翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
脆弱性管理プログラム AWS Security Hub CSPM での の使用
でスケーラブルな脆弱性管理プログラムを構築する AWS には、クラウド設定リスクに加えて、従来のソフトウェアとネットワークの脆弱性を管理する必要があります。 は、セキュリティ業界標準に照らして AWS 環境をチェックし、クラウド設定リスクを特定するAWS Security Hub CSPMのに役立ちます。Security Hub CSPM は、他のセキュリティサービスやサードパーティーのセキュリティツールからセキュリティ検出結果を集約 AWS することで、 AWS のセキュリティ状態を包括的に把握することもできます。
以下のセクションでは、脆弱性管理プログラムをサポートするために Security Hub CSPM を設定するためのベストプラクティスと推奨事項を示します。
Security Hub CSPM のセットアップ
セットアップの手順については、「AWS Security Hub CSPMのセットアップ」を参照してください。Security Hub CSPM を使用するには、 を有効にする必要がありますAWS Config。詳細については、Security Hub CSPM ドキュメントの「有効化と設定 AWS Config」を参照してください。
と統合されている場合は AWS Organizations、組織管理アカウントから、Security Hub CSPM 委任管理者となるアカウントを指定します。手順については、「Security Hub CSPM 委任管理者の指定」を参照してください。SRA では、Security Tooling AWS アカウントを作成し、Security Hub CSPM 委任管理者として使用することをお勧めします。 https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html
委任管理者は、組織内のすべてのメンバーアカウントに対して Security Hub CSPM を設定し、それらのアカウントに関連付けられた検出結果を表示するために自動的にアクセスできます。すべての で AWS Config Security Hub CSPM を有効にすることをお勧めします AWS リージョン AWS アカウント。新しい組織アカウントを Security Hub CSPM メンバーアカウントとして自動的に処理するように Security Hub CSPM を設定できます。手順については、「Managing member accounts that belong to an organization」を参照してください。
Security Hub CSPM 標準を有効にする
Security Hub CSPM は、セキュリティコントロールに対して自動的かつ継続的なセキュリティチェックを実行して検出結果を生成します。コントロールは 1 つ以上のセキュリティ標準に関連付けられています。コントロールは、標準の要件が満たされているかどうかの判断に役立ちます。
Security Hub CSPM で標準を有効にすると、Security Hub CSPM は標準に適用されるコントロールを自動的に有効にします。Security Hub CSPM は AWS Config ルールを使用して、コントロールのセキュリティチェックのほとんどを実行します。Security Hub CSPM 標準はいつでも有効または無効にできます。詳細については、「 のセキュリティコントロールと標準 AWS Security Hub CSPM」を参照してください。標準の完全なリストについては、「Security Hub CSPM 標準リファレンス」を参照してください。
推奨されるセキュリティ標準が組織にまだない場合は、AWS Foundational Security Best Practices (FSBP) 標準を使用することをお勧めします。この標準は、 AWS アカウント および リソースがセキュリティのベストプラクティスから逸脱するタイミングを検出するように設計されています。 は、この標準を AWS キュレートし、新機能とサービスをカバーするように定期的に更新します。FSBP の検出結果をトリアージしたら、他の標準を有効にすることを検討してください。
Security Hub CSPM の検出結果の管理
Security Hub CSPM には、組織全体からの大量の検出結果に対処し、 AWS 環境のセキュリティ状態を理解するのに役立ついくつかの機能が用意されています。検出結果の管理に役立つように、次の 2 つの Security Hub CSPM 機能を有効にすることをお勧めします。
-
クロスリージョン集約を使用して、複数の から単一の集約リージョンに検出結果、検出結果の更新、インサイト、コントロールコンプライアンスステータス、セキュリティスコア AWS リージョン を集約します。
-
統合されたコントロールの検出結果を使用して、重複した検出結果を削除することで検出結果のノイズを減らします。アカウントで統合コントロールの検出結果を有効にすると、Security Hub CSPM は、コントロールが複数の有効な標準に適用されていても、コントロールのセキュリティチェックごとに 1 つの新しい検出結果または検出結果の更新を生成します。
他のセキュリティサービスやツールからの検出結果の集約
セキュリティ検出結果の生成に加えて、Security Hub CSPM を使用して、複数の AWS のサービス サポートされているサードパーティーのセキュリティソリューションから検出結果を集約できます。このセクションでは、Security Hub CSPM へのセキュリティ検出結果の送信に焦点を当てます。次のセクション ではセキュリティ検出結果を割り当てる準備をする、Security Hub CSPM から検出結果を受け取ることができる製品と Security Hub CSPM を統合する方法について説明します。
Security Hub CSPM と統合できる AWS のサービスサードパーティー製品やオープンソースソリューションが多数あります。使い始めたばかりの場合は、以下を実行することをお勧めします。
-
統合を有効にする AWS のサービス – Security Hub CSPM に結果を送信するほとんどの AWS のサービス 統合は、Security Hub CSPM と統合サービスの両方を有効にすると自動的にアクティブ化されます。脆弱性管理プログラムでは、各アカウントで Amazon Inspector、Amazon GuardDuty AWS Health、IAM Access Analyzer を有効にすることをお勧めします。これらのサービスは、結果を自動的に Security Hub CSPM に送信します。サポートされている AWS のサービス 統合の完全なリストについては、AWS のサービス Security Hub CSPM に結果を送信する を参照してください。
注記
AWS Health は、次のいずれかの条件が満たされた場合、結果を Security Hub CSPM に送信します。
-
検出結果が AWS セキュリティサービスに関連付けられている
-
検出結果の typecode に
security、abuse、certificateという言葉が含まれている -
検出結果 AWS Health サービスは
riskまたは です。abuse
-
-
サードパーティー統合のセットアップ – 現在サポートされている統合のリストについては、「Available third-party partner product integrations」を参照してください。Security Hub CSPM に結果を送受信できる追加のツールを選択します。これらのサードパーティーツールの一部は、既に導入済みである可能性があります。製品の手順に従って、Security Hub CSPM との統合を設定します。
