィルター] で、[拒否] を選択します。7. [Destination log group (送信先ロググループ)] で、使用するグループのログを選択します。8. [IAM ロール] で、使用する IAM ロールを選択します。9. [作成] を選択します。
3.1 – 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します重大度: 中
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。
メトリクスフィルターを作成し、不正な API 呼び出しに対して警告します。不正な API 呼び出しをモニタリングすることでアプリケーションエラーを明らかにし、悪意のあるアクティビティを検出する時間を短縮することができます。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.1 に規定された正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
168
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
修復この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.1-UnauthorizedAPICalls などの、アラームの [名前]
と [説明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。
169
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
13. [Create Alarm (アラームを作成する)] を選択します。
3.2 – MFA なしの AWS マネジメントコンソール サインインに対してログメトリクスフィルターとアラームが存在することを確認します重大度: 中
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。
MFA で保護されていないメトリクスフィルターとアラームコンソールログインを作成します。単一要素のコンソールログインをモニタリングすると、MFA によって保護されていないアカウントへの可視性が向上します。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.2 に規定された正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
修復この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。
170
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.eventName="ConsoleLogin") && ($.additionalEventData.MFAUsed !="Yes")}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.2-ConsoleSigninWithoutMFA などの、アラームの
[名前] と [説明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm (アラームを作成する)] を選択します。
3.3 – 「ルート」アカウントに対してログメトリクスフィルターとアラームが存在することを確認します重大度: 中
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。
ルートログインの試行に対するメトリクスフィルターとアラームを作成することをお勧めします。ルートアカウントのログインをモニタリングすることで、完全に特権が付与されたアカウントの使用状況に可視性を提供し、その使用を削減する機会を提供します。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.3 に規定された正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
171
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
修復
この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.3-RootAccountUsage などの、アラームの [名前] と
[説明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm (アラームを作成する)] を選択します。
3.4 – MFA なしの IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認します。重大度: 中
AWS Config ルール: なし
172
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。
IAM ポリシーに加えられた変更に対するメトリクスフィルターとアラームを作成します。これらの変更をモニタリングすることで、認証と承認の管理が損なわれないようにすることができます。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.4 に規定された正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
修復
この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy)
173
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
|| ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy)}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.4-IAMPolicyChanges などの、アラームの [名前] と
[説明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm (アラームを作成する)] を選択します。
3.5 – MFA なしの CloudTrail 設定の変更に対してログメトリクスフィルターとアラームが存在することを確認します重大度: 中
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。
CloudTrail 設定の変更に対するメトリクスフィルターとアラームを作成します。これらの変更をモニタリングすることで、アカウント内のアクティビティに対する継続的な可視性を確保できます。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.5 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
修復この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。
174
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.5-CloudTrailChanges などの、アラームの [名前] と
[説明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm (アラームを作成する)] を選択します。
3.6 – AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認します重大度: 中
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。
メトリクスフィルターと失敗したコンソールの認証試行に対するアラームを作成します。失敗したコンソールログインをモニタリングすると、認証情報をブルートフォースする試みを検出するためのリードタイムが短縮される可能性があります。これにより、ソース IPなど、相関性のある他のイベントで使用できるインジケータが提供される場合があります。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.6 に規定された正確な監査ステップを実行します。CIS によって規定
175
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
修復
この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。
176
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
11. [Alarm details (アラームの詳細)] で、CIS-3.6-ConsoleAuthenticationFailure などの、アラームの [名前] と [説明] を入力します。
12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、前の手順で作成したトピックの名前を入力します。
13. [Create Alarm (アラームを作成する)] を選択します。
3.7 – カスタマー作成の CMK の無効化またはスケジュールされた削除に対してログメトリクスフィルターとアラームが存在することを確認します重大度: 中
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。
状態を無効またはスケジュールされた削除に変更したカスタマー作成の CMK に対して、メトリクスフィルターとアラームを作成します。無効になっているか、削除されたキーで暗号化されたデータにはアクセスできなくなります。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.7 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
修復
この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
177
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.7-DisableOrDeleteCMK などの、アラームの [名前] と
[説明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm (アラームを作成する)] を選択します。
3.8 – S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します重大度: 中
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。
S3 バケットポリシーへの変更に対するメトリクスフィルターとアラームを作成します。これらの変更をモニタリングすることで、機密性の高い S3 バケットで許容ポリシーを検出して修正する時間を短縮できます。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.8 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。
178
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
修復
この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.8-S3BucketPolicyChanges などの、アラームの [名
前] と [説明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。
179
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
13. [Create Alarm (アラームを作成する)] を選択します。
3.9 – AWS Config 設定の変更に対してログメトリクスフィルターとアラームが存在することを確認します重大度: 中
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。
AWS Config 設定の変更に対するメトリクスフィルターとアラームを作成します。これらの変更をモニタリングすることで、アカウント内の設定アイテムに対する継続的な可視性を確保できます。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.9 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
修復
この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。
180
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択します。
4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.9-AWSConfigChanges などの、アラームの [名前] と
[説明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm (アラームを作成する)] を選択します。
3.10 – セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します重大度: 中
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。セキュリティグループは、VPC の入力トラフィックと出力トラフィックを制御するステートフルパケットフィルターです。
セキュリティグループの変更に対するメトリクスフィルターを作成します。これらの変更をモニタリングすることにより、リソースやサービスが意図せずに公開されないようにすることができます。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.10 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
181
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
修復
この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、『Amazon Simple NotificationService 開発者ガイド』の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.10-SecurityGroupChanges などの、アラームの [名
前] と [説明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm (アラームを作成する)] を選択します。
3.11 – ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します重大度: 中
182
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。NACL は、VPC 内のサブネットの入力トラフィックと出力トラフィックを制御するためのステートレスパケットフィルターとして使用されます。
NACL への変更に対するメトリクスフィルターとアラームを作成します。これらの変更をモニタリングすることにより、AWS リソースやサービスが意図せずに公開されないようにすることができます。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.11 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
修復この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}
183
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.11-NetworkACLChanges などの、アラームの [名前] と
[説明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm (アラームを作成する)] を選択します。
3.12 – ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します重大度: 中
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。ネットワークゲートウェイは VPC の外部送信先にトラフィックを送受信する必要があります。
ネットワークゲートウェイ への変更に対するメトリクスフィルターとアラームを作成します。これらの変更をモニタリングすることで、すべての入力トラフィックと出力トラフィックが制御パスを介して VPCボーダーを通過するようになります。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.12 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
修復この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。
184
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.12-NetworkGatewayChanges などの、アラームの [名
前] と [説明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm (アラームを作成する)] を選択します。
3.13 – ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します重大度: 中
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。ルーティングテーブルは、サブネット間およびネットワークゲートウェイへのネットワークトラフィックをルーティングします。
ルートテーブルの変更に対するメトリクスフィルターとアラームを作成します。これらの変更をモニタリングすることで、すべての VPC トラフィックが予定されたパスを通過するようになります。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.13 に規定された正確な監査ステップを実行します。CIS によって規定
185
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
修復
この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable)}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。
186
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.13-RouteTableChanges などの、アラームの [名前] と
[説明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm (アラームを作成する)] を選択します。
3.14 – VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します重大度: 中
AWS Config ルール: なし
CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを確立することで、API 呼び出しのリアルタイムモニタリングを実行できます。1 つのアカウントに複数の VPC を含めることができ、2 つの VPC 間にピア接続を作成して、ネットワークトラフィックが VPC 間をルーティングできるようにすることができます。
VPC への変更に対するメトリクスフィルターとアラームを作成します。これらの変更をモニタリングすることで、認証と承認の管理が損なわれないようにすることができます。
このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS FoundationsBenchmark v1.2 のコントロール 3.14 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。
Important
Security Hub では、Security Hub が有効にされている同じリージョンにあり、かつ、同じアカウントによって所有されているリソースに対してのみ、CIS AWS Foundations チェックがサポートされます。たとえば、Security Hub を 米国東部 (バージニア北部) リージョン で有効にした場合に、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で作成すると、米国東部 (バージニア北部) リージョン で実行されている Security Hubは、CloudWatch アラームまたは SNS トピックを 米国西部 (北カリフォルニア) リージョン で検索できません。この場合、このチェックではリソースが見つからないという警告が返されます。検索の失敗は、リソースが正常に検索され、コントロールの CIS 要件に非準拠である場合のみ生成されます。
修復
この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
Amazon SNS トピックの作成
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。詳細については、Amazon Simple NotificationService 開発者ガイド の「Amazon SNS の開始方法」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail をセットアップします。これを行うには、2.1 – CloudTrail はすべてのリージョンで有効になっています。 (p. 161) の修正手順に従います。
187
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が [LogMetrics] であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。
フィルターが作成され、その詳細が表示されます。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-3.14-VPCChanges などの、アラームの [名前] と [説明] を
入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm (アラームを作成する)] を選択します。
4.1 – どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないようにします重大度: 高
AWS Config ルール: restricted-ssh
セキュリティグループは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。
セキュリティグループはポート 22 への無制限の入力を許可しません。SSH などのリモートコンソールサービスへの自由な接続性を排除することで、サーバーがリスクにさらされることを軽減できます。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
修復VPC に関連付けられている各セキュリティグループに対して次のステップを実行します。
188
AWS Security Hub ユーザーガイドCIS AWS Foundations のコントロール
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. 左側のペインで、[セキュリティグループ] を選択します。3. セキュリティグループを選択します。4. ページ下部のセクションで、[インバウンドルール] タブを選択します。5. [ルールの編集] を選択します。6. ポート 22 を介したアクセスを許可するルールを特定し、[X] 選択してそれを削除します。7. [Save Rules (ルールの保存)] を選択します。
4.2 – どのセキュリティグループでも 0.0.0.0/0 からポート 3389への入力を許可しないようにします重大度: 高
AWS Config ルール: restricted-common-ports
セキュリティグループは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。
セキュリティグループはポート 3389 への無制限の入力を許可しません。RDP などのリモートコンソールサービスへの自由な接続性を排除することで、サーバーがリスクにさらされることを軽減できます。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
修復
VPC に関連付けられている各セキュリティグループに対して次のステップを実行します。
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. 左側のペインで、[セキュリティグループ] を選択します。3. セキュリティグループを選択します。4. ページ下部のセクションで、[インバウンドルール] タブを選択します。5. [ルールの編集] を選択します。6. ポート 3389 を介したアクセスを許可するルールを特定し、[X] 選択してそれを削除します。7. [Save Rules (ルールの保存)] を選択します。
4.3 – すべての VPC のデフォルトセキュリティグループがすべてのトラフィックを制限するようにします。重大度: 中
AWS Config ルール: vpc-default-security-group-closed
VPC に用意されているデフォルトのセキュリティグループの初期設定では、すべてのインバウンドトラフィックが拒否され、すべてのアウトバウンドトラフィックと、セキュリティグループに割り当てられているインスタンス間のすべてのトラフィックが許可されます。インスタンスを起動するときにセキュリティグループを指定しないと、そのインスタンスはデフォルトのセキュリティグループに自動的に割り当
189
AWS Security Hub ユーザーガイド無効にする場合がある CIS AWS
Foundations のコントロール
てられます。セキュリティグループは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。
デフォルトのセキュリティグループはすべてのトラフィックを制限します。
準拠するように、各リージョンのデフォルトの VPC のデフォルトのセキュリティグループを更新します。すべての新しい VPC には、この推奨事項に準拠するために修正が必要なデフォルトセキュリティグループが自動的に含まれます。
Note
この推奨事項を実装するときは、現在のセキュリティグループで発生しているすべてのパケットの受け入れと拒否を記録できるため、チェック 2.9 (p. 168) で有効になっている、VPC フローログ記録を使用して、システムが正常に動作するために必要な最小限の特権のポートアクセスを特定できます。
すべてのトラフィックを制限するようにすべての VPC デフォルトセキュリティグループを設定すると、最小権限のセキュリティグループの開発と、セキュリティグループへの AWS リソースの慎重な配置が促進されます。これにより、これらのリソースの露出が軽減されます。
修復
すべてのアクセスを制限するために、デフォルトのセキュリティグループを更新するには
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. デフォルトセキュリティグループの詳細を表示して、それらに割り当てられているリソースを表示し
ます。3. リソースに対して最小権限のセキュリティグループのセットを作成します。4. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。5. Amazon EC2 コンソールで、デフォルトのセキュリティグループを使用しているリソースのセキュリ
ティグループを、作成した最小権限のセキュリティグループに変更します。6. デフォルトのセキュリティグループごとに、[インバウンド] タブを選択し、すべてのインバウンド
ルールを削除します。7. デフォルトのセキュリティグループごとに、[アウトバウンド] タブを選択し、すべてのアウトバウン
ドルールを削除します。
詳細については、Amazon VPC ユーザーガイド の「セキュリティグループを操作する」を参照してください。
無効にする場合がある CIS AWS Foundations のコントロールCIS AWS Foundations 標準で、無効にする必要がある特定のコントロールをいくつか次に示します。
• CIS AWS Foundations Benchmark 2.3 および 2.6 のコントロール。
これらのコントロールは、CloudTrail 証跡のロギングを処理します。集中ロギングアカウントでこれらの証跡を記録する場合、集中ロギングが行われるアカウントとリージョンでこれらのコントロールを実行するだけで済みます。
• CIS AWS Foundations Benchmark 1.2-1.14、1.16、1.22、および 2.5 のコントロール。
AWS Config ルールのコストを節約するために、1 つのリージョンを除くすべてのリージョンのグローバルリソースの記録を無効にし、グローバル記録を実行するリージョンを除くすべてのリージョンのグローバルリソースを処理するこれらのコントロールを無効にします。
190
AWS Security Hub ユーザーガイドSecurity Hub でサポートされていない CISAWS Foundations セキュリティチェック
これらの 1.x コントロールを無効にし、グローバルリージョンの記録を無効にする場合は、2.5 も無効にする必要があります。これは、成功するために 2.5 でグローバルリソースの記録が必要であるためです。
• CIS AWS Foundations Benchmark 3.x のコントロール。
これらのコントロール要件に対応している集中アカウントに SNS トピックがある場合は、その集中アカウントを除くすべてのアカウントでこれらのコントロールを無効にすることができます。
Security Hub でサポートされていない CIS AWSFoundations セキュリティチェック以下のルールは、自動化された方法で評価できないため、Security Hub の CIS AWS Foundations 標準ではサポートされていません。Security Hub は、自動化されたセキュリティチェックに重点を置いています。
• 1.15 – セキュリティの質問は、AWS アカウントに登録されていることを確認します• 1.17 – 現在の連絡先情報を維持します• 1.18 – セキュリティの連絡先情報が登録されていることを確認します• 1.19 – IAM インスタンスロールはインスタンスからの AWS リソースアクセスに使用されることを確認
します• 1.21 – コンソールパスワードを持つすべての IAM ユーザーの初期ユーザーセットアップ中にアクセス
キーをセットアップしないでください• 4.4 – VPC ピアリングのルーティングテーブルが「アクセスが最も少ない」ことを確認します
Payment Card Industry Data Security Standard (PCIDSS)
セキュリティハブ の Payment Card Industry Data Security Standard (PCI DSS) 標準は、一連の AWS セキュリティのベストプラクティスコントロールで構成されています。各コントロールは特定の AWS リソースに適用され、1 つ以上の PCI DSS バージョン 3.2.1 要件に関連しています。PCI DSS 要件は、複数のコントロールに関連している場合があります。各 PCI DSS コントロールの詳細ページには、そのコントロールに関連する特定の PCI DSS 要件が一覧表示されます。「the section called “コントロールの詳細の表示” (p. 146)」を参照してください。
セキュリティハブ の PCI DSS コンプライアンス標準は、進行中の PCI DSS セキュリティアクティビティを支援するように設計されています。コントロールは、お使いのシステムが PCI DSS 標準に準拠しているかどうかを確認できません。また、社内の取り組みに取って代わることも、PCI DSS 評価に合格することを保証することもできません。Security Hub では、手動による証拠収集が必要な手続き型コントロールはチェックされません。
セキュリティハブ は、現在、アカウントレベルでコントロールをスコープします。これらのコントロールは、カード所有者データを保存、処理、送信するリソースを持つすべてのアカウントで有効にすることをお勧めします。
この標準は、AWS セキュリティ保証サービス LLC (AWS SAS) によって検証されました。SAS は、PCIDSS Security Standards Council (PCI SSC) によって PCI DSS ガイダンスと評価を提供することを認定された Qualified Security Assessors (QSA) のチームです。AWS SAS では、自動チェックによって、お客様が PCI DSS 評価の準備を支援できることを確認しました。
目次
191
AWS Security Hub ユーザーガイドPCI DSS コントロールに必要な AWS Config リソース
• PCI DSS コントロールに必要な AWS Config リソース (p. 192)• PCI DSS コントロール (p. 192)
PCI DSS コントロールに必要な AWS Config リソースAWS Security Hub がすべての PCI DSS コントロールの調査結果を正確にレポートするには、AWS Configで次のリソースを有効にする必要があります。
• Amazon ES ドメイン• Auto Scaling グループ• CloudTrail 証跡• CodeBuild プロジェクト• Amazon EC2 elastic IP• Amazon EC2 セキュリティグループ• Amazon EC2 ボリューム• IAM ユーザー• AWS KMS キー• IAM ポリシー• Lambda 関数• Amazon RDS DB インスタンス• Amazon RDS スナップショット• Amazon Redshift クラスター• S3 バケット• Systems Manager パッチコンプライアンス
PCI DSS コントロールセキュリティハブ の PCI DSS セキュリティ標準では、次のコントロールがサポートされています。各コントロールでは、情報には重大度、リソースタイプ、AWS Config ルール、修復ステップが含まれます。
[PCI.AutoScaling.1] ロードバランサーに関連付けられた AutoScaling グループは、ヘルスチェックを使用します重大度: 低
リソース: Auto Scaling グループ
AWS Config ルール: autoscaling-group-elb-healthcheck-required
このコントロールは、ロードバランサーに関連付けられた Auto Scaling グループが、Elastic LoadBalancing のヘルスチェックを使用しているかどうかを確認します。
PCI DSS では、ロードバランシングや高可用性設定は必要ありません。ただし、このチェックは AWS ベストプラクティスと一致します。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
192
AWS Security Hub ユーザーガイドPCI DSS コントロール
PCI DSS 2.2: すべてのシステムコンポーネントについて設定の標準を作成します。これらの標準が、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化標準に確実に準拠するようにします。
ロードバランシングを使用してシステムを複製すると、高可用性が実現され、DDoS イベントの影響を軽減できます。
これは、システム強化設定の実装に使用される方法の 1 つです。
修復
Elastic Load Balancing ヘルスチェックを有効にするには
1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。2. ナビゲーションペインの [Auto Scaling] で、[Auto Scaling グループ] を選択します。3. リストからグループを選択するには、右側のボックスを選択します。4. [Actions (アクション)] で、[Edit (編集)] を選択します。5. [Health Check Type (ヘルスチェックタイプ)] で、[ELB] を選択します。6. [Health Check Grace Period (ヘルスチェックの猶予期間)] で、300 を入力します。7. [Save] を選択します。
Auto Scaling グループでのロードバランサーの使用の詳細については、「Amazon EC2 Auto Scaling ユーザーガイド」を参照してください。
[PCI.CloudTrail.1] CloudTrail ログは、AWS KMS CMK を使用して保存時に暗号化する必要があります。重大度: 中
リソース: CloudTrail 証跡
AWS Config ルール: cloud-trail-encryption-enabled
このコントロールは、AWS CloudTrail がサーバー側の暗号化 (SSE) AWS KMS カスタマーマスターキー(CMK) 暗号化を使用するよう設定されているかどうかを確認します。
デフォルトの暗号化オプションのみを使用している場合は、このチェックを無効にすることができます。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 3.4: プライマリアカウント番号 (PAN) は、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、およびログ内を含む) で読み取れません。
AWS のサービスを使用して PAN の処理と保存を行う場合は、CloudTrail ログが PAN をキャプチャした場合、PAN が保護されるように、保存時にログを暗号化する必要があります。
デフォルトでは、CloudTrail によって S3 バケットに配信されるログファイルは、Amazon S3 で管理された暗号化キーによる Amazon のサーバー側の暗号化 (SSE-S3) を使用して暗号化されます。「Amazon Simple Storage Service 開発者ガイド」を参照してください。
お客様が作成した AWS KMS マスターキー (CMK) を活用して CloudTrail ログをさらに保護するように CloudTrail ログを設定できます。
193
AWS Security Hub ユーザーガイドPCI DSS コントロール
これらは、PAN を読み取りすることができないようにするための方法です。
修復
CloudTrail ログの暗号化を有効にするには
1. https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。2. [証跡] を選択します。3. 更新する証跡を選択します。4. [Storage (ストレージ)] ロケーションで、設定を編集するには、鉛筆アイコンを選択します。5. [Encrypt log files with SSE-KMS (SSE-KMS でログファイルを暗号化する)] で、[はい] を選択します。6. [Create a new KMS key (新しい KMS キーを作成する)] で、次のいずれかの操作を行います。
• キーを作成するには、[Yes (はい)] を選択し、[KMS キー] でキーのエイリアスを入力します。キーは、S3 バケットと同じリージョンに作成されます。
• 既存のキーを使用するには、[No (いいえ)] を選択し、[KMS key (KMS キー)] からキーを選択します。
AWS KMS キーおよび S3 バケットは同じリージョンにある必要があります。7. [保存] を選択します。
CMK と正常にやり取りするためには、CloudTrail のポリシーを変更する必要がある場合があります。AWSKMS マネージドキー (SSE-KMS) を使用した CloudTrail ログファイルを暗号化の詳細については、「AWSCloudTrail User Guide」を参照してください。
[PCI.CloudTrail.2] CloudTrail を有効にする必要があります重大度: 高
リソース: アカウント
AWS Config ルール: cloudtrail-enabled
このコントロールは、AWS アカウントで CloudTrail が有効になっているかどうかを確認します。
ただし、一部の AWS のサービスでは、すべての API およびイベントのログ記録が有効になるとは限りません。CloudTrail 以外の追加の監査証跡を実装し、「CloudTrail サポートされるサービスと統合」の各サービスのドキュメントを確認してください。
関連する PCI DSS 要件このコントロールは、次の PCI DSS 要件に関連付けられています。
PCI DSS 10.1: 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。
CloudTrail を有効にすると、イベント履歴では、個々のユーザーがシステムコンポーネントにアクセスするための 90 日間のイベントと監査証跡を容易に入手できるようになります。
ユーザーの ID は、CloudTrail ログの eventSource セクションで確認できます。PCI DSS 10.2.1: すべてのシステムコンポーネントの自動監査証跡を実装して、次のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス
カード所有者データが保存されている場所に応じて、個々のユーザーによるカード所有者データへのアクセスは、CloudTrail ログの userIdentity、eventSource、eventName、またはresponseElements セクションに記載されています。
194
AWS Security Hub ユーザーガイドPCI DSS コントロール
PCI DSS 10.2.2: すべてのシステムコンポーネントの自動監査証跡を実装して、次のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション
ルートユーザーの ID は、ログの userIdentity セクションを参照してください。PCI DSS 10.2.3: すべてのシステムコンポーネントの自動監査証跡を実装して、次のイベントを再構築します。すべての監査証跡へのアクセス
監査証跡へのアクセスは、ログの eventSource、eventName、または responseElements セクションを参照してください。
PCI DSS 10.2.4: すべてのシステムコンポーネントの自動監査証跡を実装して、次のイベントを再構築します。無効な論理アクセスの試行
無効な論理アクセスの試行は CloudTrail ログを参照してください。例: responseElements :"ConsoleLogin" および responseElements : "Failure"。
PCI DSS 10.2.5: すべてのシステムコンポーネントに対して自動監査証跡を実装し、次のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除
識別および認証メカニズムの使用および変更については、ログの userAgent、eventName、またはresponseElements セクションを参照してください。
PCI DSS 10.2.6: すべてのシステムコンポーネントの自動監査証跡を実装して、次のイベントを再構築します。監査ログの初期化、停止、または一時停止
ログの開始と停止が CloudTrail ログにキャプチャされます。
監査ログの起動と停止の例は、CloudTrail ログ内で次のように表示されます。eventName :"StopLogging" および eventName : "StartLogging"
PCI DSS 10.2.7: すべてのシステムコンポーネントの自動監査証跡を実装して、次のイベントを再構築します。システムレベルオブジェクトの作成と削除
システムレベルオブジェクトの作成と削除は、CloudTrail ログに記録されます。システムレベルオブジェクトの例は AWS Lambda 関数です。
CloudTrail では、createFunction および deleteFunction API コールがキャプチャされます。詳細については、「AWS Lambda Developer Guide」を参照してください。
PCI DSS 10.3.1: 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID
ユーザー ID は、CloudTrail ログの userIdentity セクションで確認できます。PCI DSS 10.3.2: 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ
イベントのタイプは、CloudTrail ログの eventName セクションで確認できます。PCI DSS 10.3.3: 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻
イベントの日時は、CloudTrail ログの eventTime セクションで確認できます。PCI DSS 10.3.4: 各イベントのすべてのシステムコンポーネントについて、少なくとも次の監査証跡エントリを記録します。成功または失敗の表示
成功または失敗は、CloudTrail ログの responseElements セクションで確認できます。PCI DSS 10.3.5: 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元
イベントの発生源は、CloudTrail ログの userAgent または sourceIPAddress セクションにあります。
195
AWS Security Hub ユーザーガイドPCI DSS コントロール
PCI DSS 10.3.6: 各イベントのすべてのシステムコンポーネントについて、少なくとも次の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。
リソースの ID は、CloudTrail ログの eventSource セクションで確認できます。
修復
CloudTrail に新しい証跡を作成するには
1. CloudTrail 管理用に設定した IAM ユーザーを使用して AWS マネジメントコンソール にサインインします。
2. https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。3. [Region (リージョン)] セレクタで、証跡を作成する AWS リージョンを選択します。これは、証跡の
ホームリージョン です。
証跡がすべての AWS リージョンのイベントを記録している場合でも、ホームリージョンは、作成後にトレイルを表示および更新できる唯一の AWS リージョンです。
4. ナビゲーションペインで、[Trails (証跡)] を選択します。5. [Trails (証跡)] ページで、[Get Started Now (今すぐ開始)] を選択します。このオプションが表示されな
い場合は、[Create Trail (証跡の作成)] を選択します。6. [Trail name (証跡名)] で、証跡に名前 (My-Management-Events-Trail など) を付けます。
ベストプラクティスとして、証跡の目的をすぐに識別できる名前を使用します。この場合、管理イベントをログに記録する証跡を作成しています。
7. [Apply trail to all regions (すべてのリージョンに証跡を適用する)] では、デフォルトの [Yes (はい)] のままにします。
8. [Management Events (管理イベント)] で、[Read/Write events (読み取り/書き込みイベント)] が[すべて] に設定されていることを確認します。
9. [Data Events (データイベント)] では何も変更しないでください。この証跡はデータイベントを記録しません。
10. ログ用の新しい S3 バケットを作成します。
a. [Storage Location (保存場所)] の、[Create a new S3 bucket (新しい S3 バケットを作成する)] で、[はい] を選択します。
b. [S3 bucket (S3 バケット)] で、バケットに名前を付けます (my-bucket-for-storing-cloudtrail-logs など)。
S3 バケットの名前はグローバルで一意であることが必要です。S3 バケットの命名要件の詳細については、「AWS CloudTrail User Guide」を参照してください。
c. [Advanced (詳細設定)] で、[Encrypt log files with SSE-KMS (SSE-KMS でログファイルを暗号化する)] と [Enable log file validation (ログファイルの検証を有効にする)] の両方で [Yes (はい)] を選択します。
11. [Create] を選択します。
詳細については、「AWS CloudTrail User Guide」のチュートリアルを参照してください。
[PCI.CloudTrail.3] CloudTrail ログファイルの検証を有効にする必要があります重大度: 低
リソース: CloudTrail 証跡
196
AWS Security Hub ユーザーガイドPCI DSS コントロール
AWS Config ルール: cloud-trail-log-file-validation-enabled
このコントロールは、CloudTrail ログファイルの検証が有効になっているかどうかをチェックします。
設定が変更されたときはチェックしません。
ログファイルの変更をモニタリングして警告するには、CloudWatch イベントまたは CloudWatch メトリクスフィルターを使用します。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 10.5.2: 監査証跡ファイルの無許可での変更を防ぎます。
CloudTrail ログファイルの検証は、CloudTrail が Amazon S3 に書き込むそれぞれのログのハッシュを含むデジタル署名されたダイジェストファイルを作成します。
CloudTrail がログを配信した後で、これらのダイジェストファイルを使用して、ログファイルが変更、削除、または変更されなかったかどうかを判断できます。
これは、不正な変更から監査証跡ファイルを保護するのに役立つ方法です。PCI DSS 10.5.5: ログにファイル整合性モニタリングソフトウェアまたは変更検出ソフトウェアを使用して、警告を生成せずに既存のログデータを変更できないようにします。
CloudTrail ログファイルの検証は、CloudTrail が Amazon S3 に書き込むそれぞれのログのハッシュを含むデジタル署名されたダイジェストファイルを作成します。
CloudTrail がログを配信した後で、これらのダイジェストファイルを使用して、ログファイルが変更、削除、または変更されなかったかどうかを判断できます。
これは、ファイル整合性のモニタリングソフトウェアまたは変更検出ソフトウェアをログで使用できるようにするための方法です。
修復
CloudTrail ログファイルの検証を有効にするには
1. https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。2. [証跡] を選択します。3. [Name (名前)] 列で編集する証跡の名前を選択します。4. [Storage location (ストレージロケーション)] の鉛筆アイコンを選択します。5. [Enable log file validation (ログファイルの検証を有効にする)] で、[Yes (はい)] を選択します。6. [Save] を選択します。
[PCI.CloudTrail.4] CloudTrail 証跡は CloudWatch ログと統合する必要があります重大度: 低
リソース: CloudTrail 証跡
AWS Config ルール: cloud-trail-cloud-watch-logs-enabled
197
AWS Security Hub ユーザーガイドPCI DSS コントロール
このコントロールは、CloudWatch ログにログを送信するように CloudTrail 証跡が設定されているかどうかをチェックします。
ログやロググループを変更するためのユーザーアクセス許可はチェックされません。CloudTrail ログが変更されたときに警告する特定の CloudWatch ルールを作成する必要があります。
このコントロールは、CloudWatch ロググループに送信される CloudTrail 以外の追加の監査ログソースもチェックしません。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 10.5.3: 監査証跡ファイルを、変更が難しい一元管理されたログサーバーまたはメディアにただちにバックアップします。
CloudTrail はログファイルの保存と配信に Amazon S3 を使用するため、ログファイルは永続的に保存されます。
CloudWatch ログは、監査証跡ファイルを迅速にバックアップするためのネイティブな方法です。
修復
CloudTrail 証跡が CloudWatch ログに統合されていることを確認するには
1. https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。2. [証跡] を選択します。3. [CloudWatch Logs Log group (CloudWatch Logs ロググループ)] 列に値のない証跡を選択します。4. [CloudWatch Logs] セクションまで下にスクロールし、[設定] を選択します。5. [New or existing log group (新規または既存のロググループ)] で、次のいずれかの操作を行います。
• デフォルトのロググループを使用するには、名前はそのままにします。• 既存のロググループを使用するには、使用するロググループの名前を入力します。• 新しいロググループを作成するには、作成するロググループの名前を入力します。
6. [続行] を選択します。7. デフォルトの IAM ロールを使用することも、ロールを指定することもできます。
デフォルトの IAM ロールを使用するには、次のステップに進みます。
使用するロールを指定するには、次の手順に従います。
a. [View Details (詳細の表示)] を選択します。b. [IAM role (IAM ロール)] で、次のいずれかを実行します。
• [CloudTrail_CloudWatchLogs_role] を選択し、[Policy Name (ポリシー名)] から使用するポリシーを選択します。
• [Create a new IAM Role (新しい IAM ロールを作成する)] を選択し、作成するロールの名前を入力します。
新しいロールには、必要なアクセス許可を付与するポリシーが割り当てられます。8. [Allow] を選択します。
コンソールを使用した CloudWatch ログモニタリングの設定の詳細については、「AWS CloudTrail UserGuide」を参照してください。
198
AWS Security Hub ユーザーガイドPCI DSS コントロール
[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります重要度: 非常事態
リソース: CodeBuild プロジェクト
AWS Config ルール: codebuild-project-source-repo-url-check
このコントロールは、GitHub または Bitbucket のソースレポジトリの URL に、個人用のアクセストークンまたはユーザー名とパスワードが含まれているかどうか確認します。
Note
このコントロールは、次のリージョンではサポートされていません。
• アフリカ (ケープタウン)• ヨーロッパ (ミラノ)• AWS GovCloud (米国東部)• AWS GovCloud (US-West)
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 8.2.1: 強力な暗号化を使用して、すべてのシステムコンポーネントに転送および保存中に、すべての認証情報 (パスワード/フレーズなど) をレンダリングできないようにします。
PCI DSS 環境で CodeBuild を使用してソースコードをコンパイルしたり、ユニットテストを実行したり、デプロイする準備ができたアーティファクトを生成したりする場合は、認証情報をクリアテキストで保存または送信したり、リポジトリ URL に表示しないでください。
GitHub または Bitbucket リポジトリへのアクセス認可を付与するには、個人のアクセストークンまたはユーザー名とパスワードではなく OAuth を使用する必要があります。これは、強力な暗号化を使用して、認証情報をレンダリングできないようにする方法です。
修復
基本認証/(GitHub) 個人用のアクセストークンを CodeBuild プロジェクトソースから削除するには
1. CodeBuild コンソール (https://console.aws.amazon.com/codebuild/) を開きます。2. 個人用のアクセストークンまたはユーザー名とパスワードを含むビルドプロジェクトを選択する3. [Edit (編集)] から [Source (ソース)] を選択します。4. [Disconnect from GitHub / Bitbucket (GitHub/Bitbucket から切断)] を選択します。5. [Connect using OAuth (OAuth を使用して接続)] を選択し、[Connect to GitHub / Bitbucket (GitHub/
Bitbucket に接続)] を選択します。6. ソースプロバイダーによって表示されるメッセージで、必要に応じて認証します。7. 必要に応じて、[Repository URL (リポジトリ URL)] と [additional configuration (追加の設定)] 設定を再
設定します。8. [Update source (ソースの更新)] を選択します。
CodeBuild ユースケースベースのサンプルについては、「AWS CodeBuild ユーザーガイド」を参照してください。
199
AWS Security Hub ユーザーガイドPCI DSS コントロール
[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません重要度: 非常事態
リソース: CodeBuild プロジェクト
AWS Config ルール: codebuild-project-envvar-awscred-check
このコントロールは、プロジェクトに環境変数 AWS_ACCESS_KEY_ID と AWS_SECRET_ACCESS_KEY が含まれているかどうかをチェックします。
Note
このコントロールは、次のリージョンではサポートされていません。
• アフリカ (ケープタウン)• ヨーロッパ (ミラノ)• AWS GovCloud (米国東部)• AWS GovCloud (US-West)
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 8.2.1: 強力な暗号化を使用して、すべてのシステムコンポーネントに転送および保存中に、すべての認証情報 (パスワード/フレーズなど) をレンダリングできないようにします。
PCI DSS 環境で CodeBuild を使用してソースコードをコンパイルしたり、ユニットテストを実行したり、デプロイする準備ができたアーティファクトを生成する場合は、認証情報 AWS_ACCESS_KEY_IDと AWS_SECRET_ACCESS_KEY をクリアテキストで保存 しないでください。
環境変数を使用して CodeBuild プロジェクトに認証情報を保存すると、強力な暗号化を使用して認証情報をレンダリングできなくなるという要件に違反する可能性があります。
修復
環境変数を使用して CodeBuild ランタイムで機密データを参照するには、次の手順を使用します。
環境変数を削除するには
1. CodeBuild コンソール (https://console.aws.amazon.com/codebuild/) を開きます。2. [Build (ビルド)] を展開し、[Build project (ビルドプロジェクト)] を選択して、プレーンテキストの認証
情報を含むビルドプロジェクトを選択します。3. [編集] から [環境] を選択します。4. [Additional configuration (追加の設定)] を展開し、[Environment variables (環境変数)] までスクロール
します。5. 環境変数の横にある [Remove (削除)] を選択します。6. [Update environment (環境の更新)] を選択します。
重要な値は Amazon EC2 Systems Manager パラメータストアに保存後、ビルド仕様から取得するには
1. CodeBuild コンソール (https://console.aws.amazon.com/codebuild/) を開きます。
200
AWS Security Hub ユーザーガイドPCI DSS コントロール
2. [Build (ビルド)] を展開し、[Build project (ビルドプロジェクト)] を選択して、プレーンテキストの認証情報を含むビルドプロジェクトを選択します。
3. [編集] から [環境] を選択します。4. [Additional configuration (追加の設定)] を展開し、[Environment variables (環境変数)] までスクロール
します。5. AWS Systems Manager で、機密データを含むシステムマネージャーパラメータを作成します。これ
を行う方法については、「AWS Systems Manager ユーザーガイド」のチュートリアルを参照してください。
6. パラメータを作成したら、パラメータ名をコピーします。7. CodeBuild コンソールに戻り、[Create environmental variable (環境変数の作成)] を選択します。8. [name (名前)] には、ビルド仕様に表示される変数の名前を入力します。9. [value (値)] には、パラメータの名前を貼り付けます。10. [type (タイプ)] で、[Parameter (パラメータ)] を選択します。11. プレーンテキストの認証情報を含む非準拠の環境変数の横にある [Remove (削除)] を選択します。12. [Update environment (環境の更新)] を選択します。
「AWS CodeBuild ユーザーガイド」のビルド環境の環境変数に関する情報を参照してください。
[PCI.Config.1] AWS Config を有効にする必要があります重大度: 中
リソース: アカウント
AWS Config ルール: なし。このチェックを実行するには、セキュリティハブ は「アマゾン ウェブ サービスのセキュリティ保護」に規定された監査ステップを実行します。このチェックの AWS 環境では AWSConfig マネージドルールは作成されません。
このコントロールは、現在のアカウントとリージョンで AWS Config が有効になっているかどうかをチェックします。
AWS Config は、リソースタイプのサブセットのみをサポートするため、すべての重要なシステムファイルとコンテンツファイルの変更検出はチェックされません。
詳細については、「AWS Config Developer Guide」を参照してください。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 10.5.2: 監査証跡ファイルの無許可での変更を防ぎます。
AWS Config は、必要な設定について、AWS リソース設定を継続的にモニタリング、追跡、評価し、6 時間ごとに設定変更履歴ファイルを生成します。
権限のない変更から監査証跡ファイルを保護するには、AWS Config を有効にする必要があります。PCI DSS 11.5: 変更検出メカニズムをデプロイすることにより、重要なシステムファイル、設定ファイル、またはコンテンツファイルの許可されていない変更について担当者に注意を喚起します。また、重要なファイルが少なくとも週に 1 回比較されるようにソフトウェアを設定します。
AWS Config は、必要な設定について、AWS リソース設定を継続的にモニタリング、追跡、評価し、6 時間ごとに設定変更履歴ファイルを生成します。
AWS Config を有効にして、変更検出メカニズムがデプロイされ、少なくとも週に 1 度重要なファイル比較を実行するように設定する必要があります。
201
AWS Security Hub ユーザーガイドPCI DSS コントロール
修復
AWS Config 設定を構成するには
1. AWS Config コンソール (https://console.aws.amazon.com/ config/) を開きます。2. AWS Config を設定するリージョンを選択します。3. (これまでに AWS Config を使用したことがない場合は、[Get started (今すぐ始める)] を選択します。)4. [Settings (設定)] ページで、以下の操作を行います。
a. [Resource types to record (記録するリソースタイプ)] で、[Record all resources supported inthis region (このリージョンでサポートされているすべてのリソースを記録する)] および [Includeglobal resources (e.g., AWS IAM resources) (グローバルリソースを含む (AWS IAM リソースなど))] を選択します。
b. [Amazon S3 bucket (Amazon S3 バケット)] で、バケットを使用するか、バケットを作成し、必要に応じてプレフィックスを含めます。
c. [Amazon SNS topic (Amazon SNS トピック)] で、アカウントから Amazon SNS トピックを選択するか、トピックを作成します。Amazon SNS の詳細については、「Amazon Simple NotificationService 入門ガイド」を参照してください。
d. [AWS Config role (AWS Config ロール)] で、[Create AWS Config service-linked role (AWS Configサービスリンクロールの作成)] を選択するか、[Choose a role from your account (アカウントからロールを選択)] を選択して、使用するロールを選択します。
5. [Next] を選択します。6. [AWS Config rules (AWS Config ロール)] ページで、[Skip (スキップ)] を選択します。7. [確認] を選択します。
AWS CLI から AWS Config を使用する方法の詳細については、「AWS Config Developer Guide」を参照してください。
AWS CloudFormation テンプレートを使用してこのプロセスを自動化することもできます。詳細については、「AWS CloudFormation ユーザーガイド」を参照してください。
[PCI.CW.1] 「root」ユーザーの使用には、ログメトリクスフィルターとアラームが存在する必要があります。重要度: 非常事態
リソース: アカウント
AWS Config ルール: セキュリティハブ は、このチェックの AWS アカウントに AWS Config マネージドルールを作成せずに、監査ステップを実行します。
このコントロールは、次のパターンを使用して CloudWatch メトリクスフィルターをチェックします。
{ $.userIdentity.type = "Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
次の項目がチェックされます。
• ロググループ名は、アクティブなマルチリージョン CloudTrail で使用するように設定されています。• IncludeManagementEvents が true に設定され、ReadWriteType が All に設定されている証跡に
は、少なくとも 1 つのイベントセレクタがあります。• アラームに関連付けられた Amazon SNS トピックに対するアクティブなサブスクライバーが少なくとも
1 つ存在します。
202
AWS Security Hub ユーザーガイドPCI DSS コントロール
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 7.2.1: システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、明示的に許可していない限り、「すべて拒否」に設定するようにアクセス制御システムを確立します。このアクセスコントロールシステムには、次のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ。
ルートユーザーは、AWS アカウントで最も権限のあるユーザーで、AWS アカウントのすべてのリソースに対して無制限にアクセスできます。
ルート認証情報が使用される場合は、ログメトリクスフィルターとアラームを設定する必要があります。
また、CloudTrail が有効かされていることを確認して、ルート権限または管理者権限を持つ個人が実行したアクションの監査証跡を保持する必要があります (「the section called “[PCI.CloudTrail.2]CloudTrail を有効にする必要があります” (p. 194)」を参照)。ルートユーザーの ID は、CloudTrail ログの userIdentity セクションに記載されています。
修復
この問題を修正するためのステップには、Amazon SNS トピック、メトリクスフィルター、およびメトリクスフィルターのアラームの設定が含まれます。
これらは、the section called “3.3 – 「ルート」アカウントに対してログメトリクスフィルターとアラームが存在することを確認します ” (p. 171) の結果を修正するためのステップと同じです。
Amazon SNS トピックを作成するには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. すべての CIS アラームを受信する Amazon SNS トピックを作成します。
トピックに少なくとも 1 人の受信者を作成します。
Amazon SNS トピックの作成の詳細については、「Amazon Simple Notification Service 開発者ガイド」を参照してください。
3. すべてのリージョンに適用されるアクティブな CloudTrail 証跡をセットアップします。
これを行うには、the section called “2.1 – CloudTrail はすべてのリージョンで有効になっています。” (p. 161) の修正ステップに従います。
関連するロググループ名を書きとめておきます。
メトリクスフィルターとアラームを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. [ログ] を選択します。3. 前の手順で書き留めたロググループを見つけ、[Metric Filters (メトリクスフィルター)] 列の値を選択し
ます。4. [Add Metric Filter (メトリクスフィルターの追加)] を選択します。5. 次のパターンをコピーして、[Filter Pattern (フィルターパターン)] フィールドに貼り付けます。
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
203
AWS Security Hub ユーザーガイドPCI DSS コントロール
6. [Assign Metric (メトリクスを割り当てる)] を選択します。7. (オプション)フィルター名を任意の名前に更新します。8. [Metric Namespace (メトリクスの名前空間) ] の値が LogMetrics であることを確認します。
これにより、すべての CIS Benchmark メトリクスがグループ化されます。9. [Metric Name (メトリクス名)] フィールドに名前を入力し、[(フィルターを作成する)] を選択します。10. [Create Alarm (アラームを作成する)] を選択します。11. [Alarm details (アラームの詳細)] で、CIS-1.1-RootAccountUsage など、アラームの [名前] と [説
明] を入力します。12. [アクション] の、[Send notification to (通知の送信先)] で、[Enter list (リストを入力する)] を選択し、
前の手順で作成したトピックの名前を入力します。13. [Create Alarm (アラームを作成する)] を選択します。
[PCI.EC2.1] Amazon EBS スナップショットをパブリックに復元することはできません重要度: 非常事態
リソース: Amazon EC2 ボリューム
AWS Config ルール: ebs-snapshot-public-restorable-check
このコントロールは、Amazon Elastic Block Store スナップショットを公開するすべてのユーザーがパブリックに復元できないかどうかをチェックします。Amazon EBS スナップショットは、会社の機密データが誤って漏洩することを避けるため、明示的な許可がないかぎり、誰もパブリックに復元することはできません。
また、Amazon EBS 設定を変更するアクセス許可が、承認された AWS アカウントのみに制限されていることを確認する必要があります。Amazon EBS スナップショットのアクセス許可の管理の詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」を参照してください。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 1.2.1: カード所有者データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。
Amazon EBS スナップショットは、Amazon EBS ボリューム上のデータを特定の時点に Amazon S3にバックアップするために使用され、EBS ボリュームの以前の状態を復元するために使用できます。
Amazon EBS スナップショットがカード所有者データを保存する場合、すべてのユーザーが公開して復元することはできません。これは、CDE との間で必要なトラフィックだけを許可するという要件に違反します。
PCI DSS 1.3.1: DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。
Amazon EBS スナップショットは、Amazon EBS ボリューム上のデータを特定の時点に Amazon S3にバックアップするために使用され、Amazon EBS ボリュームの以前の状態を復元するために使用できます。
204
AWS Security Hub ユーザーガイドPCI DSS コントロール
Amazon EBS スナップショットがカード所有者データを保存する場合、すべてのユーザーが公開して復元することはできません。これにより、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限するという要件に違反します。
PCI DSS 1.3.4: カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。
Amazon EBS スナップショットは、Amazon EBS ボリューム上のデータを特定の時点に Amazon S3にバックアップするために使用され、EBS ボリュームの以前の状態を復元するために使用できます。
Amazon EBS スナップショットがカード所有者データを保存する場合、すべてのユーザーが公開して復元することはできません。これは、カード所有者データ環境からインターネットへの不正な送信トラフィックをブロックする要件に違反します。
PCI DSS 7.2.1: システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、明示的に許可していない限り、「すべて拒否」に設定するようにアクセス制御システムを確立します。このアクセスコントロールシステムには、次のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ。
Amazon EBS スナップショットは、Amazon EBS ボリューム上のデータを特定の時点に Amazon S3にバックアップするために使用され、Amazon EBS ボリュームの以前の状態を復元するために使用できます。
Amazon EBS スナップショットがカード所有者データを保存する場合、すべてのユーザーが公開して復元することはできません。これは、システムコンポーネントへのアクセスが最低限必要な権限に制限されていること、またはユーザーが知る必要があるという要件に違反する可能性があります。
修復
パブリック Amazon EBS スナップショットをプライベートにするには
1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。2. ナビゲーションペインで [Snapshots (スナップショット)] を選択し、パブリックスナップショットを
選択します。3. [Actions (アクション)] を選択し、[Modify permissions (アクセス許可の変更)] を選択します。4. [Private (プライベート)] を選択します。5. オプションで、許可されたアカウントの AWS アカウント番号を追加して、スナップショットを共有
します6. [Save] を選択します。
Amazon EBS スナップショットの共有に関する詳細は、「Linux インスタンス用 Amazon EC2 ユーザーガイド」を参照してください。
[PCI.EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックとアウトバウンドトラフィックが禁止されます重大度: 中
リソース: Amazon EC2 セキュリティグループ
AWS Config ルール: vpc-default-security-group-closed
このコントロールは、VPC のデフォルトのセキュリティグループがインバウンドとアウトバウンドのいずれのトラフィックも許可しないことを確認します。
205
AWS Security Hub ユーザーガイドPCI DSS コントロール
デフォルトではない他のセキュリティグループや、他の VPC 設定に対するアクセス制限はチェックされません。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 1.2.1: カード所有者データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。
PCI DSS の対象範囲内のサービスがデフォルトのセキュリティグループに関連付けられている場合、セキュリティグループのデフォルトルールでは、同じセキュリティグループに割り当てられているネットワークインターフェイス (および関連するインスタンス) からのすべてのインバウンドトラフィックだけでなく、すべてのアウトバウンドトラフィックも許可されます。
デフォルトのセキュリティグループルール設定を変更して、インバウンドトラフィックとアウトバウンドトラフィックを制限する必要があります。デフォルトを使用すると、CDE との間で必要なトラフィックのみを許可するという要件に違反する可能性があります。
PCI DSS 1.3.4: カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。
PCI DSS の対象範囲内のサービスがデフォルトのセキュリティグループに関連付けられている場合、セキュリティグループのデフォルトルールでは、同じセキュリティグループに割り当てられているネットワークインターフェイス (および関連するインスタンス) からのすべてのインバウンドトラフィックだけでなく、すべてのアウトバウンドトラフィックも許可されます。
デフォルトのセキュリティグループルール設定を変更して、不正なインバウンドトラフィックとアウトバウンドトラフィックを制限する必要があります。デフォルトを使用すると、カード所有者データ環境からインターネットへの不正なアウトバウンドトラフィックをブロックする要件に違反する可能性があります。
PCI DSS 2.1: ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を常に変更し、不要なデフォルトアカウントを削除または無効にします。
PCI DSS の対象範囲内のサービスがデフォルトのセキュリティグループに関連付けられている場合、セキュリティグループのデフォルトルールでは、同じセキュリティグループに割り当てられているネットワークインターフェイス (および関連するインスタンス) からのすべてのインバウンドトラフィックだけでなく、すべてのアウトバウンドトラフィックも許可されます。
デフォルトのセキュリティグループルール設定を変更して、インバウンドトラフィックとアウトバウンドトラフィックを制限する必要があります。デフォルトを使用すると、不要なデフォルトアカウントを削除または無効にするという要件に違反する可能性があります。
修復
すべてのアクセスを制限するために、デフォルトのセキュリティグループを更新するには
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. デフォルトセキュリティグループの詳細を表示して、それらに割り当てられているリソースを表示し
ます。3. リソースに対して最小権限のセキュリティグループのセットを作成します。4. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。5. Amazon EC2 コンソールで、デフォルトのセキュリティグループを使用しているリソースのセキュリ
ティグループを、作成した最小権限のセキュリティグループに変更します。6. デフォルトのセキュリティグループごとに、[Inbound (インバウンド)] タブを選択し、すべてのインバ
ウンドルールを削除します。
206
AWS Security Hub ユーザーガイドPCI DSS コントロール
7. デフォルトのセキュリティグループごとに、[Outbound (アウトバウンド)] タブを選択し、すべてのアウトバウンドルールを削除します。
Amazon VPC のセキュリティグループの使用の詳細については、「Amazon VPC ユーザーガイド」を参照してください。
[PCI.EC2.3] 未使用の EC2 セキュリティグループを削除する必要があります重大度: 低
リソース: Amazon EC2 セキュリティグループ
AWS Config ルール: ec2-security-group-attached-to-eni
このコントロールは、セキュリティグループが Amazon EC2 インスタンスまたは ENI にアタッチされていることを確認することで、CDE 内の必要なセキュリティグループの正確なアセットインベントリを維持するのに役立ちます。検索に失敗した場合は、未使用の Amazon EC2 セキュリティグループがある可能性があります。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 2.4: PCI DSS の対象となるシステムコンポーネントのインベントリを管理します。
セキュリティグループが Amazon EC2 インスタンスまたは Elastic Network Interface (ENI) にアタッチされていない場合、これはリソースが使用されていないことを示しています。
これらのリソースを保持する必要があるビジネス上の必要がない限り、システムコンポーネントの正確なインベントリを維持するために、未使用のリソースを削除する必要があります。
修復
ENI にアタッチされていないセキュリティグループごとに、次のステップを実行する必要があります。
セキュリティグループを削除するには
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. ナビゲーションペインで、[Security groups (セキュリティグループ)] を選択します。3. 削除するセキュリティグループを選択します。4. [Actions (アクション)] から、[Delete Security Group (セキュリティグループの削除)] を選択します。5. [Yes, Delete] を選択します。
[PCI.EC2.4] 未使用の EC2 EIP を削除する必要があります重大度: 低
[Resource: (リソース:)] EC2 EIP
207
AWS Security Hub ユーザーガイドPCI DSS コントロール
AWS Config ルール: eip-attached
このコントロールは、VPC に割り当てられた Elastic IP アドレスが、Amazon EC2 インスタンスまたは使用中の Elastic Network Interface (ENI) にアタッチされているかどうかを確認します。
検出に失敗した場合は、未使用の Amazon EC2 EIP がある可能性があります。
これにより、CDE 内の EIP の正確なアセットインベントリを維持できます。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 2.4: PCI DSS の対象となるシステムコンポーネントのインベントリを管理します。
EIP が Amazon EC2 インスタンスにアタッチされていない場合は、EIP が使用されていないことを示しています。
これらのリソースを保持する必要があるビジネス上の必要がない限り、システムコンポーネントの正確なインベントリを維持するために、未使用のリソースを削除する必要があります。
修復
Elastic IP アドレスが不要になった場合、セキュリティハブ では解放することをお勧めします (この ElasticIP アドレスをインスタンスに関連付けることはできません)。
コンソールを使用して Elastic IP アドレスを解放するには
1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。2. ナビゲーションペインで [Elastic IP] を選択します。3. Elastic IP アドレスを選び、[Actions (アクション)] を選択してから [Release addresses (アドレスをリ
リースこの)] を選択します。4. プロンプトが表示されたら、[Release] を選択します。
詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の Elastic IP アドレスの解放に関する情報を参照してください
[PCI.ES.1] Amazon Elasticsearch Service ドメインは VPC 内に存在する必要があります重要度: 非常事態
リソース: Amazon ES ドメイン
AWS Config ルール: elasticsearch-in-vpc-only
このコントロールは、Amazon Elasticsearch Service ドメインが VPC 内にあるかどうかをチェックします。
パブリック到達可能性を判断するための VPC サブネットルーティング設定を評価しません。
208
AWS Security Hub ユーザーガイドPCI DSS コントロール
この AWS コントロールは、Amazon ES リソースベースのポリシーが他のアカウントまたは外部エンティティによるパブリックアクセスを許可するかどうかもチェックしません。Amazon ES ドメインがパブリックサブネットにアタッチされていないことを確認する必要があります。Amazon Elasticsearch Service 開発者ガイド の「リソースベースのポリシー」を参照してください。
また、推奨されるベストプラクティスに従って VPC が設定されていることを確認する必要があります。Amazon VPC ユーザーガイド の「VPC のセキュリティのベストプラクティス」を参照してください。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 1.2.1: カード所有者データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。
Amazon ES クラスターにカード所有者データが含まれている場合は、Amazon ES ドメインを VPCに配置する必要があります。これにより、インターネットゲートウェイ、NAT デバイス、または VPN接続ポートを使用せずに、Amazon ES と VPC 内の他のサービス間の安全な通信が可能になります。
この方法は、CDE との間で必要なトラフィックだけを許可するために使用されます。PCI DSS 1.3.1: DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。
Amazon ES クラスターにカード所有者データが含まれている場合は、Amazon ES ドメインを VPCに配置する必要があります。これにより、インターネットゲートウェイ、NAT デバイス、または VPN接続ポートを使用せずに、Amazon ES と VPC 内の他のサービス間の安全な通信が可能になります。
この方法を使用して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。
PCI DSS 1.3.2: インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。
Amazon ES クラスターにカード所有者データが含まれている場合は、Amazon ES ドメインを VPCに配置する必要があります。これにより、インターネットゲートウェイ、NAT デバイス、または VPN接続ポートを使用せずに、Amazon ES と VPC 内の他のサービス間の安全な通信が可能になります。
この方法は、着信インターネットトラフィックを DMZ 内の IP アドレスに制限するために使用されます。
リソースベースのポリシーを使用して、送信元 IP アドレスに基づいてアクセスを制限する IP 条件を指定することもできます。「How to control access to your Amazon Elasticsearch Service domain」のブログ記事を参照してください。
PCI DSS 1.3.4: カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。
Amazon ES クラスターにカード所有者データが含まれている場合は、Amazon ES ドメインを VPCに配置する必要があります。これにより、インターネットゲートウェイ、NAT デバイス、または VPN接続ポートを使用せずに、Amazon ES と VPC 内の他のサービス間の安全な通信が可能になります。
この方法は、カード所有者データ環境からインターネットへの不正な送信トラフィックをブロックするために使用されます。
PCI DSS 1.3.6: カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。
Amazon ES クラスターにカード所有者データが含まれている場合は、Amazon ES ドメインを VPCに配置する必要があります。これにより、インターネットゲートウェイ、NAT デバイス、または VPN接続ポートを使用せずに、Amazon ES と VPC 内の他のサービス間の安全な通信が可能になります。
209
AWS Security Hub ユーザーガイドPCI DSS コントロール
この方法を使用して、カード所有者データを保存するシステムコンポーネントは、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。
修復パブリックエンドポイントを使用してドメインを作成する場合、後で VPC 内にドメインを配置することはできません。代わりに、新規のドメインを作成して、データを移行する必要があります。
逆の場合も同様です。VPC 内にドメインを作成する場合、パブリックエンドポイントを持つことはできません。代わりに、別のドメインを作成するか、このコントロールを無効にする必要があります。
パブリックアクセスから VPC アクセスへの移行については、「Amazon Elasticsearch Service 開発者ガイド」を参照してください。
[PCI.ES.2] Amazon Elasticsearch Service ドメインは保存時の暗号化を有効にする必要があります重大度: 中
リソース: Amazon ES ドメイン
AWS Config ルール: elasticsearch-encrypted-at-rest
このコントロールは、Amazon ES ドメインで保管時の暗号化設定が有効になっているかどうかを確認します。
関連する PCI DSS 要件このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 3.4: プライマリアカウント番号 (PAN) は、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、およびログ内を含む) で読み取れません。
Amazon ES を使用してクレジットカードのプライマリアカウント番号 (PAN) を保存する場合は、保存時の Amazon ES ドメイン暗号化を有効にして PAN を保護する必要があります。
有効にすると、ドメインのインデックス、自動スナップショット、Amazon ES ログ、スワップファイル、アプリケーションディレクトリ内のその他すべてのデータが暗号化されます。
これは、PAN を読み取ることができないようにするための方法です。
修復デフォルトでは、ドメインの保管時のデータは暗号化されず、既存のドメインでこの機能を使用するように設定することはできません。
この機能を有効にするには、別のドメインを作成してデータを移行する必要があります。ドメインの作成については、「Amazon Elasticsearch Service 開発者ガイド」を参照してください。
保管時のデータの暗号化には Amazon ES 5.1 以降が必要です。Amazon ES の保管時のデータの暗号化の詳細については、「Amazon Elasticsearch Service 開発者ガイド」を参照してください。
[PCI.IAM.1] IAM ルートユーザーアクセスキーが存在してはいけません重要度: 非常事態
210
AWS Security Hub ユーザーガイドPCI DSS コントロール
リソース: アカウント
AWS Config ルール: iam-root-access-key-check
このコントロールは、ルートユーザーのユーザーアクセスキーが存在するかどうかをチェックします。
Note
このコントロールは、アフリカ (ケープタウン) ではサポートされていません。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 2.1: ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を常に変更し、不要なデフォルトアカウントを削除または無効にします。
root ユーザーは、最も権限がある AWS ユーザーです。AWS アクセスキーを使用すると、プログラムから指定されたアカウントにアクセスできます。
root ユーザーにはアクセスキーを作成しないでください。不要なデフォルトアカウントを削除または無効にする要件に違反する可能性があります。
PCI DSS 2.2: すべてのシステムコンポーネントについて設定の標準を作成します。これらの標準が、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化標準に確実に準拠するようにします。
root ユーザーは、最も権限がある AWS ユーザーです。AWS アクセスキーを使用すると、プログラムから指定されたアカウントにアクセスできます。
システム強化設定の実装要件に違反する可能性があるため、root ユーザーにはアクセスキーを作成しないでください。
PCI DSS 7.2.1: システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、明示的に許可していない限り、「すべて拒否」に設定するようにアクセス制御システムを確立します。このアクセスコントロールシステムには、次のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ。
root ユーザーは、最も権限がある AWS ユーザーです。AWS アクセスキーを使用すると、プログラムから指定されたアカウントにアクセスできます。
root ユーザーにはアクセスキーを作成しないでください。これは、システムコンポーネントへのアクセスが最低限必要な権限に制限されているという要件、またはユーザーが知る必要があるという要件に違反する可能性があるためです。
修復
アクセスキーを無効にするか削除するには
1. ルート認証情報を使用してアカウントにログインします。2. ページの右上隅近くにあるアカウント名を選択し、[My Security Credentials (セキュリティの認証情
報)] を選択します。3. ポップアップ警告で、[Continue to Security Credentials (セキュリティ認証情報に進む)] を選択しま
す。4. [アクセスキー (アクセスキー ID とシークレットアクセスキー)] を選択します。5. 既存のキーの場合は、次のいずれかを実行します。
• キーがアカウントの認証に使用されるのを防止するには、[Make Inactive (非アクティブにする)] を選択します。
211
AWS Security Hub ユーザーガイドPCI DSS コントロール
• 完全にキーを削除するには、[Delete (削除)] を選択し、次に [Yes (はい)] を選択します。削除したキーを復元することはできません。
[PCI.IAM.2] IAM ユーザーには IAM ポリシーをアタッチしないでください重大度: 低
リソース: IAM ユーザー
AWS Config ルール: iam-user-no-policies-check
このコントロールは、いずれの IAM ユーザーにもポリシーがアタッチされていないことを確認します。IAM ユーザーは、IAM グループまたはロールからアクセス許可を継承する必要があります。
IAM ロールとグループに、最低限の権限ポリシーが適用されているかどうかはチェックされません。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 7.2.1: システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、明示的に許可していない限り、「すべて拒否」に設定するようにアクセス制御システムを確立します。このアクセスコントロールシステムには、次のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ。
IAM ポリシーは、AWS でユーザー、グループ、またはロールに権限を付与する方法です。
デフォルトでは、IAM ユーザー、グループ、およびロールは、IAM ポリシーがアタッチされるまでAWS リソースにアクセスできません。
対象となる PCI DSS リソースの最小特権アクセスを管理し、アクセス管理の複雑さを軽減するには、ユーザーレベルではなく、グループレベルまたはロールレベルで IAM ポリシーを割り当てる必要があります。
アクセス管理の複雑さを軽減することで、プリンシパルが誤って過剰な権限を受け取ったり保持したりする機会を減らすことができます。
これは、カード所有者データを含むシステムコンポーネントへのアクセスが、最低限必要な権限に制限すること、またはユーザーが知る必要があることを保証するために使用される方法です。
修復
この問題を解決するには、以下の手順を実行します。
1. IAM グループの作成2. グループにポリシーを割り当てる3. ユーザーをグループに追加する
ポリシーは、グループ内の各ユーザーに適用されます。
IAM グループを作成するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [グループ] を選択し、[Create New Group (新しいグループの作成)] を選択します。
212
AWS Security Hub ユーザーガイドPCI DSS コントロール
3. 作成するグループの名前を入力し、[次のステップ] を選択します。4. グループに割り当てる各ポリシーを選択し、[次のステップ] を選択します。
選択したポリシーには、現在ユーザーアカウントに直接アタッチされているすべてのポリシーが含まれている必要があります。失敗したチェックを解決するための次のステップは、ユーザーをグループに追加してから、そのグループにポリシーを割り当てることです。
グループ内の各ユーザーには、そのグループに割り当てられたポリシーが割り当てられます。5. [確認] ページで詳細を確認し、[グループの作成] を選択します。
IAM の作成方法の詳細については、「IAM ユーザーガイド」を参照してください。
IAM グループにユーザーを追加するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [グループ] を選択します。3. [Group Actions (グループアクション)] で、[Add Users to Group (ユーザーをグループに追加)] を選択
します。4. グループに追加するユーザーを選択し、[Add Users (ユーザーを追加)] を選択します。
グループへのユーザーの追加については、「IAM ユーザーガイド」を参照してください。
ユーザーに直接アタッチされているポリシーを削除するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [ユーザー] を選択します。3. ポリシーをデタッチするユーザーの [User name (ユーザー名)] 列から名前を選択します。4. [Attached directly (直接アタッチ)] に一覧表示されている各ポリシーで、ユーザーからポリシーを削除
するには、ページの右側にある [X] を選択して、[Remove (削除)] を選択します。5. 想定した通りにユーザーが AWS サービスを利用できることを確認します。
[PCI.IAM.3] IAM ポリシーでは、完全な「*」管理権限を許可しないでください。重大度: 高
リソース: IAM ポリシー
AWS Config ルール: iam-policy-no-statements-with-admin-access
このコントロールは、AWS Identity and Access Management ポリシーのデフォルトバージョン (カスタマー管理ポリシーとも呼ばれます) に、"Effect": "Allow" with "Action": "*" が "Resource":"*" のステートメントで管理者アクセス権がないかどうかをチェックします。
作成したカスタマー管理ポリシーのみがチェックされますが、「S3:*」などの個々のサービスへの完全なアクセス権はチェックされません。
インラインおよび AWS 管理ポリシーのチェックは行いません。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
213
AWS Security Hub ユーザーガイドPCI DSS コントロール
PCI DSS 7.2.1: システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、明示的に許可していない限り、「すべて拒否」に設定するようにアクセス制御システムを確立します。このアクセスコントロールシステムには、次のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ。
最低限必要な権限に制限するのではなく、完全な管理権限を提供すると、システムコンポーネントへのアクセスを最低限必要な権限に制限するという要件、またはユーザーが知る必要があることを保証するという要件に違反する可能性があります。
修復
IAM ポリシーを変更するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [ポリシー] を選択します。3. 削除するポリシーの横にあるラジオボタンを選択します。4. [Policy actions (ポリシーアクション)] から [Detach (デタッチ)] を選択します。5. [Detach policy (ポリシーのデタッチ)] ページで、ポリシーをデタッチする各ユーザーの横にあるラジ
オボタンを選択して、[Detach policy (ポリシーのデタッチ)] を選択します。6. ポリシーをデタッチしたユーザーが、想定どおりに AWS のサービスおよびリソースには引き続きア
クセスできることを確認します。
[PCI.IAM.4] ルートユーザーに対してハードウェア MFA を有効にする必要があります重要度: 非常事態
リソース: アカウント
AWS Config ルール: root-account-hardware-mfa-enabled
このコントロールは、AWS アカウントのユーザーで、ルートの認証情報を使用してサインインする際に多要素認証 (MFA) ハードウェアデバイスの使用が有効になっているかどうかを確認します。
仮想 MFA を使用しているかどうかはチェックされません。
PCI DSS 要件 8.3.1 に対応するために、ハードウェア MFA (このコントロール) または仮想 MFA (thesection called “[PCI.IAM.5] ルートユーザーに対して仮想 MFA を有効にする必要があります” (p. 215)) のいずれかを選択できます。
Note
このコントロールは、AWS GovCloud (米国東部) または AWS GovCloud (US-West) ではサポートされていません 。
関連する PCI DSS 要件このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 8.3.1: 管理アクセス権を持つ担当者のカード所有者データ環境 (CDE) へのすべての非コンソールアクセスのための多要素認証を組み込みます。
ルートユーザーは、アカウントで最も権限があるユーザーです。
MFA はユーザー名とパスワードの上に、もう 1 つの保護レイヤーを追加します。管理者権限を持つユーザーが、システムコンポーネントへの直接の物理的な接続ではなく、ネットワークインターフェ
214
AWS Security Hub ユーザーガイドPCI DSS コントロール
イス経由でカード所有者データ環境にアクセスしていて、管理するマシンの前に物理的にいない場合は、MFA が必要です。
ハードウェア MFA の有効化は、すべての非コンソール管理アクセスに対して多要素認証 (MFA) を組み込むために使用される方法です。
修復
ルートアカウントのハードウェアベースの MFA を有効にするには
1. ルート認証情報を使用してアカウントにログインします。2. ページの右上にあるアカウント名を選択し、[My Security Credentials (セキュリティの認証情報)] を選
択します。3. 警告で、[Continue to Security Credentials (セキュリティ認証情報に進む)] を選択します。4. [多要素認証 (MFA)] を選択します。5. [MFA の有効化] を選択します。6. MFA で使用するハードウェアベース (仮想ではない) のデバイスを選択し、 [続行] を選択します。7. 選択に応じて適切なデバイスタイプを設定するステップを完了します。
[PCI.IAM.5] ルートユーザーに対して仮想 MFA を有効にする必要があります重要度: 非常事態
リソース: アカウント
AWS Config ルール: root-account-mfa-enabled
このコントロールは、AWS アカウントのユーザーが、ルートの認証情報を使用してサインインする際に多要素認証 (MFA) デバイスが必要かどうかを確認します。
ハードウェア MFA を使用しているかどうかはチェックされません。
PCI DSS 要件 8.3.1 に対応するために、仮想 MFA (このコントロール) またはハードウェア MFA (thesection called “[PCI.IAM.4] ルートユーザーに対してハードウェア MFA を有効にする必要があります” (p. 214)) のいずれかを選択できます。
Note
このコントロールは、AWS GovCloud (米国東部) または AWS GovCloud (US-West) ではサポートされていません 。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 8.3.1: 管理アクセス権を持つ担当者のカード所有者データ環境 (CDE) へのすべての非コンソールアクセスのための多要素認証を組み込みます。
ルートユーザーは、アカウントで最も権限があるユーザーです。
MFA はユーザー名とパスワードの上に、もう 1 つの保護レイヤーを追加します。管理者権限を持つユーザーがカード所有者データ環境にアクセスしていて、管理するマシンの前に物理的にいない場合は、MFA が必要です。
215
AWS Security Hub ユーザーガイドPCI DSS コントロール
仮想 MFA の有効化は、すべての非コンソール管理アクセスに対して多要素認証 (MFA) を組み込むために使用される方法です。
修復
ルートアカウントの MFA を有効にするには
1. ルート認証情報を使用してアカウントにログインします。2. ページの右上にあるアカウント名を選択し、[My Security Credentials (セキュリティの認証情報)] を選
択します。3. 警告で、[Continue to Security Credentials (セキュリティ認証情報に進む)] を選択します。4. [多要素認証 (MFA)] を選択します。5. [MFA の有効化] を選択します。6. MFA で使用するデバイスのタイプを選択し、[続行] を選択します。7. 選択に応じて適切なデバイスタイプを設定するステップを完了します。
[PCI.IAM.6] すべての IAM ユーザーに対して MFA を有効にする必要があります重大度: 中
リソース: IAM ユーザー
AWS Config ルール: iam-user-mfa-enabled
このコントロールは、IAM ユーザーが多要素認証 (MFA) を有効にしているかどうかを確認します。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 8.3.1: 管理アクセス権を持つ担当者のカード所有者データ環境 (CDE) へのすべての非コンソールアクセスのための多要素認証を組み込みます。
すべての IAM ユーザーに対して MFA を有効にすることは、すべての非コンソール管理アクセスに対して多要素認証 (MFA) を組み込むために使用される方法です。
修復
ユーザーの MFA を設定するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [ユーザー] を選択します。3. MFA を設定するユーザーのユーザー名を選択します。4. [Security credentials (セキュリティ認証情報)] を選択し、次に [Assigned MFA device (割り当てられた
MFA デバイス)] の横にある [管理] を選択します。5. [Manage MFA Device (MFA デバイスの管理)] ウィザードに従って、ご利用の環境に応じたデバイスの
タイプを割り当てます。
ユーザーに MFA セットアップを委任する方法については、AWS セキュリティブログ記事の「AWS IAMユーザーに多要素認証の管理を委任する方法」を参照してください。
216
AWS Security Hub ユーザーガイドPCI DSS コントロール
[PCI.KMS.1] カスタマーマスターキー (CMK) ローテーションを有効にする必要があります重大度: 中
リソース: AWS KMS キー
AWS Config ルール: cmk-backing-key-rotation-enabled
このコントロールは、各カスタマーマスターキー (CMK) について、キーローテーションが有効になっていることを確認します。キーマテリアルをインポートした CMK はチェックされません。
インポートされたマテリアルがあるキーと、AWS KMS に保存されていないキーは必ずローテーションされるようにしてください。AWS 管理のカスタマーマスターキーは、3 年に 1 度ローテーションされます。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 3.6.4: 暗号化キーは、暗号化期間の最後に到達したら変更する必要があります。
PCI DSS では暗号化期間の期間は指定されていませんが、キーローテーションが有効な場合、デフォルトで毎年ローテーションが行われます。
カスタマーマスターキー (CMK) を使用してカード所有者データを暗号化する場合は、キーのローテーションを有効にする必要があります。
これは、暗号化期間の最後に到達した後、暗号化キーを変更するために使用される方法です。
修復
CMK のローテーションを有効にするには
1. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。3. [Customer managed keys (カスタマーマネージドキー)] を選択します。4. [Alias (エイリアス)] 列で、更新するキーのエイリアスを選択します。5. [キーローテーション] を選択します。6. [Automatically rotate this CMK every year (この CMK を毎年自動的にローテーションします)] を選択
し、[保存]を選択します。
[PCI.Lambda.1] Lambda 関数は、パブリックアクセスを禁止する必要があります重要度: 非常事態
リソース: Lambda 関数
AWS Config ルール: lambda-function-public-access-prohibited
このコントロールは、Lambda 関数リソースベースのポリシーがパブリックアクセスを禁止しているかどうかをチェックします。
217
AWS Security Hub ユーザーガイドPCI DSS コントロール
IAM ロールなどの内部プリンシパルによる Lambda 関数へのアクセスはチェックされません。最小限の特権 Lambda リソースベースのポリシーを使用して、Lambda 関数へのアクセスを許可されたプリンシパルに制限するようにしてください。
AWS Lambda でリソースベースのポリシーを使用する方法の詳細については、「AWS Lambda DeveloperGuide」を参照してください。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 1.2.1: カード所有者データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。
PCI DSS の対象範囲内の Lambda 関数を使用する場合、その関数はパブリックにアクセスできません。パブリックにアクセス可能な関数は、CDE との間で必要なトラフィックだけを許可するという要件に違反する可能性があります。
PCI DSS 1.3.1: DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。
PCI DSS の対象範囲内の Lambda 関数を使用する場合、その関数はパブリックにアクセスできません。パブリックにアクセス可能な関数は、許可されたパブリックにアクセス可能なサービス、プロトコル、およびポートを提供するシステムコンポーネントだけに着信トラフィックを制限するという要件に違反する可能性があります。
PCI DSS 1.3.2: インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。
PCI DSS の対象範囲内の Lambda 関数を使用する場合、その関数はパブリックにアクセスできません。パブリックにアクセス可能な関数は、インバウンドインターネットトラフィックを DMZ 内の IPアドレスに制限するという要件に違反する可能性があります。
PCI DSS 1.3.4: カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。
PCI DSS の対象範囲内の Lambda 関数を使用する場合、その関数はパブリックにアクセスできません。パブリックにアクセス可能な関数は、カード所有者データ環境からインターネットへの不正な送信トラフィックをブロックする要件に違反する可能性があります。
PCI DSS 7.2.1: システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、明示的に許可していない限り、「すべて拒否」に設定するようにアクセス制御システムを確立します。このアクセスコントロールシステムには、次のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ。
PCI DSS の対象範囲内の Lambda 関数を使用する場合、その関数はパブリックにアクセスできません。公的にアクセス可能な関数は、カード所有者データを含むシステムコンポーネントへのアクセスを最低限必要な権限に制限されているという要件、またはユーザーが知る必要があるという要件に違反する可能性があります。
修復
この問題を修正するには、リソースベースのポリシーを更新して、パブリックにアクセス可能な Lambda関数をプライベート Lambda 関数に変更します。
AddPermission および AddLayerVersionPermission API アクションの範囲内の Lambda リソースのリソースベースのポリシーのみを更新できます。
Lambda リソースのポリシーを JSON で作成したり、CLI または SDK を使用してそれらのアクションのパラメータにマッピングされていない条件を使用することはできません。
218
AWS Security Hub ユーザーガイドPCI DSS コントロール
AWS CLI を使用して、AWS のサービスまたは別のアカウントから関数の使用のアクセス許可を取り消すには
1. GetPolicy の出力からステートメントの ID を取得するには、AWS CLI から、次のコマンドを実行します。
aws lambda get-policy —function-name yourfunctionname
このコマンドは、パブリックにアクセス可能な Lambda 関数に関連付けられた Lambda リソースベースのポリシー文字列を返します。
2. get-policy コマンドが返すポリシーステートメントから、Sid フィールドの文字列値をコピーします。
3. AWS CLI から、実行します
aws lambda remove-permission --function-name yourfunctionname —statement-id youridvalue
Lambda コンソールを使用して Lambda 関数へのアクセスを制限するには
1. AWS Lambda コンソール (https://console.aws.amazon.com/lambda/) を開きます。2. [Functions (関数)] に移動し、一般にアクセス可能な Lambda 関数を選択します。3. [Designer (デザイナー)] で、左上のキーアイコンを選択します。ツールチップ [View permissions (表
示アクセス許可)] があります。4. [Function policy (関数ポリシー)] で、ポリシーでプリンシパル要素 “*” または {“AWS”: “*”} に対す
るアクションが許可されている場合は、パブリックにアクセス可能です。
次の IAM 条件を追加して、アカウントのみへのアクセスを適用することを検討してください。
"Condition": { "StringEquals": { "AWS:SourceAccount": "<account_id>" } }}
リソースごとに他のアカウントに使用アクセス許可を付与できる Lambda リソースベースのポリシーの例については、「AWS Lambda Developer Guide」の AWS Lambda のリソースベースのポリシーの使用方法に関する情報を参照してください
[PCI.Lambda.2] ラムダ関数は VPC にある必要があります重大度: 低
リソース: Lambda 関数
AWS Config ルール: lambda-inside-vpc
このコントロールは、Lambda 関数が VPC 内にあるかどうかをチェックします。
パブリック到達可能性を判断するための VPC サブネットルーティング設定を評価しません。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
219
AWS Security Hub ユーザーガイドPCI DSS コントロール
PCI DSS 1.2.1: カード所有者データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。
デフォルトでは、Lambda は AWS のサービスとインターネットにアクセスできる安全な VPC で関数を実行します。
PCI DSS の対象範囲内の Lambda 関数を使用する場合、VPC エンドポイントを使用するように関数を設定できます。これにより、インターネットにアクセスせずに VPC 内から Lambda 関数に接続できます。これは、CDE との間で必要なトラフィックのみを許可するために使用される方法です。
PCI DSS 1.3.1: DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。
デフォルトでは、Lambda は AWS のサービスとインターネットにアクセスできる安全な VPC で関数を実行します。
PCI DSS の対象範囲内の Lambda 関数を使用する場合、VPC エンドポイントを使用するように関数を設定できます。これにより、インターネットアクセスなしで VPC 内から Lambda 関数に接続できます。これは、インバウンドトラフィックを、パブリックにアクセス可能なサービス、プロトコル、およびポートを提供するシステムコンポーネントのみに制限するために使用される方法です。
PCI DSS 1.3.2: インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。
デフォルトでは、Lambda は AWS のサービスとインターネットにアクセスできる安全な VPC で関数を実行します。
PCI DSS の対象範囲内の Lambda 関数を使用する場合、VPC エンドポイントを使用するように関数を設定できます。これにより、インターネットアクセスなしで VPC 内から Lambda 関数に接続できます。これは、インバウンドインターネットトラフィックを DMZ 内の IP アドレスに制限するために使用される方法です。
PCI DSS 1.3.4: カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。
デフォルトでは、Lambda は AWS のサービスとインターネットにアクセスできる安全な VPC で関数を実行します。
PCI DSS の対象範囲内の Lambda 関数を使用する場合、VPC エンドポイントを使用するように関数を設定できます。これにより、インターネットにアクセスせずに VPC 内から Lambda 関数に接続できます。これは、カード所有者データ環境からインターネットへの不正なアウトバウンドトラフィックをブロックするために使用される方法です。
修復
アカウントの Virtual Private Cloud (VPC) のプライベートサブネットに接続するように関数を設定するには
1. AWS Lambda コンソール (https://console.aws.amazon.com/lambda/) を開きます。2. 関数に移動し、Lambda 関数を選択します。3. [Network (ネットワーク)] までスクロールし、関数の接続要件を持つ VPC を選択します。4. 高可用性モードで関数を実行するには、セキュリティハブ では、少なくとも 2 つのサブネットを選択
することをお勧めします。5. 関数の接続要件を持つセキュリティグループを少なくとも 1 つ選択します。6. [保存] を選択します。
詳細については、AWS Lambda Developer Guide の「VPC 内のリソースにアクセスできるように Lambda関数を構成する」についてのセクションを参照してください。
220
AWS Security Hub ユーザーガイドPCI DSS コントロール
[PCI.RDS.1] RDS スナップショットではパブリックアクセスを禁止する必要があります重要度: 非常事態
リソース: Amazon RDS DB スナップショット
AWS Config ルール: rds-snapshots-public-prohibited
このコントロールは、Amazon RDS DB スナップショットが他のアカウントによるアクセスを禁止しているかどうかをチェックします。また、スナップショットへのアクセスと Amazon RDS 設定を変更するアクセス許可が、許可されたプリンシパルのみに制限されていることを確認する必要があります。
Amazon RDS での DB スナップショットの共有の詳細については、「Amazon RDS ユーザーガイド」を参照してください
パブリックアクセスを許可するように構成を変更した場合、AWS Config ルールは最大 12 時間変更を検出できない場合があります。AWS Config ルールが変更を検出するまで、設定がルールに違反していてもチェックは成功します。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 1.2.1: カード所有者データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。
RDS スナップショットは、特定の時点の RDS インスタンスのデータをバックアップするために使用され、RDS インスタンスの以前の状態を復元するために使用できます。
RDS スナップショットにカード所有者データが保存されている場合、RDS スナップショットを他のアカウントと共有しないでください。RDS スナップショットを共有すると、他のアカウントがスナップショットから RDS インスタンスを復元できるようになります。これは、CDE との間で必要なトラフィックのみを許可するという要件に違反する可能性があります。
PCI DSS 1.3.1: DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。
RDS スナップショットは、特定の時点の RDS インスタンスのデータをバックアップするために使用され、RDS インスタンスの以前の状態を復元するために使用できます。
RDS スナップショットにカード所有者データが保存されている場合、RDS スナップショットを他のアカウントと共有しないでください。RDS スナップショットを共有すると、他のアカウントがスナップショットから RDS インスタンスを復元できるようになります。これは、インバウンドトラフィックを、パブリックにアクセス可能なサービス、プロトコル、およびポートを提供するシステムコンポーネントのみに制限するという要件に違反する可能性があります。
PCI DSS 1.3.4: カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。
RDS スナップショットは、特定の時点の RDS インスタンスのデータをバックアップするために使用され、RDS インスタンスの以前の状態を復元するために使用できます。
RDS スナップショットにカード所有者データが保存されている場合、RDS スナップショットを他のアカウントと共有しないでください。RDS スナップショットを共有すると、他のアカウントがスナッ
221
AWS Security Hub ユーザーガイドPCI DSS コントロール
プショットから RDS インスタンスを復元できるようになります。これは、カード所有者データ環境からインターネットへの不正なアウトバウンドトラフィックをブロックするという要件に違反する可能性があります。
PCI DSS 1.3.6: カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。
RDS スナップショットは、特定の時点の RDS インスタンスのデータをバックアップするために使用され、RDS インスタンスの以前の状態を復元するために使用できます。
RDS スナップショットにカード所有者データが保存されている場合、RDS スナップショットを他のアカウントと共有しないでください。RDS スナップショットを共有すると、他のアカウントがスナップショットから RDS インスタンスを復元できるようになります。これは、カード所有者データを保存するシステムコンポーネントを内部ネットワークゾーンに配置し、DMZ やその他の信頼できないネットワークから分離するという要件に違反する可能性があります。
PCI DSS 7.2.1: システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、明示的に許可していない限り、「すべて拒否」に設定するようにアクセス制御システムを確立します。このアクセスコントロールシステムには、次のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ。
RDS スナップショットは、特定の時点の RDS インスタンスのデータをバックアップするために使用され、RDS インスタンスの以前の状態を復元するために使用できます。
RDS スナップショットにカード所有者データが保存されている場合、RDS スナップショットを他のアカウントと共有しないでください。RDS スナップショットを共有すると、他のアカウントがスナップショットから RDS インスタンスを復元できるようになります。これは、カード所有者データを含むシステムコンポーネントへのアクセスが、必要な最小限の権限に制限されているという要件、またはユーザーが知る必要があるという要件に違反する可能性があります。
修復
Amazon RDS スナップショットのパブリックアクセスを削除するには
1. https://console.aws.amazon.com/rds/ にある Amazon RDS コンソールを開きます。2. [Snapshots (スナップショット)] に移動し、変更するパブリックスナップショットを選択します。3. [Actions (アクション)] リストから [Share Snapshots (スナップショットの共有)] を選択します。4. [DB snapshot visibility (DB スナップショットの可視性)] から、[Private (プライベート)] を選択しま
す。5. [DB snapshot visibility (DB スナップショットの可視性)] で、[for all (すべての)] を選択します。6. [Save] を選択します。
[PCI.RDS.2] RDS DB インスタンスではパブリックアクセスを禁止する必要があります重要度: 非常事態
リソース: RDS DB インスタンス
AWS Config ルール: rds-instance-public-access-check
このコントロールは、インスタンス設定項目の publiclyAccessible フィールドを評価して、RDSインスタンスがパブリックにアクセスできるかどうかをチェックします。publiclyAccessible の値は、DB インスタンスがパブリックにアクセスできるかどうかを示します。DB インスタンスがパブリックにアクセス可能な場合、パブリックに解決可能な DNS 名を持つインターネット向けインスタンスであ
222
AWS Security Hub ユーザーガイドPCI DSS コントロール
り、パブリック IP アドレスに解決されます。DB インスタンスはパブリックにアクセスできない場合、プライベート IP アドレスに解決される DNS 名を持つ内部インスタンスです。
コントロールでは、VPC サブネットルーティング設定やセキュリティグループルールはチェックされません。また、VPC サブネットルーティングでパブリックアクセスが許可されず、RDS インスタンスに関連付けられたセキュリティグループのインバウンドルールで無制限アクセス (0.0.0.0/0) が許可されていないことを確認する必要があります。また、RDS インスタンスの設定とリソースを変更するユーザーの IAMアクセス許可を制限することで、RDS インスタンス設定へのアクセスが承認されたユーザーのみに制限されるようにする必要があります。
詳細については、Amazon RDS ユーザーガイド の「VPC の DB インスタンスをインターネットから隠す」を参照してください。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 1.2.1: カード所有者データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。
PCI DSS の対象範囲内の RDS インスタンスを使用する場合、RDS インスタンスにはパブリックにアクセスできません。これは、CDE との間で必要なトラフィックのみを許可するという要件に違反する可能性があるためです。
PCI DSS 1.3.1: DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。
RDS インスタンスを使用してカード所有者データを保存する場合、RDS インスタンスにはパブリックにアクセスできません。これは、インバウンドトラフィックを、パブリックにアクセス可能なサービス、プロトコル、およびポートを提供するシステムコンポーネントのみに制限するという要件に違反する可能性があるためです。
PCI DSS 1.3.2: インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。
RDS インスタンスを使用してカード所有者データを保存する場合、RDS インスタンスにはパブリックにアクセスできません。これは、インバウンドインターネットトラフィックを DMZ 内の IP アドレスに制限するという要件に違反する可能性があるためです。
PCI DSS 1.3.4: カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。
RDS インスタンスを使用してカード所有者データを保存する場合、RDS インスタンスにはパブリックにアクセスできません。これは、カード所有者データ環境からインターネットへの不正なアウトバウンドトラフィックをブロックするという要件に違反する可能性があるためです。
PCI DSS 1.3.6: カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。
RDS インスタンスを使用してカード所有者データを保存する場合、RDS インスタンスにはパブリックにアクセスできません。これは、DMZ およびその他の信頼できないネットワークから分離された内部ネットワークゾーンにカード所有者データを保存するシステムコンポーネントを配置するという要件に違反する可能性があるためです。
PCI DSS 7.2.1: システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、明示的に許可していない限り、「すべて拒否」に設定するようにアクセス制御システムを確立します。このアクセスコントロールシステムには、次のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ。
RDS インスタンスを使用してカード所有者データを格納する場合、RDS インスタンスにはパブリックにアクセスできません。これは、カード所有者データを含むシステムコンポーネントへのアクセス
223
AWS Security Hub ユーザーガイドPCI DSS コントロール
が、必要な最小限の権限に制限されていること、またはユーザーが知る必要があるという要件に違反する可能性があるためです。
修復
Amazon RDS データベースに対するパブリックアクセスを削除するには
1. https://console.aws.amazon.com/rds/ にある Amazon RDS コンソールを開きます。2. [Databases (データベース)] に移動し、パブリックデータベースを選択します3. [Modify (変更)] を選択します4. [Network & Security (ネットワークとセキュリティ)] までスクロールします。5. [Public accessibility (パブリックアクセシビリティ)] で、[Yes (はい)] を選択します。6. 一番下までスクロールし、[Continue (続行)] を選択します。7. [Scheduling of modifications (変更のスケジュール)] で [Apply immediately (すぐに適用)] を選択しま
す。8. [Modify DB Instance (DB インスタンスの変更)] を選択します。
VPC での DB インスタンスの操作の詳細については、「Amazon RDS ユーザーガイド」を参照してください。
[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります重要度: 非常事態
リソース: Amazon Redshift クラスター
AWS Config ルール: redshift-cluster-public-access-check
このコントロールは、Amazon Redshift クラスター設定項目の publiclyAccessible フィールドを評価することによって、クラスターがパブリックにアクセスできるかどうかをチェックします。
関連する PCI DSS 要件このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 1.2.1: カード所有者データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。
Amazon Redshift クラスターを使用してカード所有者データを保存する場合、クラスターはパブリックにアクセスできません。これは、CDE との間で必要なトラフィックのみを許可するという要件に違反する可能性があるためです。
PCI DSS 1.3.1: DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。
Amazon Redshift クラスターを使用してカード所有者データを保存する場合、クラスターはパブリックにアクセスできないようにしてください。これは、インバウンドトラフィックを、パブリックにアクセス可能なサービス、プロトコル、およびポートを提供するシステムコンポーネントのみに制限するという要件に違反する可能性があるためです。
PCI DSS 1.3.2: インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。
Amazon Redshift クラスターを使用してカード所有者データを保存する場合、クラスターはパブリックにアクセスできません。これは、インバウンドインターネットトラフィックを DMZ 内の IP アドレスに制限するという要件に違反する可能性があるためです。
224
AWS Security Hub ユーザーガイドPCI DSS コントロール
PCI DSS 1.3.4: カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。
Amazon Redshift クラスターを使用してカード所有者データを保存する場合、クラスターはパブリックにアクセスできません。これは、カード所有者データ環境からインターネットへの不正な送信トラフィックをブロックする要件に違反する可能性があるためです。
PCI DSS 1.3.6: カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。
Amazon Redshift クラスターを使用してカード所有者データを保存する場合は、DMZ やその他の信頼できないネットワークから分離された内部ネットワークゾーンにカード所有者データを保存するシステムコンポーネントを配置するという要件に違反する可能性があるため、クラスターにパブリックにアクセスすることはできません。
修復
Amazon Redshift クラスターのパブリックアクセスを無効にするには
1. https://console.aws.amazon.com/redshift/ にある Amazon Redshift コンソールを開きます。2. ナビゲーションペインで [Clusters (クラスター)] を選択し、パブリック Amazon Redshift クラスター
を選択します。3. [Cluster (クラスター)] ドロップダウンメニューから、[Modify cluster (クラスターの変更)] を選択しま
す。4. [Publicly accessible (パブリックアクセス可能)] で、[No (いいえ)] を選択します。5. [Modify (変更)] を選択します
VPC のクラスターの作成方法の詳細については、「Amazon Redshift Cluster Management Guide」を参照してください。
[PCI.S3.1] S3 バケットはパブリック書き込みアクセスを禁止する必要があります重要度: 非常事態
リソース: S3 バケット
AWS Config ルール: s3-bucket-public-write-prohibited
このコントロールは、パブリックアクセスブロック設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を評価して、S3 バケットにパブリック書き込みアクセスを許可させるかどうかをチェックします。
IAM ロールなどの内部プリンシパルによるバケットへの書き込みアクセス権はチェックされません。バケットへのアクセスは、許可されたプリンシパルのみに制限されるようにする必要があります。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 1.2.1: カード所有者データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。
S3 バケットを使用してカード所有者データを保存する場合、バケットはパブリック書き込みアクセスを禁止する必要があります。パブリック書き込みアクセスを許可すると、CDE との間で必要なトラフィックだけを許可するという要件に違反する場合があります。
225
AWS Security Hub ユーザーガイドPCI DSS コントロール
PCI DSS 1.3.1: DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。
S3 バケットを使用してカード所有者データを保存する場合、バケットはパブリック書き込みアクセスを禁止する必要があります。パブリック書き込みアクセスを許可すると、インバウンドトラフィックを、公的にアクセス可能なサービス、プロトコル、およびポートを提供するシステムコンポーネントだけに制限するという要件に違反する可能性があります。
インターネット上のだれもがお客様の S3 バケットを書き込みできるように明示的にリクエストしない限り、S3 バケットがパブリックに書き込み可能ではないことを確認する必要があります。
PCI DSS 1.3.2: インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。
S3 バケットを使用してカード所有者データを保存する場合、バケットはパブリック書き込みアクセスを禁止する必要があります。パブリック書き込みアクセスを許可すると、インバウンドインターネットトラフィックを DMZ 内の IP アドレスに制限するという要件に違反する可能性があります。
PCI DSS 1.3.4: カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。
S3 バケットを使用してカード所有者データを保存する場合、バケットはパブリック書き込みアクセスを禁止する必要があります。パブリック書き込みアクセスを許可すると、カード所有者データ環境からインターネットへの不正な送信トラフィックをブロックする要件に違反する可能性があります。
PCI DSS 1.3.6: カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。
S3 バケットを使用してカード所有者データを保存する場合、バケットはパブリック書き込みアクセスを禁止する必要があります。パブリック書き込みアクセスを許可すると、DMZ やその他の信頼できないネットワークから分離された内部ネットワークゾーンに、カード所有者データを保存するシステムコンポーネントを配置するという要件に違反する場合があります。
PCI DSS 7.2.1: システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、明示的に許可していない限り、「すべて拒否」に設定するようにアクセス制御システムを確立します。このアクセスコントロールシステムには、次のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ。
S3 バケットを使用してカード所有者データを保存する場合、バケットはパブリック書き込みアクセスを禁止する必要があります。パブリック書き込みアクセスを許可すると、システムコンポーネントへのアクセスが最低限必要な権限に制限されているという要件、またはユーザーが知る必要があるという要件に違反する可能性があります。
修復
S3 バケットに対するパブリックアクセスを削除するには
1. https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。2. 結果で識別されるバケットの名前を選択します。3. [アクセス許可] を選択し、[Public access settings (パブリックアクセス設定)] を選択します。4. [編集] を選択し、4 つのオプションを選択して、次に [保存] を選択します。5. プロンプトが表示されたら、confirm を入力し、[確認] を選択します。
[PCI.S3.2] S3 バケットではパブリック読み取りアクセスを禁止する必要があります重要度: 非常事態
リソース: S3 バケット
226
AWS Security Hub ユーザーガイドPCI DSS コントロール
AWS Config ルール: s3-bucket-public-read-prohibited
このコントロールは、パブリックアクセスブロック設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を評価して、S3 バケットにパブリック読み取りアクセスを許可させるかどうかをチェックします。
インターネット上のだれもがお客様の S3 バケットを書き込みできるように明示的にリクエストしない限り、S3 バケットがパブリックに書き込み可能ではないことを確認する必要があります。
IAM ロールなどの内部プリンシパルによるバケットへの読み取りアクセスはチェックされません。バケットへのアクセスは、許可されたプリンシパルのみに制限されるようにする必要があります。
関連する PCI DSS 要件このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 1.2.1: カード所有者データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。
S3 バケットを使用してカード所有者データを保存する場合、バケットはパブリック読み取りアクセスを禁止する必要があります。パブリック読み取りアクセスは、CDE との間で必要なトラフィックだけを許可するという要件に違反する可能性があります。
PCI DSS 1.3.1: DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。
S3 バケットを使用してカード所有者データを保存する場合、バケットはパブリック読み取りアクセスを禁止する必要があります。パブリック読み取りアクセスは、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限するという要件に違反する可能性があります。
PCI DSS 1.3.2: インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。
S3 バケットを使用してカード所有者データを保存する場合、バケットはパブリック読み取りアクセスを禁止する必要があります。パブリック読み取りアクセスは、インバウンドインターネットトラフィックを DMZ 内の IP アドレスに制限するという要件に違反する可能性があります。
PCI DSS 1.3.6: カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。
S3 バケットを使用してカード所有者データを保存する場合、バケットはパブリック読み取りアクセスを禁止する必要があります。パブリック読み取りアクセスは、DMZ やその他の信頼されていないネットワークから分離された内部ネットワークゾーン内に、カード所有者データを保存するシステムコンポーネントを配置するという要件に違反する可能性があります。
PCI DSS 7.2.1: システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、明示的に許可していない限り、「すべて拒否」に設定するようにアクセス制御システムを確立します。このアクセスコントロールシステムには、次のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ。
S3 バケットを使用してカード所有者データを保存する場合、バケットはパブリック読み取りアクセスを禁止する必要があります。パブリック読み取りアクセスは、システムコンポーネントへのアクセスを最低限必要な権限に制限すること、またはユーザーが知る必要があるという要件に違反する可能性があります。
修復
S3 バケットに対するパブリックアクセスを削除するには
1. https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。2. 結果で識別されるバケットの名前を選択します。
227
AWS Security Hub ユーザーガイドPCI DSS コントロール
3. [アクセス許可] を選択し、[Public access settings (パブリックアクセス設定)] を選択します。4. [編集] を選択し、4 つのオプションを選択して、次に [保存] を選択します。5. プロンプトが表示されたら、confirm を入力し、[確認] を選択します。
[PCI.S3.3] S3 バケットでクロスリージョンレプリケーションを有効にする必要があります重大度: 低
リソース: S3 バケット
AWS Config ルール: s3-bucket-replication-enabled
このコントロールは S3 バケットでクロスリージョンレプリケーションが有効かどうかを確認します。
PCI DSS では、データレプリケーションや高可用性設定は必要ありません。ただし、このチェックは、このコントロールの AWS ベストプラクティスと一致します。
可用性に加えて、他のシステム強化設定も考慮する必要があります。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 2.2: すべてのシステムコンポーネントについて設定の標準を作成します。これらの標準が、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化標準に確実に準拠するようにします。
S3 バケットでクロスリージョンレプリケーションを有効にすると、異なるリージョンで複数のバージョンのデータを使用できます。これにより、より遠距離でのデータの保存、レイテンシーの最小化、運用効率の向上、DDoS やデータ破損のイベントからの保護が可能になります。
これは、システム強化設定の実装に使用される方法の 1 つです。
修復
S3 バケットレプリケーションを有効にするには
1. https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。2. クロスリージョンレプリケーションが有効になっていない S3 バケットを選択します。3. [Management (管理)] を選択し、[Replication (レプリケーション)] を選択します。4. [Add rule] を選択します。バージョニングがまだ有効になっていない場合は、有効にするよう求められ
ます。5. ソースバケットを選択 - [Entire bucket (バケット全体)]6. 送信先のバケットを選択します。アカウントのレプリケート先バケットでバージョニングがまだ有効
になっていない場合は、有効にするよう求められます。7. IAM ロールを選択します。レプリケーションのアクセス許可の設定の詳細については、「Amazon
Simple Storage Service 開発者ガイド」を参照してください。8. ルール名を入力し、ステータスとして [Enabled (有効)] を選択して、[Next (次へ)] を選択します。9. [Save] を選択します。
レプリケーションの詳細については、「Amazon Simple Storage Service 開発者ガイド」を参照してください。
228
AWS Security Hub ユーザーガイドPCI DSS コントロール
[PCI.S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります重大度: 中
リソース: S3 バケット
AWS Config ルール: s3-bucket-server-side-encryption-enabled
このコントロールは、Amazon S3 バケットで Amazon S3 のデフォルトの暗号化が有効になっていること、または S3 バケットポリシーでサーバー側の暗号化なしの put-object リクエストを明示的に拒否することを確認します。
バケットにデフォルトの暗号化を設定すると、バケットに保存されているすべての新規オブジェクト (クリアテキストの PAN データを含む) が暗号化されます。
バケットに保存されているすべてのオブジェクトに対するサーバー側の暗号化は、バケットポリシーを使用して適用することもできます。サーバー側の暗号化の詳細については、「Amazon Simple StorageService 開発者ガイド」を参照してください。
関連する PCI DSS 要件このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 3.4: プライマリアカウント番号 (PAN) は、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、およびログ内を含む) で読み取れません。
S3 バケットを使用してクレジットカードのプライマリアカウント番号 (PAN) を保存し、PAN を読み取れないようにするには、バケットのデフォルト暗号化を有効にするか、S3 バケットポリシーでサーバー側の暗号化なしで put-object リクエストを明示的に拒否する必要があります。
修復
S3 バケットのデフォルト暗号化を有効にする
1. https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。2. リストからバケットを選択します。3. [プロパティ] を選択します。4. [Default encryption (デフォルト暗号化)] を選択します。5. 暗号化には、[AES-256] または [AWS-KMS] のいずれかを選択します。
• Amazon S3 によって管理されるキーをデフォルト暗号化に使用するには、[AES-256] を選択します。Amazon S3 サーバー側の暗号化を使用してデータを暗号化する方法の詳細については、「Amazon Simple Storage Service 開発者ガイド」を参照してください。
• AWS KMS によって管理されているキーをデフォルト暗号化に使用するには、[AWS-KMS] を選択し、作成した AWS KMS マスターキーリストからマスターキーを選択します。
使用する AWS KMS キーの Amazon リソースネーム (ARN) を入力します。AWS KMS キーの ARNは、IAM コンソールの [Encryption keys (暗号化キー)] の下にあります。または、ドロップダウンリストからキー名を選択します。
Important
デフォルト暗号化設定に AWS KMS オプションを使用する場合、AWS KMS の RPS (1 秒あたりのリクエスト) 制限が適用されます。AWS KMS の制限と、制限の引き上げをリクエストする方法については、「AWS Key Management Service Developer Guide」を参照してください。
229
AWS Security Hub ユーザーガイドPCI DSS コントロール
AWS KMS キーの作成の詳細については、「AWS Key Management Service Developer Guide」を参照してください。
AWS KMS を Amazon S3 と組み合わせて使用する方法の詳細については、「Amazon SimpleStorage Service 開発者ガイド」を参照してください。
デフォルト暗号化を有効にする際、バケットポリシーの更新が必要な場合があります。バケットポリシーからデフォルトの暗号化への移行の詳細については、「Amazon Simple Storage Service 開発者ガイド」を参照してください。
6. [Save] を選択します。
デフォルトの S3 バケット暗号化の詳細については、「Amazon Simple Storage Service コンソールユーザーガイド」を参照してください。
[PCI.SSM.1] Systems Manager によって管理される AmazonEC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります。重大度: 中
リソース: SSM パッチのコンプライアンスおよび Amazon EC2 インスタンス
AWS Config ルール: ec2-managedinstance-patch-compliance-status-check
このコントロールは、インスタンスのパッチインストール実行後、Amazon EC2 Systems Manager パッチコンプライアンスのコンプライアンスステータスが COMPLIANT と NON_COMPLIANT のどちらかを確認します。
AWS Systems Manager パッチマネージャーによって管理されているインスタンスのみがチェックされます。
PCI DSS 要件 6.2 で規定された 30 日間の制限内にパッチが適用されたかどうかはチェックされません。
また、適用されたパッチがセキュリティパッチとして分類されたかどうかも検証しません。
適切なベースライン設定を使用してパッチ適用グループを作成し、対象のシステムが Systems Manager のパッチグループによって管理されていることを確認する必要があります。パッチグループの詳細については、「AWS Systems Manager ユーザーガイド」を参照してください。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
関連する PCI DSS 要件
このコントロールは、次の PCI DSS 要件に関連しています。
PCI DSS 6.2: ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールします。
PCI DSS の対象となるシステムについてベンダーがリリースしたパッチは、本稼働環境にインストールする前にテストおよび検証する必要があります。デプロイされたパッチがカードデータ環境 (CDE)
230
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティス標準
のセキュリティに影響を与えないように、セキュリティ設定とコントロールを検証する必要があります。
AWS Systems Manager パッチマネージャーで管理されている Amazon EC2 インスタンスを使用してCDE 内のマネージドインスタンスにパッチを適用する場合は、パッチが正常に適用されていることを確認します。これを行うには、Amazon EC2 Systems Manager パッチコンプライアンスのコンプライアンスステータスが「COMPLIANT」であることを確認します。パッチマネージャーは、オペレーティングシステムとアプリケーションの両方に適用可能なパッチを適用できます。
これは、既知の脆弱性からシステムコンポーネントとソフトウェアを保護するために使用される方法です。
修復
非準拠のパッチを修正するには
このルールは、Amazon EC2 Systems Manager パッチコンプライアンスのコンプライアンスステータスがCOMPLIANT と NON_COMPLIANT のどちらであるかを確認します。パッチコンプライアンスの状態の詳細については、「AWS Systems Manager ユーザーガイド」を参照してください。
1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。
2. ナビゲーションペインの [Instances & Nodes (インスタンスとノード)] で、[Run Command (コマンドを実行)] を選択します。
3. [Run command] を選択します。4. AWS-RunPatchBaseline の横にあるオプションボタンを選択し、[Operation (オペレーション)] を
[Install (インストール)] に変更します。5. [Choose instances manually (インスタンスを手動で選択)] を選択し、非準拠のインスタンスを選択し
ます。6. 一番下までスクロールし、[Run (実行)] を選択します。7. コマンドが完了したら、パッチを適用したインスタンスの新しいコンプライアンスステータスをモニ
タリングするには、ナビゲーションペインで [Compliance (コンプライアンス)] を選択します。
以下の詳細については、「AWS Systems Manager ユーザーガイド」を参照してください。
• Systems Manager のドキュメントを使用してマネージドインスタンスにパッチを適用する• Systems Manager Run Command を使用したコマンド実行
AWS の基本的なセキュリティのベストプラクティス標準
AWS の基本的なセキュリティのベストプラクティス標準は、デプロイされたアカウントとリソースがセキュリティのベストプラクティスから逸脱したことを検出する一連のコントロールです。
この標準により、すべての AWS アカウントとワークロードを継続的に評価し、ベストプラクティスから逸脱する領域を迅速に特定できます。組織のセキュリティ体制を改善し、維持する方法について、実践的かつ規範的なガイダンスを提供します。
管理には、複数の AWS のサービスにわたるベストプラクティスが含まれます。各コントロールは、NISTサイバーセキュリティフレームワークで説明されている関数に基づく、次のカテゴリのいずれかに属します。
231
AWS Security Hub ユーザーガイド必要な AWS Config リソース
• 識別• 保護• 検出• 復旧
トピック• 必要な AWS Config リソース (p. 232)• AWS の基本的なセキュリティのベストプラクティスコントロール (p. 233)
必要な AWS Config リソースAWS Security Hub が AWS のすべての基本的なセキュリティのベストプラクティスコントロールの調査結果を正確にレポートするには、AWS Config の次のリソースを有効にする必要があります
Note
コントロールが使用できないリージョンでは、対応するリソースは AWS Config で利用できません。
• ACM 証明書• Amazon EBS ボリューム• Application Load Balancer• Amazon EFS ファイルシステム• CloudFront ディストリビューション• CloudTrail 証跡• CodeBuild プロジェクト• Amazon EC2 インスタンス• Amazon EC2 セキュリティグループ• Amazon EC2 ボリューム• Elastic Load Balancing ロードバランサー• Elasticsearch ドメイン• GuardDuty Detector• IAM グループ• IAM ポリシー• IAM ロール• IAM ユーザー• AWS KMS キー• Lambda 関数• Amazon RDS DB クラスタースナップショット• Amazon RDS DB インスタンス• Amazon RDS スナップショット• Amazon S3 ブロックパブリックアクセス• S3 バケット• Systems Manager マネージドインスタンスのインベントリ• Systems Manager パッチコンプライアンス• サブネット
232
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
AWS の基本的なセキュリティのベストプラクティスコントロールAWS の基本的なセキュリティのベストプラクティス標準には、次のコントロールが含まれています。各コントロールについて、情報には次の情報が含まれます。
• コントロールが適用されるカテゴリとサブカテゴリ• 重要度• 該当するリソース• 必要な AWS Config ルール、および AWS Security Hub によって設定される特定のパラメータ値• 修復ステップ
[ACM.1] インポートされた ACM 証明書は、有効期限から 90 日以内に更新する必要がありますカテゴリ: 保護 - データ保護 - 転送中のデータの暗号化
重大度: 中
リソース: ACM 証明書
AWS Config ルール: acm-certificate-expiration-check
パラメータ:
• daysToExpiration: 90
このコントロールは、アカウントの ACM 証明書が、90 日以内に有効期限切れとしてマークされているかどうかを確認します。インポートされた証明書と AWS Certificate Manager によって提供される証明書の両方がチェックされます。
ACM が提供する証明書は自動的に更新されます。ACM が提供する証明書を使用する場合、SSL/TLS 証明書を更新する必要はありません。ACM が更新を管理します。
ユーザーがインポートした証明書は自動的に更新されません。インポートした証明書を手動で更新する必要があります。
詳細については、AWS Certificate Manager ユーザーガイド の「管理された更新」を参照してください。Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
修復ACM は、Amazon 発行の SSL/TLS 証明書のマネージド型更新を提供しています。これには、ACM を使用して発行されたパブリック証明書とプライベート証明書の両方が含まれます。可能な限り、ACM は手動によるアクションを必要とせずに、自動的に証明書を更新します。証明書は、Elastic Load Balancingや Amazon CloudFront などの別の AWS サービスに関連付けられている場合、更新の対象となります。また、発行以降または最終更新後にエクスポートされている場合にも、更新できます。
ACM が証明書内の 1 つ以上のドメイン名を自動的に検証できない場合、ACM は、ドメインを手動で検証する必要があることをドメイン所有者に通知します。ドメインの手動検証が必要になるのは、次のような理由によります。
233
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
• ACM がドメインと HTTPS 接続を確立できない。• HTTPS リクエストに対する応答で返された証明書が ACM が更新する証明書と一致しない。
証明書が有効期限の 45 日前となった場合、証明書の 1 つ以上のドメイン名で手動検証が必要な場合は、ACM からドメインの所有者に通知されます。
E メールで (検証済みの証明書 の場合)
証明書を最後に検証したのが E メールである場合は、手動検証が必要なドメイン名ごとに E メールがACM よりドメイン所有者に 送信されます。この E メールを確実に受信するために、ドメイン所有者は各ドメインの E メールを正しく構成する必要があります。
詳細については、「(省略可能) ドメインの E メールを設定する」を参照してください。E メールには、検証を行うリンクが含まれています。このリンクは 72 時間後に失効します。必要な場合には、ACM コンソール、AWS CLI、または API を使用して、ACM がドメイン検証 E メールを再送信するようリクエストできます。詳細については、「証明書を更新するためにドメイン検証 E メールをリクエストする」を参照してください。
Important
E メールで検証済みの証明書は、手動で最後に検証してから最大 825 日後に自動更新されます。825 日が経過した後に更新を続行するには、ドメイン所有者または承認された担当者が手動でドメインの所有権を再検証し、再確認する必要があります。この問題を回避するために、セキュリティハブ では、新しい証明書を作成し、可能であれば DNS 検証を使用することを推奨します。これらの証明書が適切に設定されている場合、DNS で検証された証明書は無期限に再検証されます。
AWS Personal Health Dashboard で通知する
ACM は、証明書を更新する前に、証明書の 1 つ以上のドメイン名に検証が必要であることを示す通知を Personal Health Dashboard に送信します。ACM は、証明書の失効日まで 45 日、30 日、15 日、7日、3 日、1 日となるときに、この通知を送信します。これらの通知は情報提供のみを目的としています。
[CloudTrail.1] CloudTrail を有効にし、少なくとも 1 つのマルチリージョンの証跡で設定する必要があります。カテゴリ: 識別 - ログ記録
重大度: 高
リソース: アカウント
AWS Config ルール: multi-region-cloud-trail-enabled
パラメータ:
• readWriteType: ALL
このコントロールは、マルチリージョンの CloudTrail 証跡が少なくとも 1 つあることを確認します。
AWS CloudTrail はお客様のアカウントの AWS API コールを記録し、ログファイルをお客様に送信します。記録された情報には、以下の情報が含まれます。
• API 発信者の ID• API コールの時刻• API 発信者の送信元 IP アドレス
234
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
• パラメータのリクエスト• AWS のサービスによって返されるレスポンス要素。
CloudTrail は、AWS マネジメントコンソール、AWS SDK、コマンドラインツールから実行された APIコールを含むアカウントの AWS API コールの履歴を提供します。履歴には、AWS CloudFormation などの上位レベルの AWS サービスからの API コールも含まれます。
CloudTrail で生成される AWS API の呼び出し履歴を利用して、セキュリティ分析、リソース変更の追跡、およびコンプライアンスの監査を行うことができます。マルチリージョンの証跡には、次の利点もあります。
• マルチリージョンの証跡により、使用されていないリージョンで発生する予期しないアクティビティを検出できます。
• マルチリージョンの証跡では、証跡のグローバルサービスイベントのログ記録がデフォルトで有効になります。グローバルサービスイベントのログ記録では、AWS グローバルサービスによって生成されたイベントが記録されます。
• マルチリージョンの証跡では、すべての読み取りオペレーションと書き込みオペレーションの管理イベントによって、CloudTrail がすべての AWS アカウントのリソースに対する管理オペレーションを記録します。
修復
CloudTrail に新しい証跡を作成するには
1. https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。2. これまでに CloudTrail を使用したことがない場合は、[Get Started Now (今すぐ始める)] を選択しま
す。3. [Trails (証跡)] を選択し、[Create trail (証跡の作成)] を選択します。4. 証跡の名前を入力します。5. [Apply trail to all regions (すべてのリージョンで証跡を適用)] では [いいえ] を選択します。6. [Storage location (ストレージのロケーション)] で、次のいずれかの操作を行います。
a. CloudTrail ログ用に新しい S3 バケットを作成するには、[Create a new S3 bucket (新しい S3 バケットの作成)] で、[はい] を選択し、新しい S3 バケットの名前を入力します。
b. 既存の S3 バケットを使用するには、[Create a new S3 bucket (新しい S3 バケットを作成する)]で [いいえ] を選択し、使用する S3 バケットを選択します。
7. [Advanced] を選択します。[Enable log file validation (ログファイルの検証を有効にする)] で、[Yes (はい)] を選択します。
8. [作成] を選択します。
CloudTrail の既存の証跡を更新するには
1. https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。2. [証跡] を選択します。3. [名前] 列で、証跡の名前を選択します。4. [Trail settings (証跡設定)] の鉛筆アイコンを選択します。5. [Apply trail to all regions (すべてのリージョンに証跡を適用する)] で、[はい] を選択して [保存] を選択
します。6. [Management events (管理イベント)] で、鉛筆アイコンをクリックします。7. [Read/Write events (読み込み/書き込みイベント)] の [すべて] を選択し、[保存] を選択します。8. [Storage location] で、鉛筆アイコンを選択します。
235
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
9. [Enable log file validation (ログファイルの検証を有効にする)] で、[はい] を選択し、[保存] を選択します。
[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要がありますカテゴリ: 保護 - データ保護 - 保管中のデータの暗号化
重大度: 中
リソース: CloudTrail 証跡
AWS Config ルール: cloud-trail-encryption-enabled
パラメータ: なし
このコントロールは、CloudTrail がサーバー側の暗号化 (SSE) AWS Key Management Service カスタマーマスターキー (CMK) 暗号化を使用するよう設定されているかどうかを確認します。KmsKeyId が定義されている場合、チェックは合格します。
機密性の高い CloudTrail ログファイルのセキュリティを強化するには、保管時の暗号化用の CloudTrailログファイルに AWS KMS マネージドキー (SSE-KMS) を使用してサーバー側の暗号化を使用する必要があります。デフォルトでは、CloudTrail によってバケットに配信されるログファイルは、Amazon でAmazon S3 管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) によって暗号化されます。
修復
CloudTrail ログの暗号化を有効にするには
1. https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。2. [証跡] を選択します。3. 更新する証跡を選択します。4. [Storage location (ストレージロケーション)] で、鉛筆アイコンを選択して設定を編集します。5. [Encrypt log files with SSE-KMS (SSE-KMS でログファイルを暗号化する)] で、[はい] を選択します。6. [Create a new KMS key (新しい KMS キーを作成する)] で、次のいずれかの操作を行います。
• キーを作成するには、[Yes] を選択し、[KMS キー] フィールドのキーのエイリアスを入力します。キーは、バケットと同じリージョンに作成されます。
• 既存のキーを使用するには、[いいえ] を選択し、[KMS キー] リストからキーを選択します。
Note
AWS KMS キーおよび S3 バケットは同じリージョンにある必要があります。7. [保存] を選択します。
CMK と正常にやり取りするためには、CloudTrail のポリシーを変更する必要がある場合があります。詳細については、AWS CloudTrail User Guide の「AWS KMS マネージドキー (SSE-KMS) でCloudTrail ログファイルを暗号化する」を参照してください。
[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要がありますカテゴリ: 保護 - セキュア開発
236
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
重要度: 非常事態
リソース: CodeBuild プロジェクト
AWS Config ルール: codebuild-project-source-repo-url-check
パラメータ: なし
このコントロールは、GitHub または Bitbucket のソースレポジトリの URL に、個人用のアクセストークンまたはユーザー名とパスワードが含まれているかどうか確認します。
Note
このコントロールは、次のリージョンではサポートされていません。
• アフリカ (ケープタウン)• ヨーロッパ (ミラノ)• AWS GovCloud (米国東部)• AWS GovCloud (US-West)
認証情報は、クリアテキストで保存または送信したり、リポジトリ URL に表示しないでください。GitHub または Bitbucket リポジトリへのアクセス認可を付与するには、個人のアクセストークンまたはユーザー名とパスワードではなく OAuth を使用する必要があります。個人用アクセストークンまたはユーザー名やパスワードを使用すると、認証情報が意図しないデータ漏えいや不正アクセスにさらされる可能性があります。
修復
基本認証/(GitHub) 個人用のアクセストークンを CodeBuild プロジェクトソースから削除するには
1. CodeBuild コンソール (https://console.aws.amazon.com/codebuild/) を開きます。2. 個人用のアクセストークンまたはユーザー名とパスワードを含むビルドプロジェクトを選択する3. [Edit (編集)] から [Source (ソース)] を選択します。4. [Disconnect from GitHub / Bitbucket (GitHub/Bitbucket から切断)] を選択します。5. [Connect using OAuth (OAuth を使用して接続)] を選択し、[Connect to GitHub / Bitbucket (GitHub/
Bitbucket に接続)] を選択します。6. プロンプトが表示されたら、[as appropriate (必要に応じて承認)] を選択します。7. 必要に応じて、[Repository URL (リポジトリ URL)] と [additional configuration (追加の設定)] 設定を再
設定します。8. [Update source (ソースの更新)] を選択します。
詳細については、AWS CodeBuild ユーザーガイド の「CodeBuild ユースケースベースのサンプル」を参照してください。
[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできませんカテゴリ: 保護 - セキュア開発
重要度: 非常事態
リソース: CodeBuild プロジェクト
237
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
AWS Config ルール: codebuild-project-envvar-awscred-check
パラメータ: なし
このコントロールは、プロジェクトに環境変数 AWS_ACCESS_KEY_ID と AWS_SECRET_ACCESS_KEY が含まれているかどうかをチェックします。
認証情報 AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY はクリアテキストで保存しないでください。これは、意図しないデータ漏えいや不正アクセスにつながる可能性があるためです。
Note
このコントロールは、次のリージョンではサポートされていません。
• アフリカ (ケープタウン)• ヨーロッパ (ミラノ)• AWS GovCloud (米国東部)• AWS GovCloud (US-West)
修復
環境変数を削除するには
1. CodeBuild コンソール (https://console.aws.amazon.com/codebuild/) を開きます。2. [Build (構築)] を展開します。3. [Build project (ビルドプロジェクト)] を選択して、プレーンテキストの認証情報を含むビルドプロジェ
クトを選択します。4. [編集] から [環境] を選択します。5. [Additional configuration (追加設定)] を展開します。6. 環境変数の横にある [Remove (削除)] を選択します。7. [Update environment (環境の更新)] を選択します。
重要な値は Amazon EC2 Systems Manager パラメータストアに保存後、ビルド仕様から取得するには
1. CodeBuild コンソール (https://console.aws.amazon.com/codebuild/) を開きます。2. [Build (構築)] を展開します。3. [Build project (ビルドプロジェクト)] を選択して、プレーンテキストの認証情報を含むビルドプロジェ
クトを選択します。4. [編集] から [環境] を選択します。5. [Additional configuration (追加の設定)] を展開し、[Environment variables (環境変数)] までスクロール
します。6. このチュートリアルに従って、機密データを含む Systems Manager パラメータを作成します。7. パラメータを作成したら、パラメータ名をコピーします。8. CodeBuild コンソールに戻り、[Create environmental variable (環境変数の作成)] を選択します。9. ビルド仕様に表示される変数の名前を入力します。10. [value (値)] には、パラメータの名前を貼り付けます。11. [タイプ] で [Parameter (パラメータ)] を選択します。12. プレーンテキストの認証情報を含む非準拠の環境変数を削除するには、[Remove (削除)] を選択しま
す。
238
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
13. [Update environment (環境の更新)] を選択します。
詳細については、AWS CodeBuild ユーザーガイド の「ビルド環境の環境変数」を参照してください。
[Config.1] AWS Config を有効にする必要がありますカテゴリ: 識別 - インベントリ
重大度: 中
リソース: アカウント
AWS Config ルール: なし。
パラメータ: なし
このコントロールは、ローカルリージョンのアカウントで AWS Config が有効になっているかどうか、およびすべてのリソースを記録しているかどうかをチェックします。
AWS Config は、アカウントでサポートされている AWS リソースの設定管理を実行し、ログファイルを配信するウェブサービスです。記録される情報には、設定項目 (AWS リソース)、設定項目間の関係、およびリソース間の設定変更が含まれます。
セキュリティハブ では、すべてのリージョンで AWS Config を有効にすることをお勧めします。AWSConfig がキャプチャする AWS 設定項目の履歴により、セキュリティ分析、リソース変更の追跡、およびコンプライアンスの監査を行うことができます。
Note
セキュリティハブ はリージョナルサービスであるため、このコントロールに対して実行されるチェックでは、アカウントの現在のリージョンのみが確認されます。すべてのリージョンが確認されるわけではありません。またグローバルリソースに対するセキュリティチェックを各リージョンで許可するには、グローバルリソースを記録する必要があります。
詳細については、AWS Config Developer Guide の「AWS Config の開始方法」を参照してください。
修復
AWS Config 設定を構成するには
1. AWS Config コンソール (https://console.aws.amazon.com/ config/) を開きます。2. AWS Config を設定するリージョンを選択します。3. (これまでに AWS Config を使用したことがない場合は、[Get started (今すぐ始める)] を選択します。)4. [Settings (設定)] ページで、以下の操作を行います。
a. [Resource types to record (記録するリソースタイプ)] で、[Record all resources supported inthis region (このリージョンでサポートされているすべてのリソースを記録する)] および [Includeglobal resources (e.g., AWS IAM resources) (グローバルリソースを含む (AWS IAM など))] を選択します。
b. [Amazon S3 bucket (Amazon S3 バケット)] で、バケットを使用するか、バケットを作成し、必要に応じてプレフィックスを含めます。
c. [Amazon SNS topic (Amazon SNS トピック)] で、アカウントから Amazon SNS トピックを選択するか、トピックを作成します。Amazon SNS の詳細については、「Amazon Simple NotificationService 入門ガイド」を参照してください。
239
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
d. [AWS Config role (AWS Config ロール)] で、[Create AWS Config service-linked role (AWS Configサービスリンクロールの作成)] を選択するか、[Choose a role from your account (アカウントからロールを選択)] を選択して、使用するロールを選択します。
5. [Next] を選択します。6. [AWS Config rules (AWS Config ロール)] ページで、[Skip (スキップ)] を選択します。7. [確認] を選択します。
AWS CLI からの AWS Config の使用の詳細については、AWS Config Developer Guide の「AWS Config を有効にする」を参照してください。
AWS CloudFormation テンプレートを使用してこのプロセスを自動化することもできます。詳細については、AWS CloudFormation ユーザーガイド の「AWS CloudFormation StackSets サンプルテンプレート」を参照してください。
[EC2.1] Amazon EBS スナップショットは、パブリックであってはなりません。これは誰でも復元できるかどうかによって判断されますカテゴリ: 保護 - セキュアなネットワーク構成
重要度: 非常事態
リソース: アカウント
AWS Config ルール: ebs-snapshot-public-restorable-check
パラメータ: なし
このコントロールは、Amazon Elastic Block Store スナップショットが公開されていないことをチェックします。これは、誰でも復元できるかどうかによって判断されます。
EBS スナップショットは、特定の時点の EBS ボリュームのデータをAmazon S3 にバックアップするために使用されます。スナップショットを使用して、EBS ボリュームの以前の状態を復元できます。スナップショットをパブリックに共有することはほとんど受け入れられません。一般的に、スナップショットをパブリックに共有するという決定は、誤って、またはその影響を完全に理解することなく行われました。このチェックは、そのような共有がすべて完全に計画され、意図的であったことを確認するのに役立ちます。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
修復
パブリック EBS スナップショットをプライベートにするには
1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。2. ナビゲーションペインで [Snapshots (スナップショット)] メニューを選択し、パブリックスナップ
ショットを選択します。3. [Actions (アクション)] から、[Modify permissions (アクセス許可の変更)] を選択します。4. [プライベート] を選択します。5. オプションで、スナップショットを共有する許可されたアカウントの AWS アカウント番号を追加し
ます。6. [保存] を選択します。
240
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックとアウトバウンドトラフィックが禁止されますカテゴリ: 保護 - セキュアなネットワーク構成
重大度: 中
リソース: EC2 セキュリティグループ
AWS Config ルール: vpc-default-security-group-closed
パラメータ: なし
このコントロールは、VPC のデフォルトのセキュリティグループがインバウンドとアウトバウンドのいずれのトラフィックも許可しないことを確認します。
デフォルトのセキュリティグループのルールでは、同じセキュリティグループに割り当てられているネットワークインターフェイス (および関連するインスタンス) からのすべてのアウトバウンドトラフィックとインバウンドトラフィックを許可します。
デフォルトのセキュリティグループを使用することはお勧めしません。デフォルトのセキュリティグループは削除できないため、デフォルトのセキュリティグループルール設定を変更して、インバウンドトラフィックとアウトバウンドトラフィックを制限する必要があります。これにより、デフォルトのセキュリティグループが EC2 インスタンスなどのリソースに対して誤って設定されている場合に、意図しないトラフィックが防止されます。
修復
すべてのアクセスを制限するために、デフォルトのセキュリティグループを更新するには
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. デフォルトセキュリティグループの詳細を表示して、それらに割り当てられているリソースを表示し
ます。3. リソースに対して最小権限のセキュリティグループのセットを作成します。4. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。5. Amazon EC2 コンソールで、デフォルトのセキュリティグループを使用しているリソースのセキュリ
ティグループを、作成した最小権限のセキュリティグループに変更します。6. デフォルトのセキュリティグループごとに、[インバウンド] タブを選択し、すべてのインバウンド
ルールを削除します。7. デフォルトのセキュリティグループごとに、[アウトバウンド] タブを選択し、すべてのアウトバウン
ドルールを削除します。
詳細については、Amazon VPC ユーザーガイド の「セキュリティグループを操作する」を参照してください。
[EC2.3] アタッチされた EBS ボリュームは、保管時に暗号化する必要がありますカテゴリ: 保護 - データ保護 - 保管中のデータの暗号化
重大度: 中
リソース: EC2 ボリューム
241
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
AWS Config ルール: encrypted-volumes
パラメータ: なし
このコントロールは、アタッチ済みの EBS ボリュームが暗号化されているかどうかを確認します。このチェックに合格するには、EBS ボリュームが使用中であり、暗号化されている必要があります。EBS ボリュームがアタッチされていない場合、このチェックの対象外です。
EBS ボリュームの機密データのセキュリティを強化するには、保存時に EBS 暗号化を有効にする必要があります。Amazon EBS 暗号化は、独自のキー管理インフラストラクチャの構築、保守、保護を必要としない EBS リソース向けの簡単な暗号化ソリューションを提供します。暗号化されたボリュームとスナップショットを作成する際に、AWS KMS カスタマーマスターキー (CMK) が使用されます。
Amazon EBS 暗号化の詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「AmazonEBS 暗号化」を参照してください。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
修復
既存の暗号化されていないボリュームまたはスナップショットを暗号化する直接的な方法はありません。新しいボリュームまたはスナップショットは、作成時にのみ暗号化できます。
暗号化をデフォルトで有効にした場合、Amazon EBS は Amazon EBS 暗号化のデフォルトキーを使用して、作成された新しいボリュームまたはスナップショットを暗号化します。デフォルトで暗号化を有効にしていない場合でも、個々のボリュームまたはスナップショットを作成するときに暗号化を有効にすることができます。どちらの場合も、Amazon EBS 暗号化のデフォルトキーを上書きし、対称カスタマー管理の CMK を選択できます。
詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「Amazon EBS ボリュームの作成」および「Amazon EBS スナップショットのコピー」を参照してください。
[EFS.1] Amazon EFS は、AWS KMS を使用して保管中のファイルデータを 暗号化するように設定する必要がありますカテゴリ: 保護 - データ保護 - 保管中のデータの暗号化
重大度: 中
リソース: EFS ファイルシステム
AWS Config ルール: efs-encrypted-check
パラメータ: なし
Amazon Elastic File System が AWS KMS を使用してファイルデータを暗号化するように設定されているかどうかを確認します。次の場合、チェックは失敗します。
• Encrypted が DescribeFileSystems レスポンスで false に設定されている。• DescribeFileSystems レスポンスの KmsKeyId キーが efs-encrypted-check の KmsKeyId パラ
メータと一致しない。
このコントロールでは、efs-encrypted-check の KmsKeyId パラメータは使用されません。Encrypted の値のみをチェックします。
242
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
Amazon EFS で機密データのセキュリティを強化するには、暗号化されたファイルシステムを作成する必要があります。Amazon EFS は、保管中のファイルシステムの暗号化をサポートします。Amazon EFSファイルシステムを作成する場合、保管時のデータの暗号化を有効にすることができます。Amazon EFS暗号化の詳細については、Amazon Elastic File System ユーザーガイド の「Amazon EFS のデータ暗号化」を参照してください。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
修復新しい Amazon EFS ファイルシステムを暗号化する方法の詳細については、Amazon Elastic File Systemユーザーガイド の「保管中のデータの暗号化」を参照してください。
[ELBv2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要がありますカテゴリ: 保護 - データ保護 - 転送中のデータの暗号化
重大度: 中
リソース: Elbv2 ロードバランサー
AWS Config ルール: alb-http-to-https-redirection-check
パラメータ: なし
このコントロールは、HTTP から HTTPS へのリダイレクトが Application Load Balancer のすべてのHTTP リスナーで設定されているかどうかを確認します。Application Load Balancer の 1 つまたは複数の HTTP リスナーに HTTP から HTTPS へのリダイレクトが設定されていない場合、チェックは失敗します。
Application Load Balancer の使用を開始する前に、1 つ以上のリスナーを追加する必要があります。リスナーとは、設定したプロトコルとポートを使用して接続リクエストをチェックするプロセスです。リスナーは、HTTP プロトコルと HTTPS プロトコルの両方をサポートします。HTTPS リスナーを使用して、暗号化と復号化の作業を Application Load Balancer にオフロードできます。Application Load Balancer でリダイレクトアクションを使用して、クライアント HTTP リクエストをポート 443 の HTTPS リクエストにリダイレクトし、転送中の暗号化を適用する必要があります。
詳細については、Application Load Balancer 用ユーザーガイド の 「Application Load Balancer のリスナー」を参照してください。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
修復
HTTP 要求を Application Load Balancer の HTTPS にリダイレクトするには
1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。2. ナビゲーションペインで、[Load Balancers (ロードバランサー)] を選択します。3. [Application Load Balancer] を選択します。4. [リスナー] タブを選択します。
243
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
5. HTTP リスナー (ポート 80 TCP) を選択し、[編集] を選択します。6. 既存のルールがある場合は、それを削除する必要があります。それ以外の場合は、[Add action (アク
ションを追加)] を選択し、[Redirect to... (... にリダイレクト)] を選択します。7. [HTTPS] を選択し、「443」と入力します。8. 円記号のチェックマークを選択し、[更新] を選択します。
[ES.1] Elasticsearch ドメインは保存時の暗号化を有効にする必要がありますカテゴリ: 保護 - データ保護 - 保管中のデータの暗号化
重大度: 中
リソース: Elasticsearch ドメイン
AWS Config ルール: elasticsearch-encrypted-at-rest
パラメータ: なし
このコントロールは、Amazon Elasticsearch Service (Amazon ES) ドメインで保管時の暗号化設定が有効になっているかどうかを確認します。保存時の暗号化が有効になっていない場合、チェックは失敗します。
Elasticsearch で機密データのセキュリティを強化するには、保管時に暗号化するように Elasticsearch を設定する必要があります。Elasticsearch ドメインは、保管中のデータの暗号化を提供します。この機能によって、AWS KMS を使用して、暗号化キーが保存および管理されます。暗号化を実行するには、256ビットキー (AES-256) を使用した高度な暗号化標準アルゴリズムを使用します。
保管時の Elasticsearch 暗号化の詳細については、Amazon Elasticsearch Service 開発者ガイド 「AmazonElasticsearch Service の保管時のデータの暗号化」を参照してください。
Note
t.small や t.medium などの特定のインスタンスタイプでは、保管中のデータの暗号化がサポートされていません。詳細については、Amazon Elasticsearch Service 開発者ガイド の「サポートされるインスタンスタイプ」を参照してください。
修復デフォルトでは、ドメインの保管時のデータは暗号化されず、既存のドメインでこの機能を使用するように設定することはできません。
この機能を有効にするには、別のドメインを作成してデータを移行する必要があります。ドメインの作成については、「Amazon Elasticsearch Service 開発者ガイド」を参照してください。
保管時のデータの暗号化には Amazon ES 5.1 以降が必要です。Amazon ES の保管時のデータの暗号化の詳細については、「Amazon Elasticsearch Service 開発者ガイド」を参照してください。
[GuardDuty.1] GuardDuty を有効にする必要がありますカテゴリ: 検出 - 検出サービス
重大度: 中
リソース: アカウント
AWS Config ルール: guardduty-enabled-centralized
パラメータ: なし
244
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
このコントロールは、GuardDuty アカウントおよびリージョンで Amazon GuardDuty が有効になっているかどうかを確認します。
GuardDuty は、サポートされているすべての AWS リージョンで有効にすることが強く推奨されています。このように設定することで、お客様が能動的に使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できます。また、GuardDutyでは、IAM などのグローバルな AWS のサービスについても CloudTrail イベントをモニタリングできます。
Note
このコントロールは、次のリージョンではサポートされていません。
• アフリカ (ケープタウン)• アジアパシフィック (香港)• ヨーロッパ (ミラノ)• 中東 (バーレーン)• AWS GovCloud (米国東部)• AWS GovCloud (US-West)
修復
GuardDuty を有効にするには
1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty/) を開きます。2. [Get Started] を選択します。3. [Enable GuardDuty (ガードデューティを有効にする)] を選択します。
[IAM.1] IAM ポリシーでは、完全な「*」管理権限を許可しないでください。カテゴリ: 保護 - セキュアなアクセス管理
重大度: 高
リソース: IAM ポリシー
AWS Config ルール: iam-policy-no-statements-with-admin-access
パラメータ: なし
このコントロールは、IAM ポリシーのデフォルトバージョン (顧客管理ポリシーとも呼ばれます) が、「効果」:「許可」と「アクション」:「*」と「リソース」:「*」のステートメントを含む管理者アクセス権を持っているかどうかをチェックします。
コントロールは、作成したカスタマー管理ポリシーのみをチェックします。インラインおよび AWS 管理ポリシーはチェックされません。
IAM ポリシーは、ユーザー、グループ、またはロールに付与される権限のセットを定義します。標準的なセキュリティアドバイスに従って、AWS は最小限の特権を付与することをお勧めします。これは、タスクの実行に必要なアクセス許可のみを付与することを意味します。ユーザーが必要とする最小限のアクセス許可セットではなく、完全な管理権限を提供すると、リソースを望ましくない可能性のあるアクションに公開します。
完全な管理権限を許可するのではなく、ユーザーが何をする必要があるのかを決定し、ユーザーが、それらのタスクのみを実行できるポリシーを作成します。最小限のアクセス許可から開始し、必要に応じて追
245
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
加のアクセス許可を付与します。あまりにも寛大なアクセス許可から始めて、後でそれらを強化しようとしないでください。
"Resource": "*" ではなく "Action": "*" を使用した "Effect": "Allow" のステートメントを含む IAM ポリシーは、削除する必要があります。
修復
IAM ポリシーを変更するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [ポリシー] を選択します。3. 削除するポリシーの横にあるボタンを選択します。4. [Policy actions (ポリシーアクション)] から [Detach (デタッチ)] を選択します。5. ポリシーをデタッチする各ユーザーで、ユーザーの横にあるボタンを選択して、[Detach policy (ポリ
シーのデタッチ)] を選択します。
ポリシーをデタッチしたユーザーが、想定どおりに AWS サービスおよびリソースには引き続きアクセスできることを確認します。
[IAM.2] IAM ユーザーには IAM ポリシーをアタッチしないでくださいカテゴリ: 保護 - セキュアなアクセス管理
重大度: 低
リソース: IAM ユーザー
AWS Config ルール: iam-user-no-policies-check
パラメータ: なし
このコントロールは、いずれの IAM ユーザーにもポリシーがアタッチされていないことを確認します。代わりに、IAM ユーザーは、IAM グループまたはロールからアクセス許可を継承する必要があります。
デフォルトでは、IAM ユーザー、グループ、およびロールは、AWS リソースへアクセスすることはできません。IAM ポリシーはユーザー、グループ、またはロールに権限を付与する方法です。IAM ポリシーはグループとロールには直接適用しますが、ユーザーには直接適用しません。グループレベルまたはロールレベルで権限を割り当てると、ユーザー数が増えるにつれてアクセス管理の複雑さが軽減されます。アクセス管理の複雑さを軽減することで、プリンシパルが誤って過剰な権限を受け取ったり保持したりする機会を減らすことができます。
修復この問題を解決するには、 IAM グループを作成し、そのグループにポリシーを割り当て、ユーザーをグループに追加します。ポリシーは、グループ内の各ユーザーに適用されます。
IAM グループを作成するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [グループ] を選択し、[Create New Group (新しいグループの作成)] を選択します。3. 作成するグループの名前を入力し、[次のステップ] を選択します。4. グループに割り当てる各ポリシーを選択し、[次のステップ] を選択します。選択したポリシーには、
現在ユーザーアカウントに直接アタッチされているすべてのポリシーが含まれている必要があります。
246
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
5. ユーザーをグループに追加し、そのグループにポリシーを割り当てます。グループ内の各ユーザーには、グループに割り当てられたポリシーが割り当てられます。
6. [確認] ページで詳細を確認し、[グループの作成] を選択します。
グループの作成の詳細については、IAM ユーザーガイド の「IAM グループの作成」を参照してください。
IAM グループにユーザーを追加するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [グループ] を選択します。3. [Group Actions (グループアクション)] で、[Add Users to Group (ユーザーをグループに追加)] を選択
します。4. グループに追加するユーザーを選択し、[Add Users (ユーザーを追加)] を選択します。
グループへのユーザーの追加の詳細については、IAM ユーザーガイド の「IAM グループのユーザーの追加と削除」を参照してください。
ユーザーに直接アタッチされているポリシーを削除するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [ユーザー] を選択します。3. ポリシーをデタッチするユーザーの User name 列から名前を選択します。4. [Attached directly (直接アタッチ)] に一覧表示されている各ポリシーで、ページの右側にある [X] を選
択してユーザーからポリシーを削除し、[削除] を選択します。5. 想定した通りにユーザーが AWS サービスを利用できることを確認します。
[IAM.3] IAM ユーザーのアクセスキーは 90 日ごとに更新する必要がありますカテゴリ: 保護 - セキュアなアクセス管理
重大度: 中
リソース: IAM ユーザー
AWS Config ルール: access-keys-rotated
パラメータ:
• maxAccessKeyAge: 90
このコントロールは、アクティブなアクセスキーが 90 日以内に更新されているかどうかをチェックします。
アカウントのすべてのアクセスキーを生成したり削除したりしないことを強くお勧めします。代わりに、1つ以上の IAM ロールを作成するか、 フェデレーションを使用することをお勧めします。これらの方法を使用すると、ユーザーが既存の企業認証情報を使用して AWS マネジメントコンソール および AWS CLI にログインできます。
各アプローチにはユースケースがあります。フェデレーションは、既存の中央ディレクトリを持っている企業や、現在の制限 IAM ユーザーよりも多くを必要とする予定の企業にとって一般的に適しています。AWS 環境の外部で実行されるアプリケーションには、AWS リソースへのプログラムによるアクセスキーが必要です。
247
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
ただし、プログラムによるアクセスを必要とするリソースが AWS 内部で実行されている場合は、IAMロールを使用するのがベストプラクティスです。ロールを使用すると、アクセスキー ID とシークレットアクセスキーを設定にハードコーディングすることなく、リソースへのアクセスを許可できます。
アクセスキーとアカウントの保護の詳細については、AWS General Reference の「AWS アクセスキーを管理するためのベストプラクティス」を参照してください。また、ブログ記事「プログラムによるアクセス使用中に AWS アカウントを保護するためのガイドライン」も参照してください。
アクセスキーがすでにある場合、セキュリティハブ では 90 日ごとにアクセスキーを更新することをお勧めします。アクセスキーを更新することにより、侵害されたアカウントや終了したアカウントに関連付けられているアクセスキーが使用される可能性が低くなります。また、紛失したり、ひび割れたり、盗まれたりした古いキーでデータにアクセスできないようにします。アクセスキーを更新したら、必ずアプリケーションを更新してください。
AWS アクセスキーは、アクセスキー ID とシークレットアクセスキーで構成されます。これらは、AWSに対して行うプログラムリクエストに署名するために使用されます。AWS ユーザーは、AWS CLI、Toolsfor Windows PowerShell、AWS SDK、から AWS に対してプログラム呼び出しを行うか、個々の AWSサービスの API を使用して直接 HTTP 呼び出しを行うために独自のアクセスキーが必要です。
組織で AWS シングルサインオン (AWS SSO) を使用している場合、ユーザーは Active Directory、組み込み AWS SSO ディレクトリ、または AWS SSO に接続された別の iDP にサインインできます。次に、IAMユーザーアクセスキーを必要とせずに、AWS CLI コマンドを実行したり AWS API を呼び出したりできるIAM ロールにマッピングできます。詳細については、AWS Command Line Interface ユーザーガイド の「AWS シングルサインオン を使用するための AWS CLI の設定」を参照してください。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
修復
アクセスキーを 90 日間以上使用しないようにするには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [ユーザー] を選択します。3. 90 日間を超える [Access key age (アクセスキーの古さ)] を示す各ユーザーで、[ユーザー名] を選択し
てそのユーザーの設定を開きます。4. [セキュリティ認証情報] を選択します。5. ユーザーの新しいキーを作成するには:
a. [アクセスキーの作成] を選択します。b. キーコンテンツを保存するには、シークレットアクセスキーをダウンロードするか、[表示] を選
択してページからコピーします。c. ユーザーに提供する安全な場所にキーを格納します。d. [Close] を選択します。
6. 以前のキーを使用していたすべてのアプリケーションを更新し、新しいキーを使用するようにします。
7. 以前のキーでは、[Make inactive (非アクティブにする)] を選択してアクセスキーを非アクティブにします。これで、ユーザーはそのキーを使用してリクエストを行うことができなくなります。
8. すべてのアプリケーションが新しいキーで想定どおりに機能することを確認します。9. すべてのアプリケーションが新しいキーで想定どおりに機能することを確認したら、以前のキーを削
除します。削除した後でアクセスキーを復元することはできません。
前のキーを削除するには、行の末尾にある [X] を選択し、[削除] を選択します。
248
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけませんカテゴリ: 保護 - セキュアなアクセス管理
重要度: 非常事態
リソース: アカウント
AWS Config ルール: iam-root-access-key-check
パラメータ: なし
このコントロールは、ルートユーザーアクセスキーが使用可能かどうかを確認します。
ルートアカウントは、AWS アカウントで最も権限があるユーザーです。AWS アクセスキーは、プログラムから指定されたアカウントにアクセスできます。
セキュリティハブ では、ルートアカウントに関連付けられたすべてのアクセスキーを削除することをお勧めします。これにより、アカウントを侵害するために使用できるベクターが制限されます。また、最も権限の低いロールベースのアカウントの作成と使用が促進されます。
Note
このコントロールは、アフリカ (ケープタウン) ではサポートされていません。
修復
アクセスキーを無効にするか削除するには
1. AWS アカウントのルートユーザー の認証情報を使用してアカウントにログインします。2. ページの右上隅近くにあるアカウント名を選択し、[My Security Credentials (セキュリティの認証情
報)] を選択します。3. ポップアップ警告で、[Continue to Security Credentials (セキュリティ認証情報に進む)] を選択しま
す。4. [アクセスキー (アクセスキー ID とシークレットアクセスキー)] を選択します。5. 既存のキーの場合は、次のいずれかを実行します。
• キーがアカウントの認証に使用されるのを防止するには、[Make Inactive (非アクティブにする)] を選択します。
• 完全にキーを削除するには、[Delete (削除)] を選択し、次に [Yes (はい)] を選択します。削除したキーを復元することはできません。
[IAM.5] コンソールパスワードを持つすべての IAM ユーザーに対して MFA を有効にする必要がありますカテゴリ: 保護 - セキュアなアクセス管理
重大度: 中
リソース: IAM ユーザー
AWS Config ルール: mfa-enabled-for-iam-console-access
パラメータ: なし
249
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
このコントロールは、コンソールパスワードを使用するすべての IAM ユーザーについて AWS Multi-FactorAuthentication (MFA) が有効になっているかどうかを確認します。
多要素認証 (MFA) はユーザー名とパスワードの上に、もう 1 つの保護レイヤーを追加します。MFA が有効な場合、ユーザーが AWS ウェブサイトにサインインすると、ユーザー名とパスワードの入力を求められます。さらに、AWS MFA デバイスからの認証コードの入力が求められます。
コンソールパスワードを持つすべてのアカウントの MFA を有効にすることをお勧めします。MFA は、コンソールアクセスのセキュリティを強化するように設計されています。認証プリンシパルは、時間に依存するキーを発行するデバイスを所有し、認証情報に関する知識を持っている必要があります。
修復
ユーザーの MFA を設定するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [ユーザー] を選択します。3. MFA を設定するユーザーの [ユーザー名] を選択します。4. [セキュリティ認証情報] を選択します。5. [Assigned MFA Device (割り当て済み MFA デバイス)] の横で、[管理] を選択します。6. [Manage MFA Device (MFA デバイスの管理)] ウィザードに従って、ご利用の環境に応じたデバイスの
タイプを割り当てます。
ユーザーに MFA セットアップを委任する方法については、「AWS IAM ユーザーに多要素認証の管理を委任する方法」を参照してください。
[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要がありますカテゴリ: 保護 - セキュアなアクセス管理
重要度: 非常事態
リソース: アカウント
AWS Config ルール: root-account-hardware-mfa-enabled
パラメータ: なし
このコントロールは、AWS アカウントのユーザーで、ルートユーザー の認証情報を使用してサインインする際に Multi-Factor Authentication (MFA) デバイスの使用が有効になっているかどうかを確認します。
仮想 MFA はハードウェア MFA デバイスと同じレベルのセキュリティを提供しない可能性があります。ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間にのみ、仮想 MFA デバイスを使用することをお勧めします。詳細については、IAM ユーザーガイド の「Multi-Factor Authentication (MFA)デバイス (コンソール) の有効化」を参照してください。
Note
このコントロールは、AWS GovCloud (米国東部) または AWS GovCloud (US-West) ではサポートされていません 。
修復
ルートアカウントのハードウェアベースの MFA を有効にするには
1. ルートユーザー の認証情報を使用してアカウントにログインします。
250
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
2. ページの右上隅近くにあるアカウント名を選択し、[My Security Credentials (セキュリティの認証情報)] を選択します。
3. ポップアップ警告で、[Continue to Security Credentials (セキュリティ認証情報に進む)] を選択します。
4. [Multi-Factor Authentication (MFA) (多要素認証 (MFA))] を選択します。5. [MFA の有効化] を選択します。6. MFA で使用するハードウェアベース (仮想ではない) のデバイスを選択し、 [続行] を選択します。7. 選択に応じて適切なデバイスタイプを設定するステップを完了します。
[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要ですカテゴリ: 保護 - セキュアなアクセス管理
重大度: 中
リソース: アカウント
AWS Config ルール: iam-password-policy
パラメータ:
• RequireUppercaseCharacters: true• RequireLowercaseCharacters: true• RequireSymbols: true• RequireNumbers: true• MinimumPasswordLength: 14 以上• PasswordReusePrevention: 24• MaxPasswordAge: 90
このコントロールは、IAM ユーザーのアカウントパスワードポリシーが次の推奨設定を使用しているかどうかをチェックします。
• RequireUppercaseCharacters: true• RequireLowercaseCharacters: true• RequireSymbols: true• RequireNumbers: true• MinimumPasswordLength: 14 以上• PasswordReusePrevention: 24• MaxPasswordAge: 90
アカウントのすべてのアクセスキーを生成したり削除したりしないことを強くお勧めします。代わりに、1つ以上のIAM ロールを作成するか、フェデレーションを使用することをお勧めします。これらの方法を使用すると、ユーザーが既存の企業認証情報を使用して AWS マネジメントコンソール および AWS CLI にログインできます。
各アプローチにはユースケースがあります。フェデレーションは、既存の中央ディレクトリを持っている企業や、現在の制限 IAM ユーザーよりも多くを必要とする予定の企業にとって一般的に適しています。AWS 環境の外部で実行されるアプリケーションには、AWS リソースへのプログラムによるアクセスキーが必要です。
251
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
ただし、プログラムによるアクセスを必要とするリソースが AWS 内部で実行される場合、ベストプラクティスは IAM ロールを使用することです。ロールを使用すると、アクセスキー ID とシークレットアクセスキーを設定にハードコーディングすることなく、リソースへのアクセスを許可できます。
アクセスキーとアカウントの保護の詳細については、AWS General Reference の「AWS アクセスキーを管理するためのベストプラクティス」を参照してください。また、ブログ記事「プログラムによるアクセス使用中に AWS アカウントを保護するためのガイドライン」も参照してください。
アクセスキーがすでにある場合は、セキュリティハブ では、強制的に強力なユーザーパスワードの作成することをお勧めします。パスワードポリシーを作成または変更すると、その変更は新規ユーザーに対してただちに適用されます。既存のユーザーがパスワードを変更する必要はありません。
修復
パスワードポリシーを変更するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [Account settings (アカウント設定)] を選択します。3. [パスワードの再利用を禁止] を選択します。[Number of passwords to remember (記憶するパスワード
の数)] に「24」と入力します。4. [Requires at least one uppercase letter (少なくとも 1 つの大文字が必要)] を選択します。5. [Requires at least one lowercase letter (少なくとも 1 つの小文字が必要)] を選択します。6. [Requires at least one non-alphanumeric character (少なくとも 1 つの英数字以外の文字が必要)] を選
択します。7. [Requires at least one number (少なくとも 1 つの番号が必要です)] を選択します。8. [Minimum password length (パスワードの最小長)] に「14」と入力します。9. [パスワードの失効を許可] を選択します。[Password expiration period (in days) (パスワードの有効期
限 (日数))] に「90」と入力します。10. [Apply Password Policy (パスワードポリシーの適用)] をクリックします。
[Lambda.1] Lambda 関数は、他のアカウントによるパブリックアクセスを禁止する必要がありますカテゴリ: 保護 - セキュアなネットワーク構成
重要度: 非常事態
リソース: Lambda 関数
AWS Config ルール: lambda-function-public-access-prohibited
パラメータ: なし
このコントロールは、Lambda 関数リソースベースのポリシーがパブリックアクセスを禁止しているかどうかをチェックします。
この Lambda 関数は、関数に保存されているコードへの意図しないアクセスを可能にする可能性があるため、パブリックにアクセスすることはできません。
修復
AddPermission および AddLayerVersionPermission API オペレーションの範囲内の Lambda リソースのリソースベースのポリシーのみを更新できます。JSON で Lambda リソースのポリシーを作成す
252
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
ることはできません。AWS CLI または SDK を使用して、これらのアクションのパラメータにマッピングされない条件を使用することはできません。以下の手順は AWS CLI を使用します。
プライベート Lambda 関数を作成するには
1. GetPolicy の出力からステートメントの ID を取得します。
a. AWS CLI から、aws lambda get-policy --function-name yourfunctionname を実行します。このコマンドは、パブリックにアクセス可能な Lambda に関連付けられた Lambda リソースベースのポリシー文字列を返します。
b. ポリシーステートメントの [Sid] フィールドの文字列値をコピーします。2. AWS CLI から、aws lambda remove-permission --function-name yourfunctionname —
statement-id youridvalue を実行します
[Lambda.2] Lambda 関数は最新のランタイムを使用する必要がありますカテゴリ: 保護 - セキュア開発
重大度: 中
リソース: Lambda 関数
AWS Config ルール: lambda-function-settings-check
パラメータ:
• runtime: nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, python2.7,ruby2.5, ruby2.7, java11, java8,go1.x, dotnetcore2.1, dotnetcore3.1
このコントロールは、ランタイムの Lambda 関数設定が、サポートされている各言語の最新のランタイムに設定されている期待値と一致することを確認します。このコントロールは、次のランタイムをチェックします。nodejs12.x、nodejs10.x、python3.8、python3.7、python3.6、ruby2.5、ruby2.7、java11、java8、go1.x、dotnetcore2.1、dotnetcore3.1
Lambda ランタイムは、メンテナンスとセキュリティの更新の対象となるオペレーティングシステム、プログラミング言語、およびソフトウェアライブラリの組み合わせを中心に構築されています。ランタイムコンポーネントがセキュリティアップデートでサポート対象外となった場合、Lambda はこのランタイムを廃止します。非推奨のランタイムを使用する関数を作成することはできませんが、この関数は呼び出しイベントの処理に使用できます。Lambda 関数が最新であり、古いランタイム環境を使用していないことを確認してください。
このコントロールがサポートされているすべての言語をチェックする最新のランタイムの詳細については、AWS Lambda Developer Guide の「AWS Lambda ランタイム」を参照してください。
修復
サポートされているランタイムと非推奨スケジュールの詳細については、AWS Lambda Developer Guideの「ランタイムサポートポリシー」セクションを参照してください。ランタイムを最新バージョンに移行するときは、言語の発行元からの構文とガイダンスに従ってください。
[RDS.1] RDS スナップショットはプライベートである必要がありますカテゴリ: 保護 - セキュアなネットワーク構成
253
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
重要度: 非常事態
リソース: RDS DB スナップショット
AWS Config ルール: rds-snapshots-public-prohibited
パラメータ: なし
このコントロールは、Amazon RDS スナップショットがパブリックかどうかをチェックします。
RDS スナップショットは、特定の時点の RDS インスタンスのデータをバックアップするために使用されます。RDS インスタンスの以前の状態を復元するために使用できます。
RDS スナップショットは、意図しない限りパブリックにすることはできません。暗号化されていない手動スナップショットをパブリックとして共有すると、このスナップショットをすべての AWS アカウントが使用できるようになります。これにより、RDS インスタンスの意図しないデータ漏えいが発生する可能性があります。
パブリックアクセスを許可するように構成を変更した場合、AWS Config ルールは最大 12 時間変更を検出できない場合があります。AWS Config ルールが変更を検出するまで、設定がルールに違反していてもチェックは成功します。
DB スナップショットの共有の詳細については、Amazon RDS ユーザーガイド の「DB スナップショットの共有」を参照してください。
Note
このコントロールは、アフリカ (ケープタウン) または ヨーロッパ (ミラノ) ではサポートされていません 。
修復
RDS スナップショットのパブリックアクセスを削除するには
1. https://console.aws.amazon.com/rds/ にある Amazon RDS コンソールを開きます。2. [Snapshots (スナップショット)] に移動し、変更するパブリックスナップショットを選択します。3. [アクション] から、[スナップショットの共有] を選択します。4. [DB snapshot visibility (DB スナップショットの可視性)] から、[Private (プライベート)] を選択しま
す。5. [DB snapshot visibility (DB スナップショットの可視性)] から、[all (すべて)] を選択します。6. [Save] を選択します。
[RDS.2] RDS DB インスタンスは、パブリックアクセスを禁止する必要があります。これは PubliclyAccessible 設定によって判断されます。カテゴリ: 保護 - セキュアなネットワーク構成
重要度: 非常事態
リソース: RDS DB インスタンス
AWS Config ルール: rds-instance-public-access-check
パラメータ: なし
254
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
このコントロールは、インスタンス設定項目の PubliclyAccessible フィールドを評価して、AmazonRDS インスタンスがパブリックにアクセスできるかどうかをチェックします。
RDS インスタンス設定 の PubliclyAccessible 値は、DB インスタンスがパブリックにアクセスできるかどうかを示します。DB インスタンスが PubliclyAccessible で設定されている場合、パブリックに解決可能な DNS 名を持つインターネット向けインスタンスであり、パブリック IP アドレスに解決されます。DB インスタンスはパブリックにアクセスできない場合、プライベート IP アドレスに解決されるDNS 名を持つ内部インスタンスです。
RDS インスタンスにパブリックにアクセスできるようにする予定がない限り、RDS インスタンスをPubliclyAccessible 値に設定しないでください。これにより、データベースインスタンスへの不要なトラフィックが許可される可能性があります。
修復
RDS DB インスタンスからパブリックアクセスを削除するには
1. https://console.aws.amazon.com/rds/ にある Amazon RDS コンソールを開きます。2. [Databases (データベース)] に移動し、パブリックデータベースを選択します3. [Modify] を選択します。4. [Network & Security (ネットワークとセキュリティ)] の、[Public accessibility (パブリックアクセシビリ
ティ)] で [いいえ] を選択します。5. [Continue] を選択します。6. [Scheduling of modifications (変更のスケジュール)] で [Apply immediately (すぐに適用)] を選択しま
す。7. [DB インスタンスの変更] を選択します。
詳細については、Amazon RDS ユーザーガイド の「VPC での DB インスタンスの操作」を参照してください。
[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。カテゴリ: 保護 - データ保護 - 保管中のデータの暗号化
重大度: 中
リソース: RDS DB インスタンス
AWS Config ルール: rds-storage-encrypted
パラメータ: なし
このコントロールは、Amazon RDS DB インスタンスに対してストレージの暗号化が有効になっているかどうかを確認します。
RDS DB インスタンスの機密データのセキュリティを強化するには、RDS DB インスタンスを保管時に暗号化するように設定する必要があります。保管中の Amazon RDS DB インスタンスとスナップショットを暗号化するには、RDS DB インスタンスの暗号化オプションを有効にします。保管時に暗号化されるデータには、DB インスタンス、自動バックアップ、リードレプリカ、スナップショットの基本的なストレージが含まれます。
RDS の暗号化された DB インスタンスでは、RDS DB インスタンスをホストしているサーバーでデータを暗号化するために、業界標準の AES-256 暗号化アルゴリズムを使用します。データが暗号化されると、Amazon RDS はパフォーマンスの影響を最小限に抑えながら、データへのアクセスと復号の認証を透
255
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
過的に処理します。暗号化を使用するために、データベースのクライアントアプリケーションを変更する必要はありません。
Amazon RDS の暗号化は、現在すべてのデータベースエンジンおよびストレージタイプで使用することができます。Amazon RDS 暗号化は、ほとんどの DB インスタンスクラスで使用することができます。Amazon RDS 暗号化をサポートしない DB インスタンスクラスについては、Amazon RDS ユーザーガイド の「Amazon RDS リソースの暗号化」を参照してください。
修復Amazon RDS での DB インスタンスの暗号化の詳細については、Amazon RDS ユーザーガイド の「Amazon RDS リソースの暗号化」を参照してください。
[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要がありますカテゴリ: 保護 - セキュアなネットワーク構成
重大度: 中
リソース: アカウント
AWS Config ルール: s3-account-level-public-access-blocks
パラメータ:
• ignorePublicAcls: true• blockPublicPolicy: true• blockPublicAcls: true• restrictPublicBuckets: true
このコントロールは、次の Amazon S3 パブリックアクセスブロック設定がアカウントレベルで設定されているかどうかをチェックします。
• ignorePublicAcls: true• blockPublicPolicy: true• blockPublicAcls: true• restrictPublicBuckets: true
Amazon S3 パブリックアクセスブロックは、AWS アカウント全体または個々の S3 バケットレベルでコントロールを提供し、オブジェクトがパブリックアクセスを決して持たないように設計されています。パブリックアクセスは、アクセスコントロールリスト (ACL)、バケットポリシー、またはその両方からバケットおよびオブジェクトに付与されます。
S3 バケットをパブリックにアクセスできるようにする場合を除き、アカウントレベルの Amazon S3 ブロックパブリックアクセス機能を設定する必要があります。
詳細については、Amazon Simple Storage Service 開発者ガイド の「Amazon S3 ブロックパブリックアクセスの使用」を参照してください。
Note
このコントロールは、次のリージョンではサポートされていません。
• アフリカ (ケープタウン)• ヨーロッパ (ミラノ)
256
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
• 中東 (バーレーン)
修復
Amazon S3 ブロックパブリックアクセスを有効にするには
1. https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。2. [Block public access (account settings) (ブロックパブリックアクセス (アカウント設定))] を選択しま
す。3. [Block all public access (すべてのパブリックアクセスをブロック)] を選択します。4. [Save changes] を選択します。
詳細については、Amazon Simple Storage Service 開発者ガイド の「Amazon S3 ブロックパブリックアクセスの使用」を参照してください。
[S3.2] S3 バケットではパブリック読み取りアクセスを禁止する必要がありますカテゴリ: 保護 - セキュアなネットワーク構成
重要度: 非常事態
リソース: S3 バケット
AWS Config ルール: s3-bucket-public-read-prohibited
パラメータ: なし
このコントロールは、S3 バケットがパブリック読み取りアクセスを許可するかどうかをチェックします。これにより、ブロックパブリックアクセス設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を確認します。
ユースケースによっては、インターネット上の全員が S3 バケットから読み取れる必要があります。しかし、そのような状況はまれです。データの整合性とセキュリティを確保するために、S3 バケットをパブリックに読み取り可能にしないでください。
修復
S3 バケットに対するパブリックアクセスを削除するには
1. https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。2. CloudTrail ログが保存されているバケットの名前を選択します。3. [アクセス許可] を選択し、[Public access settings (パブリックアクセス設定)] を選択します。4. [Edit] を選択します。5. 4 つすべてのオプションを選択し、[保存] を選択します。6. プロンプトが表示されたら、確認を入力し、[確認] を選択します。
[S3.3] S3 バケットはパブリック書き込みアクセスを禁止する必要がありますカテゴリ: 保護 - セキュアなネットワーク構成
重要度: 非常事態
257
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
リソース: S3 バケット
AWS Config ルール: s3-bucket-public-write-prohibited
パラメータ: なし
このコントロールは、S3 バケットがパブリック書き込みアクセスを許可するかどうかをチェックします。これにより、ブロックパブリックアクセス設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を確認します。
ユースケースによっては、インターネット上の全員が S3 バケットに書き込むことができる必要があります。しかし、そのような状況はまれです。データの整合性とセキュリティを確保するため、S3 バケットはパブリックに書き込み可能にしないでください。
修復
S3 バケットに対するパブリックアクセスを削除するには
1. https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。2. CloudTrail ログが保存されているバケットの名前を選択します。3. [アクセス許可] を選択し、[Public access settings (パブリックアクセス設定)] を選択します。4. [Edit] を選択します。5. 4 つすべてのオプションを選択し、[保存] を選択します。6. プロンプトが表示されたら、確認を入力し、[確認] を選択します。
[S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要がありますカテゴリ: 保護 - データ保護 - 保管中のデータの暗号化
重大度: 中
リソース: S3 バケット
AWS Config ルール: s3-bucket-server-side-encryption-enabled
パラメータ: なし
このコントロールは、S3 バケットで Amazon S3 のデフォルトの暗号化が有効になっていること、またはS3 バケットポリシーでサーバー側の暗号化なしの put-object リクエストを明示的に拒否することを確認します。
S3 バケット内の機密データのセキュリティを強化するには、サーバー側の暗号化を使用してバケットを設定し、保管中のデータを保護する必要があります。Amazon S3 は、一意のキーで各オブジェクトを暗号化します。追加の安全策として、キー自体を定期的に更新するマスターキーで暗号化します。AmazonS3 サーバー側の暗号化は、利用可能な最も強力なブロック暗号の 1 つである 256 ビットの AdvancedEncryption Standard (AES-256) を使用してデータを暗号化します。
詳細については、Amazon Simple Storage Service 開発者ガイド の「Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。
修復
S3 バケットのデフォルト暗号化を有効にする
1. https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。2. リストからバケットを選択します。
258
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
3. [プロパティ] を選択します。4. [Default encryption (デフォルト暗号化)] を選択します。5. 暗号化には、[AES-256] または [AWS-KMS] のいずれかを選択します。
• Amazon S3 によって管理されるキーをデフォルト暗号化に使用するには、[AES-256] を選択します。Amazon S3 サーバー側の暗号化を使用してデータを暗号化する方法の詳細については、「Amazon Simple Storage Service 開発者ガイド」を参照してください。
• AWS KMS によって管理されるキーをデフォルト暗号化に使用するには、[AWS-KMS] を選択します。次に、作成したマスターキーのリストから AWS KMS マスターキーを選択します。
使用する AWS KMS キーの Amazon リソースネーム (ARN) を入力します。AWS KMS キーの ARNは、IAM コンソールの [Encryption keys (暗号化キー)] の下にあります。または、ドロップダウンリストからキー名を選択します。
Important
デフォルト暗号化設定に AWS KMS オプションを使用する場合、AWS KMS の RPS (1秒あたりのリクエスト) のクォータが適用されます。AWS KMS クォータの詳細およびクォータの引き上げをリクエストする方法については、「AWS Key Management ServiceDeveloper Guide」を参照してください。
AWS KMS キーの作成の詳細については、「AWS Key Management Service Developer Guide」を参照してください。
AWS KMS を Amazon S3 と組み合わせて使用する方法の詳細については、「Amazon SimpleStorage Service 開発者ガイド」を参照してください。
デフォルト暗号化を有効にする際、バケットポリシーの更新が必要な場合があります。バケットポリシーからデフォルトの暗号化への移行の詳細については、「Amazon Simple Storage Service 開発者ガイド」を参照してください。
6. [Save] を選択します。
デフォルトの S3 バケット暗号化の詳細については、「Amazon Simple Storage Service コンソールユーザーガイド」を参照してください。
[SSM.1] EC2 インスタンスは AWS Systems Manager によって管理される必要がありますカテゴリ: 識別 - インベントリ
重大度: 中
リソース: EC2 インスタンス
AWS Config ルール: ec2-instance-managed-by-systems-manager
パラメータ: なし
このコントロールは、アカウントの EC2 インスタンスが AWS Systems Manager によって管理されているかどうかをチェックします。Systems Manager は、AWS インフラストラクチャの表示と制御に使用できる AWS のサービスです。
セキュリティとコンプライアンスを維持するために、Systems Manager はマネージドインスタンスをスキャンします。マネージドインスタンスは、Systems Manager で使用するように設定されているマシンです。Systems Manager は、検出されたポリシー違反に対してレポートまたは修正アクションを実行します。Systems Manager は、マネージドインスタンスの設定と保守にも役立ちます。
259
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
詳細については、「AWS Systems Manager ユーザーガイド」を参照してください。
修復
EC2 インスタンスが Systems Manager に管理されるようにするには
1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。
2. [Quick setup (クイック設定)] を選択します。3. 設定画面で、デフォルトのオプションをそのまま使用します。4. [Set up Systems Manage (システムマネージャーの設定)] を選択します。
インスタンスが Systems Manager 関連付けをサポートしているかどうかを判断するには、AWS SystemsManager ユーザーガイド の「Systems Manager の前提条件」を参照してください。
[SSM.2] Systems Manager によって管理されるすべての EC2 インスタンスは、パッチ適用要件に準拠している必要があります。カテゴリ: 検出 - 検出サービス
重大度: 中
リソース: SSM パッチコンプライアンス
AWS Config ルール: ec2-managedinstance-patch-compliance-status-check
パラメータ: なし
このコントロールは、インスタンスのパッチインストール実行後、Amazon EC2 Systems Manager パッチコンプライアンスのコンプライアンスステータスが COMPLIANT と NON_COMPLIANT のどちらかを確認します。Systems Manager パッチマネージャーによって管理されているインスタンスのみがチェックされます。
組織の要求に応じて EC2 インスタンスに完全にパッチを適用すると、AWS アカウントの攻撃対象が軽減されます。
Note
このコントロールは、次のリージョンではサポートされていません。
• アフリカ (ケープタウン)• ヨーロッパ (ミラノ)• 中東 (バーレーン)
修復
非準拠のパッチを修正するには
1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。
2. [Instances & Nodes (インスタンスとノード)] で、[Run Command (コマンドを実行)] を選択し、[Runcommand (コマンドを実行)] を選択します。
3. [AWS-RunPatchBaseline] の横にあるボタンを選択します。4. [Operation (オペレーション)] を [Install (インストール)] に変更します。
260
AWS Security Hub ユーザーガイドAWS の基本的なセキュリティのベストプラクティスコントロール
5. [Choose instances manually (インスタンスを手動で選択)] を選択し、非準拠のインスタンスを選択します。
6. ページの最下部で [Run (実行)] を選択します。7. コマンドが完了したら、パッチを適用したインスタンスの新しいコンプライアンスステータスをモニ
タリングするには、ナビゲーションペインで [Compliance (コンプライアンス)] を選択します。
Systems Manager ドキュメントを使用してマネージドインスタンスにパッチを適用する方法の詳細については、AWS Systems Manager ユーザーガイド の「インスタンスにパッチを適用するための SSM ドキュメントについて」および「Systems Manager Run command を使用したコマンドの実行」を参照してください。
261
AWS Security Hub ユーザーガイドCloudTrail 内の Security Hub 情報
AWS CloudTrail による AWS SecurityHub API コールのログ記録
AWS Security Hub は AWS CloudTrail と統合されています。このサービスは、Security Hub のユーザー、ロール、または AWS サービスによって実行されたアクションを記録するサービスです。CloudTrailは、Security Hub の API 呼び出しをイベントとしてキャプチャします。キャプチャされた呼び出しには、Security Hub コンソールの呼び出しと、Security Hub API オペレーションへのコード呼び出しが含まれます。証跡を作成すると、Security Hub のイベントを含む、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [イベント履歴] で最新のイベントを表示できます。CloudTrail によって収集される情報を使用して、リクエストの作成元の IP アドレス、リクエストの実行者、リクエストの実行日時などの詳細を調べて、SecurityHub に対してどのようなリクエストが行われたかを判断できます。
CloudTrail の詳細(設定して有効にする方法など)については、『AWS CloudTrail User Guide』を参照してください。
CloudTrail 内の Security Hub 情報CloudTrail は、アカウント作成時に AWS アカウントで有効になります。Security Hub でサポートされるイベントアクティビティが発生すると、そのアクティビティは CloudTrail イベントとして AWS のサービスの他のイベントと共に [Event history (イベント履歴)] に記録されます。最近のイベントは、アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。
Security Hub のイベントなど、アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、証跡がすべての AWS リージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、より詳細な分析と AWS ログで収集されたデータに基づいた行動のためにその他の CloudTrail サービスを設定できます。詳細については、以下を参照してください。
• 証跡を作成するための概要• CloudTrail でサポートされるサービスと統合• CloudTrail の Amazon SNS 通知の設定• 「複数のリージョンから CloudTrail ログファイルを受け取る」および「複数のアカウントから
CloudTrail ログファイルを受け取る」
Security Hub は、すべての Security Hub API アクションを CloudTrail ログのイベントとしてログ記録するのをサポートします。Security Hub オペレーションのリストを表示するには、「Security Hub ;API リファレンス」を参照してください。
次のアクションのアクティビティが CloudTrail にとログ記録されると、responseElements の値はnull に設定されます。これにより、機密性の高い情報が CloudTrail ログに含まれることがなくなります。
• BatchImportFindings
• GetFindings
• GetInsights
262
AWS Security Hub ユーザーガイド例: Security Hub ログファイルエントリ
• GetMembers
• UpdateFindings
各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は以下のことを確認するのに役立ちます。
• リクエストが、ルートと AWS Identity and Access Management (IAM) ユーザー認証情報のどちらを使用して送信されたか
• リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか
• リクエストが、別の AWS サービスによって送信されたかどうか
詳細については、「CloudTrail userIdentity 要素」を参照してください。
例: Security Hub ログファイルエントリ証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できる設定です。CloudTrailログファイルには、1 つ以上のログエントリが含まれます。イベントは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
以下の例は、CloudTrail アクションの実例となる CreateInsight ログエントリを示しています。この例では、Test Insight というインサイトが作成されます。ResourceId 属性は、[Group by (グループ化の条件)] アグリゲータとして指定され、このインサイトに対するオプションのフィルタは指定されません。インサイトの詳細については、「AWS Security Hub のインサイト (p. 37)」を参照してください。
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDAJK6U5DS22IAVUI7BW", "arn": "arn:aws:iam::012345678901:user/TestUser", "accountId": "012345678901", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "TestUser" }, "eventTime": "2018-11-25T01:02:18Z", "eventSource": "securityhub.amazonaws.com", "eventName": "CreateInsight", "awsRegion": "us-west-2", "sourceIPAddress": "205.251.233.179", "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39", "requestParameters": { "Filters": {}, "ResultField": "ResourceId", "Name": "Test Insight" }, "responseElements": { "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055" }, "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066", "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf", "readOnly": false, "eventType": "AwsApiCall", "recipientAccountId": "012345678901"
263
AWS Security Hub ユーザーガイド例: Security Hub ログファイルエントリ
}
264
AWS Security Hub ユーザーガイドSecurity Hub との CloudWatch イベント 統合のタイプ
CloudWatch イベント による AWSSecurity Hub の自動化
Amazon CloudWatch Events を使用すると、AWS サービスを自動化して、アプリケーションの可用性の問題やリソースの変更などのシステムイベントに自動的に対応できます。AWS サービスからのイベントは、ほぼリアルタイムに CloudWatch イベント に提供されます。簡単なルールを記述して、注目しているイベントと、イベントがルールに一致した場合に自動的に実行するアクションを指定できます。自動的にトリガーできるオペレーションには、以下が含まれます。
• AWS Lambda 関数の呼び出し• Amazon EC2 Run Command の呼び出し• Amazon Kinesis Data Streams へのイベントの中継• AWS Step Functions ステートマシンのアクティブ化• Amazon SNS トピックまたは Amazon SQS キューの通知• サードパーティーのチケット発行、チャット、SIEM、またはインシデント対応および管理ツールに結果
を送信する
詳細については、「Amazon CloudWatch Events ユーザーガイド」を参照してください。
Note
ベストプラクティスとしては、ユーザーに CloudWatch イベント へのアクセスを許可するために最小権限 IAM ポリシーを使用していること、必要なアクセス許可のみを付与していることを確認します。詳細については、「Amazon CloudWatch Events に対する認証とアクセスコントロール」を参照してください。
Security Hub との CloudWatch イベント 統合のタイプ
Security Hub では、次の CloudWatch イベントタイプを使用して、CloudWatch イベント との次のタイプの統合がサポートされます。
Security Hub の CloudWatch イベント ダッシュボードの [すべてのイベント] には、これらのイベントタイプがすべて含まれています。
すべての結果 (Security Hub Findings - Imported)Security Hub は、すべての結果を Security Hub Findings - Imported イベントとして CloudWatch イベント に自動的に送信します。Security Hub Findings - Imported イベントは、BatchImportFindings とBatchUpdateFindings の両方からの更新によってトリガーされます。
結果を自動的にAmazon S3 バケット、修復ワークフロー、またはサードパーティーツールにルーティングするルールを CloudWatch イベント で定義することができます。
265
AWS Security Hub ユーザーガイドカスタムアクションの結果 (Security
Hub Findings - Custom Action)
このメソッドを使用して、すべての結果、または固有の特徴があるすべての結果をレスポンスまたは修復ワークフローに自動的に送信します。
「the section called “自動的に CloudWatch イベント に送信される Security Hub 結果に CloudWatch イベント ルールを設定する” (p. 267)」を参照してください。
カスタムアクションの結果 (Security Hub Findings -Custom Action)Security Hub は、カスタムアクションに関連付けられた結果も Security Hub Findings - Custom Action イベントとして CloudWatch イベント に送信します。
これは、特定の結果、または小さい一連の結果をレスポンスまたは修復ワークフローに送信する、Security Hub コンソールを操作しているアナリストに役立ちます。一度に最大 20 件の結果に対してカスタムアクションを選択できます。結果のセットは、単一の CloudWatch イベントとして CloudWatchに送信されます。
カスタムアクションを作成するときは、カスタムアクションにカスタムアクションの ID を指定します。カスタムアクション ID を使用して、CloudWatch イベント に、カスタムアクション ID に関連付けられた結果が受信されたときに実行する特定のアクションを定義するルールを作成できます。
「the section called “カスタムアクションを作成し、CloudWatch イベント ルールに関連付ける” (p. 267)」を参照してください。
たとえば、Security Hubで send_to_ticketing というカスタムアクションを作成できます。次にCloudWatch イベント で、CloudWatch イベント が send_to_ticketing カスタムアクション ID を含む結果を受信したときにトリガーされるルールを作成します。ルールには、結果をチケット発行システムに送信するロジックが含まれています。次に、Security Hub 内で結果を選択して Security Hub でカスタムアクションを使用して、手動で結果をチケット発行システムに送信できます。
Security Hub の結果を追加の処理のために CloudWatch イベント に送信する方法の例については、AWSパートナーネットワーク (APN) ブログの「AWS Security Hub カスタムアクションと PagerDuty を統合する方法」および「AWS Security Hub でカスタムアクションを有効化する方法」を参照してください。
カスタムアクションのインサイト結果 (Security HubInsight Results)カスタムアクションを使用して一連のインサイト結果を Security Hub Insight Results イベントとしてCloudWatch イベント に送信することもできます。インサイト結果は、インサイトに関連付けられた一連のリソースです。インサイト結果を CloudWatch イベント に送信する場合、結果を CloudWatch イベントに送信しないことに注意してください。インサイト結果に関連付けられたリソース識別子のみを送信しています。一度に最大 100 個のリソース識別子を送信できます。
結果に対するカスタムアクションと同様に、Security Hub でカスタムアクションを作成してから、CloudWatch イベント でルールを作成します。
「the section called “カスタムアクションを作成し、CloudWatch イベント ルールに関連付ける” (p. 267)」を参照してください。
たとえば、関心のある特定のインサイト結果が表示され、その結果を同僚と共有する場合は、カスタムアクションを使用して、チャットまたはチケットシステム経由で、そのインサイト結果を同僚に送信できます。
266
AWS Security Hub ユーザーガイド自動的に CloudWatch イベント に送信される SecurityHub 結果に CloudWatch イベント ルールを設定する
自動的に CloudWatch イベント に送信されるSecurity Hub 結果に CloudWatch イベント ルールを設定する
Security Hub Findings - Imported イベントを受信したときに実行するアクションを定義するルールを CloudWatch イベント で作成できます。Security Hub Findings - Imported イベントは、BatchImportFindings と BatchUpdateFindings の両方からの更新によってトリガーされます。
Security Hub 結果に CloudWatch イベント ルールを作成するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. ナビゲーションペインで [ルール] を選択します。3. [Create rule] を選択します。4. [イベントソース] で、[イベントパターン] が選択されていることを確認します。5. [イベントパターンのプレビュー] の [編集] を選択します。6. 次のパターン例をコピーし、プレビューウィンドウに貼り付けます。必ず既存のかっこを置き換えて
ください。
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ]}
7. [保存] をクリックして、ウィンドウを閉じます。8. [ターゲットの追加] を選択し、このルールが一致した場合に呼び出すターゲットを選択します。
選択したターゲットの設定を構成する必要がある場合があります。
カスタムアクションを作成し、CloudWatch イベント ルールに関連付ける
Security Hub カスタムアクションを使用して結果またはインサイト結果を CloudWatch イベント に送信するには、最初にカスタムアクションを Security Hub で作成してから、CloudWatch イベント でルールを定義します。
CloudWatch イベント のルールでは、カスタムアクションの ARN が使用されます。
Security Hub でカスタムアクションを作成するには
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. ナビゲーションペインで、[設定] を選択し、[カスタムアクション] を選択します。3. [カスタムアクションの作成] を選択します。4. アクションの [名前]、[説明]、および [カスタムアクション ID] を指定します。
[名前] は 20 文字未満である必要があります。
267
AWS Security Hub ユーザーガイドカスタムアクションを作成し、CloudWatch
イベント ルールに関連付ける
AWS アカウントごとの [カスタムアクション ID] は一意である必要があります。5. [カスタムアクションの作成] を選択します。6. [カスタムアクション ARN] を書き留めます。この ARN は、CloudWatch イベント でこのアクション
に関連付けるルールを作成するときに使用する必要があります。
CloudWatch イベント でルールを定義するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. ナビゲーションペインで [ルール] を選択します。3. [Create rule] を選択します。4. [イベントソース] で、[イベントパターン] が選択されていることを確認します。5. [イベントパターンのプレビュー] の [編集] を選択します。6. 次のいずれかのパターン例をコピーし、プレビューウィンドウに貼り付けます。必ず既存のかっこを
置き換えてください。
カスタム検索アクション (Security Hub Findings - Custom Action イベントタイプ) に関連付けられたイベントの場合は、次の形式を使用します。プレースホルダ ARN を作成したカスタムアクションの[カスタムアクション ARN] に置き換えます。
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "arn:aws:securityhub:us-west-2:123456789012:action/custom/test-action1" ]}
インサイトカスタムアクション(Security Hub Insight Results イベントタイプ)に関連付けられたイベントの場合、次の形式を使用します。プレースホルダ ARN を作成したカスタムアクションの [カスタムアクション ARN] に置き換えます。
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "arn:aws:securityhub:us-west-2:123456789012:action/custom/test-action1" ]}
7. [保存] をクリックして、ウィンドウを閉じます。8. [ターゲットの追加] を選択してから、このルールが一致した場合に呼び出すターゲットを選択しま
す。9. [Configure details] を選択します。10. ルールの名前と説明を入力します。
今すぐルールを有効にするには、[状態] で [有効] を選択します。ルールを有効にせずに保存するには、[有効] をクリアします。
268
AWS Security Hub ユーザーガイドSecurity Hub での CloudWatch イベント の形式
11. [Create rule] を選択します。
CloudWatch イベント でこのルールが作成された後、アカウントで検索またはインサイトの結果に対してカスタムアクションを実行するとき、CloudWatch イベント でイベントが生成されます。
Security Hub での CloudWatch イベント の形式Security Hub Findings - Imported、Security Findings - Custom Action、Security Hub Insight Results イベントタイプの CloudWatch イベントでは、次の形式を使用します。
Security Hub Findings - ImportedSecurity Hub Findings - Imported イベントタイプの CloudWatch イベントは次の形式です。
{ "version":"0", "id":"CWE-event-id", "detail-type":"Security Hub Findings - Imported", "source":"aws.securityhub", "account":"111122223333", "time":"2019-04-11T21:52:17Z", "region":"us-west-2", "resources":[ "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841" ], "detail":{ "findings”: [AMAZON_FINDING_JSON] }}
AMAZON_FINDING_JSON に含まれるパラメータの詳細なリストについては、「AWS Security Finding 形式 (p. 54)」を参照してください。
Security Hub Findings - Custom ActionSecurity Hub Findings - Custom Action イベントタイプの CloudWatch イベントは次の形式です。
{ "version": "0", "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555", "detail-type": "Security Hub Findings - Custom Action", "source": "aws.securityhub", "account": "111122223333", "time": "2019-04-11T18:43:48Z", "region": "us-west-1", "resources": [ "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name" ], "detail": { "actionName":"custom-action-name", "actionDescription": "description of the action", "findings": [AMAZON_FINDING_JSON for each specified finding] }}
269
AWS Security Hub ユーザーガイドSecurity Hub Insight Results
AMAZON_FINDING_JSON に含まれるパラメータの詳細なリストについては、「AWS Security Finding 形式 (p. 54)」を参照してください。
Security Hub Insight ResultsSecurity Hub Insight Results イベントタイプの CloudWatch イベント イベントの形式は次のとおりです。
{ "version": "0", "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555", "detail-type": "Security Hub Insight Results", "source": "aws.securityhub", "account": "111122223333", "time": "2017-12-22T18:43:48Z", "region": "us-west-1", "resources": [ "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841" ], "detail": { "actionName":"name of the action", "actionDescription":"description of the action", "insightArn":"ARN of the insight", "insightName":"Name of the insight", "resultType":"ResourceAwsIamAccessKeyUserName", "number of results":"number of results, max of 100", "insightResults": [ {"result 1": 5}, {"result 2": 6} ] }}
カスタムアクションを使用して Security Hub の検出結果を CloudWatch イベント に送信する
1 つ以上の Security Hub カスタムアクションと CloudWatch イベント ルールを作成した後、検出結果とインサイトの結果を CloudWatch イベント に送信して、さらに管理および処理することができます。
イベントは、そのイベントが表示されているアカウントでのみ、CloudWatch イベント に送信されます。マスターアカウントを使用して調査結果を表示している場合、イベントはマスターアカウントのCloudWatch イベント に送信されます。
AWS API コールを有効にするために、ターゲットコードの実装では、ロールをメンバーアカウントに切り替える必要があります。これは、切り替えが必要なロールを、アクションが必要な各メンバーにデプロイする必要があることも意味します。
検出結果を CloudWatch イベント に送信するには
1. Security Hub コンソールで、[Findings (検出結果)] を選択します。2. [Findings (検出結果)] ページで、CloudWatch イベント に送信する 1 件以上の検出結果を選択しま
す。一度に最大 20 件の検出結果を選択できます。3. [Actions (アクション)] ドロップダウンから、適用する CloudWatch イベント ルールに合うカスタムア
クションを選択します。
成功すると、「Successfull sent findings to Amazon CloudWatch Events (検出結果を AmazonCloudWatch Events に送信しました)」というメッセージが表示されます。
270
AWS Security Hub ユーザーガイドカスタムアクションを使用して Security Hub の
検出結果を CloudWatch イベント に送信する
インサイト結果を CloudWatch イベント に送信するには
1. Security Hub コンソールで、[Insights (インサイト)] を選択します。2. [Insights (インサイト)] ページで、CloudWatch イベント に送信する検出結果を含むインサイトを選択
します。3. インサイトから、CloudWatch イベント に送信する検出結果を選択します。一度に最大 20 件の検出
結果を選択できます。4. [アクション] で、適用する CloudWatch イベント ルールに合うカスタムアクションを選択します。
成功すると、「Successfull sent findings to Amazon CloudWatch Events (検出結果を AmazonCloudWatch Events に送信しました)」というメッセージが表示されます。
271
AWS Security Hub ユーザーガイド
AWS Security Hub の無効化AWS Security Hub を無効にするには、Security Hub コンソールまたは Security Hub API のDisableSecurityHub オペレーションを使用できます。
Security Hub を無効にすると、以下のようになります。
• 90 日後、既存の検出結果とインサイト、および Security Hub の構成設定は削除され、回復できなくなります。
既存の結果を保存する場合は、Security Hub を無効にする前にそれらをエクスポートする必要があります。詳細については、「Security Hub でのアカウントとデータ保持 (p. 35)」を参照してください。
• 有効な標準はすべて無効になります。• マスターアカウントとメンバーアカウントの関係が削除されます。
Security Hub を無効にするには (コンソール)
1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。2. ナビゲーションペインで [Settings] の [General] を選択します。3. [AWS Security Hub の無効化] を選択し、もう一度 [AWS Security Hub の無効化] を選択します。
アカウントの Security Hub を無効にすると、現在のリージョンでのみ無効になります。そのリージョンにあるアカウントの新しい結果は処理されません。
272
AWS Security Hub ユーザーガイド
AWS Security Hub ユーザーガイドのドキュメント履歴
以下の表は、AWS Security Hub のドキュメントに対する更新について説明します。
update-history-change update-history-description update-history-date
新しい AWS の基本的なセキュリティのベストプラクティス標準
新しい AWS の基本的なセキュリティのベストプラクティス標準を追加しました。これは、デプロイされたアカウントとリソースがセキュリティのベストプラクティスから逸脱したことを検出する一連のコントロールです。
April 22, 2020
結果のためのワークフローの状態を更新するための新しいコンソールオプション
Security Hub コンソールまたはAPI を使用して結果のワークフローステータスを設定するための情報を追加しました。
April 16, 2020
結果のお客様の更新による新しい BatchUpdateFindings API
BatchUpdateFindings を使用して結果の調査プロセスに関連する情報を更新する方法についての情報を追加しました。BatchUpdateFindings はUpdateFindings に置き換えられますが 、これは非推奨です。
April 16, 2020
AWS Security Finding 形式(ASFF) の更新
いくつかの新しいリソースタイプが追加されました。Severityオブジェクトに新しい Label 属性が追加されました。Label はNormalized フィールドを置き換えることを目的としています。検出結果の調査プロセスを追跡する新しい Workflow オブジェクトが追加されました。Workflowには、既存の Workflowstate属性を置き換える Status 属性が含まれています。
March 12, 2020
[統合] ページの更新 [統合] ページに対する変更を反映するように更新されました。統合ごとに、このページには統合カテゴリが表示され、各統合がSecurity Hub に対して検出結果を送信するか受信するかが示されています。また、各統合を有効にするために必要な特定の手順も示されています。
February 26, 2020
273
AWS Security Hub ユーザーガイド
新しいサードパーティー製品の統合
新しい製品統合としてCloud Custodian、FireEyeHelix、ForcepointCASB、ForcepointDLP、ForcepointNGFW、Rackspace Cloud NativeSecurity、Vectra.ai Cognito が追加されました。
February 21, 2020
Payment Card Industry DataSecurity Standard (PCI DSS) の新しいセキュリティ標準
Payment Card Industry DataSecurity Standard (PCI DSS) にSecurity Hub セキュリティ標準を追加しました。この標準が有効な場合、Security Hub は PCI DSSの要件に関連するコントロールに対して自動チェックを実行します。
February 13, 2020
AWS Security Finding 形式(ASFF) の更新
標準コントロールの関連要件のフィールドを追加しました。新しいリソースタイプと新しいリソースの詳細を追加しました。ASFFでは、最大 32 のリソースを指定できるようになりました。
February 5, 2020
個々のセキュリティ標準コントロールを無効にする新しいオプション
個々のセキュリティ標準コントロールを有効にするかどうかを制御する方法に関する情報が追加されました。
January 15, 2020
用語と概念の更新 一部の説明を更新し、「用語と概念」に新しい用語を追加しました。
September 21, 2019
AWS Security Hub の一般公開リリース (p. 273)
プレビュー期間中にSecurity Hubに加えられた機能拡張を反映するためにコンテンツを更新します。
June 25, 2019
CIS AWS Foundations チェックの修復手順を追加しました
AWS Security Hub でサポートされているセキュリティ標準に修復手順を追加しました。
April 15, 2019
AWS Security Hub のプレビューリリース (p. 273)
AWS Security Hub ユーザーガイドのプレビューリリースバージョンを公開しました。
November 18, 2018
274
![[AWS Summit 2012] ソリューションセッション#4 AWS: Overview of Security Processes](https://img.pdfslide.tips/doc/110x75/558d2582d8b42a21638b45d7/aws-summit-2012-4-aws-overview-of-security-processes.jpg)
![[AWS初心者向けWebinar] 利用者が実施するAWS上でのセキュリティ対策](https://img.pdfslide.tips/doc/110x75/5871d26f1a28ab423c8b5ea3/awswebinar-aws-58be10c9ae65c.jpg)
