Security Hub ポリシー - AWS Organizations
主な特徴と利点Security Hub ポリシーとはSecurity Hub ポリシーの仕組み用語Security Hub ポリシーのユースケースポリシーの継承と適用ポリシー検証リージョンに関する考慮事項とサポートされているリージョン次のステップ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub ポリシー

AWS Security Hub ポリシーは、セキュリティチーム全体でセキュリティ設定を管理するための一元的なアプローチを提供します AWS Organizations。これらのポリシーを活用することで、一元的な設定メカニズムを通じて一貫したセキュリティコントロールを確立および維持できます。この統合により、組織のセキュリティ要件に沿ったポリシーを作成し、アカウントと組織単位 (OUs) 全体に一元的に適用することで、セキュリティカバレッジのギャップに対処できます。

Security Hub ポリシーは と完全に統合されているため AWS Organizations、管理アカウントまたは委任された管理者がセキュリティ設定を定義して適用できます。アカウントが組織に参加すると、組織階層内の場所に基づいて、該当するポリシーが自動的に継承されます。これにより、組織の成長に合わせてセキュリティ標準が一貫して適用されます。このポリシーは、既存の組織構造を尊重し、重要なセキュリティ設定を一元的に制御しながら、セキュリティ設定の分散方法に柔軟性を提供します。

主な特徴と利点

Security Hub ポリシーは、 AWS 組織全体のセキュリティ設定を管理および適用するのに役立つ包括的な機能セットを提供します。これらの機能は、マルチアカウント環境を一貫して制御しながら、セキュリティ管理を合理化します。

  • 組織内のアカウントとリージョン全体で Security Hub を一元的に有効にする

  • アカウントと OUs

  • 新しいアカウントが組織に参加するときに、セキュリティ設定を自動的に適用する

  • 組織全体で一貫したセキュリティ設定を確保する

  • メンバーアカウントが組織レベルのセキュリティ設定を変更できないようにする

Security Hub ポリシーとは

Security Hub ポリシーは、組織のアカウント全体のセキュリティ設定を一元的に制御する AWS Organizations ポリシーです。これらのポリシーは とシームレスに連携 AWS Organizations し、マルチアカウント環境全体で一貫したセキュリティ標準を確立して維持するのに役立ちます。

Security Hub ポリシーを実装すると、組織全体に自動的に伝達される特定のセキュリティ設定を定義できるようになります。これにより、新しく作成されたアカウントを含むすべてのアカウントが、組織のセキュリティ要件とベストプラクティスと一致します。

これらのポリシーは、一貫したセキュリティコントロールを適用し、個々のアカウントが組織レベルのセキュリティ設定を変更できないようにすることで、コンプライアンスを維持するのにも役立ちます。この一元化されたアプローチにより、大規模で複雑な AWS 環境全体でセキュリティ設定を管理するための管理オーバーヘッドが大幅に削減されます。

Security Hub ポリシーの仕組み

Security Hub ポリシーを組織または組織単位にアタッチすると、 AWS Organizations は自動的にポリシーを評価し、定義した範囲に基づいてポリシーを適用します。ポリシーの適用プロセスは、特定の競合解決ルールに従います。

有効リストと無効リストの両方にリージョンが表示される場合、無効設定が優先されます。例えば、リージョンが有効設定と無効設定の両方にリストされている場合、Security Hub はそのリージョンで無効になります。

を有効にするために ALL_SUPPORTEDを指定すると、明示的に無効になっていない限り、Security Hub は現在および将来のすべてのリージョンで有効になります。これにより、 が新しいリージョンに AWS 拡大するにつれて、包括的なセキュリティカバレッジを維持できます。

子ポリシーは、継承演算子を使用して親ポリシー設定を変更できるため、さまざまな組織レベルで詳細に制御できます。この階層的アプローチにより、特定の組織単位がベースラインコントロールを維持しながらセキュリティ設定をカスタマイズできるようになります。

用語

このトピックでは、Security Hub ポリシーについて説明するときに、次の用語を使用します。

Security Hub ポリシーの用語
用語 定義
有効なポリシー 継承されたすべてのポリシーを結合した後にアカウントに適用される最後のポリシー。
ポリシーの継承 アカウントが親組織単位からポリシーを継承するプロセス。
委任管理者 組織に代わって Security Hub ポリシーを管理するために指定されたアカウント。
サービスリンクロール Security Hub が他の AWS サービスとやり取りできるようにする IAM ロール。

Security Hub ポリシーのユースケース

Security Hub ポリシーは、マルチアカウント環境における一般的なセキュリティ管理の課題に対処します。次のユースケースは、組織が通常これらのポリシーを実装してセキュリティ体制を強化する方法を示しています。

ユースケースの例: リージョンのコンプライアンス要件

多国籍企業には、地理的リージョンごとに異なる Security Hub 設定が必要です。を使用してすべてのリージョンで Security Hub を有効にする親ポリシーを作成しALL_SUPPORTED、子ポリシーを使用して、異なるセキュリティコントロールが必要な特定のリージョンを無効にします。これにより、包括的なセキュリティカバレッジを確保しながら、リージョンの規制への準拠を維持できます。

ユースケースの例: 開発チームのセキュリティ標準

ソフトウェア開発組織は Security Hub ポリシーを実装し、開発リージョンを管理外に保ちながら、本番稼働用リージョンでのモニタリングを可能にします。セキュリティモニタリングカバレッジを正確に制御するのではなくALL_SUPPORTED、明示的なリージョンリストをポリシーで使用します。このアプローチにより、開発分野の柔軟性を維持しながら、本番環境でより厳格なセキュリティコントロールを適用できます。

ポリシーの継承と適用

組織全体で効果的なセキュリティ管理を行うには、ポリシーの継承方法と適用方法を理解することが不可欠です。継承モデルは階層に従い、予測可能で一貫したポリシーアプリケーションを確保します AWS Organizations 。

  • ルートレベルでアタッチされたポリシーはすべてのアカウントに適用されます

  • アカウントが親組織単位からポリシーを継承する

  • 複数のポリシーを 1 つのアカウントに適用できます

  • より具体的なポリシー (階層内のアカウントに近い) が優先されます

ポリシー検証

Security Hub ポリシーを作成すると、次の検証が行われます。

  • リージョン名は有効な AWS リージョン識別子である必要があります

  • リージョンは Security Hub でサポートされている必要があります

  • ポリシー構造は AWS Organizations ポリシー構文ルールに従う必要があります

  • リストenable_in_regionsdisable_in_regions リストの両方が存在する必要がありますが、空にすることもできます

リージョンに関する考慮事項とサポートされているリージョン

Security Hub ポリシーは複数のリージョンで動作するため、グローバルセキュリティ要件を慎重に検討する必要があります。リージョンの動作を理解することで、組織のグローバルフットプリント全体に効果的なセキュリティコントロールを実装できます。

  • ポリシーの適用は各リージョンで個別に行われます

  • ポリシーに含めるリージョンまたは除外するリージョンを指定できます。

  • ALL_SUPPORTED オプションを使用すると、新しいリージョンが自動的に含まれます。

  • ポリシーは、Security Hub が利用可能なリージョンにのみ適用されます。

次のステップ

Security Hub ポリシーの使用を開始するには:

  1. Security Hub ポリシーの開始方法の前提条件を確認する

  2. ベストプラクティスガイドを使用してポリシー戦略を計画する

  3. ポリシー構文の詳細とポリシーの例を表示する