Security Hub ポリシー - AWS Organizations
主な特徴と利点Security Hub ポリシーとはSecurity Hub ポリシーの仕組み用語Security Hub ポリシーのユースケースポリシーの継承と適用ポリシー検証リージョン関連の考慮事項とサポートされているリージョン次のステップ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub ポリシー

AWS Security Hub CSPM ポリシーは、セキュリティチームが AWS Organizations 全体でセキュリティ設定を管理するための一元的なアプローチを提供します。これらのポリシーの活用により、一元的な設定メカニズムを通じて一貫したセキュリティコントロールを確立および維持できます。この統合により、組織のセキュリティ要件に沿ったポリシーを作成してそれらをすべてのアカウントと組織単位 (OU) に一元的に適用し、セキュリティカバレッジのギャップを解消することができます。

Security Hub ポリシーは AWS Organizations と完全に統合されているため、管理アカウントまたは委任管理者はセキュリティ設定を定義して適用できます。アカウントが組織に参加すると、そのアカウントが組織階層内のどの場所にあるかに基づいて、該当するポリシーが自動的に継承されます。これにより、組織の成長に合わせてセキュリティ標準を一貫した形で適用できます。このポリシーは、既存の組織構造を尊重し、重要なセキュリティ設定を一元的に管理しながら、セキュリティ設定の分散方法に柔軟性をもたせます。

主な特徴と利点

Security Hub ポリシーは、AWS 組織全体のセキュリティ設定を管理および適用するのに役立つ包括的な機能セットを提供します。これらの機能により、マルチアカウント環境を一貫した方法で制御しながら、セキュリティ管理を効率化することができます。

  • 組織内のアカウントとリージョン全体で一元的に Security Hub を有効化する

  • 全ての アカウントと OU に対するセキュリティ設定を定義するセキュリティポリシーを作成する

  • 新しいアカウントが組織に参加するときに、セキュリティ設定を自動的に適用する

  • 組織全体で一貫したセキュリティ設定を確保する

  • メンバーアカウントが組織レベルのセキュリティ設定を変更できないようにする

Security Hub ポリシーとは

Security Hub ポリシーとは、組織のアカウント全体のセキュリティ設定を一元的に制御する AWS Organizations ポリシーです。これらのポリシーは、AWS Organizations とシームレスに連携することで、マルチアカウント環境全体で一貫したセキュリティ標準を確立して維持することを可能にします。

Security Hub ポリシーを実装することで、組織全体で自動的に伝達される特定のセキュリティ設定を定義できるようになります。これにより、新しく作成されるアカウントを含むすべてのアカウントを、組織のセキュリティ要件およびベストプラクティスと整合化することができます。

さらにこれらのポリシーは、一貫したセキュリティコントロールを適用し、個々のアカウントが組織レベルのセキュリティ設定を変更できないようにすることで、コンプライアンスの維持にも役立ちます。この一元化されたアプローチにより、大規模で複雑な AWS 環境全体でセキュリティ設定を管理するための管理オーバーヘッドを大幅に削減できます。

Security Hub ポリシーの仕組み

Security Hub ポリシーを組織または組織単位にアタッチすると、AWS Organizations が自動的にポリシーを評価し、定義される範囲に基づいてポリシーを適用します。ポリシーの適用プロセスは、特定の競合解決ルールに従います。

リージョンが有効化リストと無効化リストの両方に表示される場合、無効化設定が優先されます。例えば、特定のリージョンが有効設定と無効設定の両方にリストされている場合、Security Hub はそのリージョンでは無効になります。

ALL_SUPPORTED を指定して有効化すると、明示的に無効化されていうない限り、Security Hub は現在および将来のすべてのリージョンで有効になります。これにより、AWS が新しいリージョンに拡大しても包括的なセキュリティカバレッジを維持できます。

子ポリシーは、継承演算子を使用して親ポリシー設定を変更できるため、さまざまな組織レベルできめ細かなコントロールを可能にします。この階層的アプローチにより、特定の組織単位がベースラインコントロールを維持しながらそれぞれのセキュリティ設定をカスタマイズできるようになります。

用語

このトピックでは、Security Hub ポリシーについて説明するときに、以下の用語を使用します。

Security Hub ポリシーの用語
用語 定義
有効なポリシー 継承されたすべてのポリシーを結合した後にアカウントに適用される最後のポリシー。
ポリシーの継承 アカウントが親組織単位からポリシーを継承するプロセス。
委任された管理者 組織を代表して Security Hub ポリシーを管理するよう指名されるアカウント。
サービスリンクロール Security Hub と他の AWS サービスとのやり取りを可能にする IAM ロール。

Security Hub ポリシーのユースケース

Security Hub ポリシーは、マルチアカウント環境におけるよくあるセキュリティ管理の課題に対処します。次のユースケースは、組織が通常、セキュリティ体制の強化のためにこれらのポリシーを実装する方法を示します。

ユースケースの例: リージョン別コンプライアンス要件

多国籍企業では、地理的リージョンごとに異なる Security Hub 設定が必要となります。ALL_SUPPORTED を使用してすべてのリージョンで Security Hub を有効にする親ポリシーを作成したうえで、子ポリシーを使用して異なるセキュリティコントロールが必要な特定のリージョンを無効にします。これにより、包括的なセキュリティカバレッジを確保しながら、リージョン固有の規制に対するコンプリアンスを維持できます。

ユースケースの例: 開発チームのセキュリティ標準

あるソフトウェア開発組織は、Security Hub ポリシーを実装することで、各開発リージョンをアンマネージド状態に維持しながら本番稼働用リージョンでのモニタリングを可能にしています。ポリシー内で ALL_SUPPORTED ではなく明示的なリージョンリストを使用することで、セュリティモニタリングカバレッジを精密に管理しています。このアプローチにより、開発領域の柔軟性を維持しながら、本番環境にはより厳格なセキュリティコントロールを適用できます。

ポリシーの継承と適用

組織全体で効果的なセキュリティ管理を行うには、ポリシーの継承方法と適用方法を理解することが不可欠です。継承モデルは、AWS Organizations 階層に従うことで、予測可能かつ一貫性のあるポリシーの適用を保証します。

  • ルートレベルでアタッチされたポリシーはすべてのアカウントに適用されます

  • 親組織単位から各アカウントへのポリシー継承

  • 複数のポリシーを単一のリソースに適用できます。

  • より具体的なポリシー (階層内でそのアカウントにより近いもの) が優先されます

ポリシー検証

Security Hub ポリシーを作成すると、以下の検証が実行されます。

  • リージョン名が有効な AWS リージョン識別子であること

  • リージョンが Security Hub でサポートされていること

  • ポリシー構造が AWS Organizations ポリシー構文ルールに従っていること

  • enable_in_regionsdisable_in_regions の両方のリストが存在していること (リストは空であっても可です)

リージョン関連の考慮事項とサポートされているリージョン

Security Hub ポリシーは複数のリージョンで動作するため、グローバルセキュリティ要件を慎重に検討する必要があります。リージョン別の動作を理解することで、組織のグローバルフットプリント全体で効果的なセキュリティコントロールを実装できます。

  • ポリシーの適用は各リージョンで個別に行われます

  • ポリシーに含めるリージョンおよび除外するリージョンを指定できます。

  • ALL_SUPPORTED オプションを使用すると、将来発生するすべての新しいリージョンが自動的に含まれます。

  • ポリシーは、Security Hub が利用可能なリージョンにのみ適用されます。

次のステップ

Security Hub の使用を開始するには:

  1. 「Security Hub ポリシーの開始方法」に記載される前提条件を確認します

  2. ベストプラクティスガイドを参照してポリシー戦略を計画します

  3. ポリシーの構文について学習し、ポリシー例を確認します