翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# スケーラブルな脆弱性管理プログラムを準備する
スケーラブルな脆弱性管理プログラムの構築を準備するには、人々を教育し、プロセスを開発し、ベストプラクティスに従って適切なテクノロジーを実装する必要があります。人々、プロセス、テクノロジーは、効果的な脆弱性管理プログラムにとって等しく重要であり、それらを緊密に統合して大規模に脆弱性を管理する必要があります。
ガイドのこのセクションでは、 AWSでスケーラブルな脆弱性管理プログラムを準備するために実行できる基本的なアクションについて説明します。
**Topics**
+ [脆弱性管理計画を定義する](vulnerability-management-plan.md)
+ [セキュリティ所有権を分散する](distribute-ownership.md)
+ [脆弱性開示プログラムを開発する](disclosure-program.md)
+ [AWS 環境を準備する](prepare-environment.md)
+ [AWS セキュリティ情報のモニタリング](monitor-aws-security-bulletins.md)
+ [AWS セキュリティサービスを設定する](configure-aws-security-services.md)
+ [セキュリティ検出結果を割り当てる準備をする](prepare-finding-assignments.md)
# 脆弱性管理計画を定義する
クラウド脆弱性管理プログラムを準備する最初のステップは、*脆弱性管理計画*を定義することです。この計画には、組織が従うポリシーとプロセスが含まれます。この計画は文書化され、すべての利害関係者がアクセスできるようにしておく必要があります。脆弱性管理計画は、通常、以下のセクションを含む高レベルのドキュメントです。
+ **目標と範囲** — 脆弱性管理の目標、機能、範囲を概説します。
+ **役割と責任** — 脆弱性管理の利害関係者を一覧表示し、それぞれの責任について詳しく説明します。
+ **脆弱性の重要度と優先順位付けの定義** — 脆弱性の重要度を分類する方法と、優先順位の付け方を決定します。
+ **修復のための****サービスレベルアグリーメント (SLA)** – 重要度レベルごとに、修復所有者がセキュリティ検出結果を解決するために必要な最大時間を定義します。SLA コンプライアンスは、効果的でスケーラブルな脆弱性管理プログラムに不可欠な要素であるため、これらの SLA が満たされているかどうかを追跡する方法を検討します。
+ **例外プロセス **– 例外の提出、承認、更新のプロセスについて詳しく説明します。このプロセスでは、例外が正当であり、期限が設定され、追跡されていることを確実にする必要があります。
+ **脆弱性情報のソース **– セキュリティ検出結果を生成するソースまたはツールを一覧表示します。セキュリティ検出結果のソースとなる AWS のサービス 可能性のある の詳細については、このガイド[AWS セキュリティサービスを設定する](configure-aws-security-services.md)の「」を参照してください。
これらのセクションは、さまざまな規模や業界の企業で共通していますが、各組織の脆弱性管理計画は異なります。組織に最適な脆弱性管理計画を構築する必要があります。計画は、学んだ教訓と進化するテクノロジーを反映させるために、時間の経過と共に繰り返し更新されることが想定されます。
# セキュリティ所有権を分散する
責任[AWS 共有モデルは](https://aws.amazon.com/compliance/shared-responsibility-model/)、クラウドのセキュリティ AWS とコンプライアンスに対する責任を共有する方法とその顧客を定義します。このモデルでは、 は で提供されるすべてのサービスを実行するインフラストラクチャ AWS を保護し AWS クラウド、 AWS お客様はデータとアプリケーションを保護する責任があります。
このモデルを組織内にミラーリングし、クラウドチームとアプリケーションチームの間で責任を分散できます。これにより、アプリケーションチームがアプリケーションの特定のセキュリティ面を担当するため、クラウドセキュリティプログラムをより効果的にスケールできます。責任共有モデルの最もわかりやすい解釈は、リソースの設定権限を持つ者が、そのリソースのセキュリティに責任を持つということです。
セキュリティ責任をアプリケーションチームに分散する上で重要なのは、アプリケーションチームが自動化を行えるようにするセルフサービスのセキュリティツールを構築することです。初期段階では、これは共同で取り組むことができます。セキュリティチームは、セキュリティ要件をコードスキャンツールに変換し、アプリケーションチームはこれらのツールを使用してソリューションを構築し、社内の開発者コミュニティと共有できます。これにより、同様のセキュリティ要件を満たす必要がある他のチーム全体の効率が向上します。
次の表は、所有権をアプリケーションチームに分散する手順と例を示しています。
****
| [ステップ] | [アクション] | 例 |
| --- | --- | --- |
| 1 | セキュリティ要件を定義する – 何を達成しようとしていますか? これは、セキュリティ標準またはコンプライアンス要件に要件に基づいて定義される場合があります。 | セキュリティ要件の例としては、アプリケーション ID の最小特権アクセスがあります。 |
| 2 | セキュリティ要件のコントロールを列挙する – この要件は、コントロールの観点から実際に何を意味しますか? これを実現するにはどうすればよいですか? | アプリケーション ID の最小特権を実現するために、次の 2 つのコントロールが例として挙げられます。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/vulnerability-management/distribute-ownership.html) |
| 3 | コントロールに関するガイダンスを文書化する – これらのコントロールについて、開発者がコントロールに準拠できるようにどのようなガイダンスを提供できますか? | 最初は、安全な IAM ポリシーと安全でない IAM ポリシー、Amazon Simple Storage Service (Amazon S3) バケットポリシーなど、シンプルなポリシーの例を文書化することから始めるとよいでしょう。次に、プロアクティブ評価に[AWS Config ルール](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html)を使用するなど、継続的インテグレーションおよび継続的デリバリー (CI/CD) パイプライン内にポリシースキャンソリューションを埋め込むことができます。 |
| 4 | 再利用可能なアーティファクトを開発する – ガイダンスに基づいて、開発者がより簡単に活用できるよう、再利用可能なアーティファクトを開発できますか? | 最小特権の原則に従う IAM ポリシーをデプロイするために、Infrastructure as Code (IaC) を作成できます。これらの再利用可能なアーティファクトは、コードリポジトリに保存できます。 |
セルフサービスは、すべてのセキュリティ要件に対応できるとは限りませんが、標準的なシナリオには対応できます。これらのステップに従うことで、組織はアプリケーションチームが自らのセキュリティ責任のより多くをスケーラブルに担えるようにすることができます。全体として、責任分散モデルは、多くの組織内で、より協調的なセキュリティプラクティスの実現につながります。
# 脆弱性開示プログラムを開発する
[多層防御](apg-gloss.md#glossary-defense-in-depth)アプローチで脆弱性管理を行うために、組織内外のユーザーがセキュリティの脆弱性やリスクを報告できるよう、脆弱性開示プログラムを作成します。
組織内のユーザーには、リスクや脆弱性を送信するプロセスを確立します。これは、チケットシステムまたは E メールで行うことができます。選択したプロセスにかかわらず、従業員がプロセスを認識し、発生した脆弱性やリスクを簡単に送信できることが重要です。
組織外のユーザーには、潜在的なセキュリティ脆弱性を送信するための外部ウェブページを確立します。例として、「[AWS Vulnerability Reporting](https://aws.amazon.com/security/vulnerability-reporting/)」ウェブページを参照してください。このウェブページには、組織のデータとアセットを保護するための開示ガイドラインも含める必要があります。脆弱性開示プログラムは、潜在的に有害なアクティビティを助長すべきではないため、ガイドラインを含む明確なポリシーを持つことが不可欠です。プログラムの成熟に伴い、成熟した責任ある開示プログラムを構築することを目指します。ほとんどの場合、外部開示プログラムから始めることはなく、正しく整備するには時間がかかります。
# AWS 環境を準備する
脆弱性管理ツールを実装する前に、スケーラブルな脆弱性管理プログラムをサポートするように、 AWS 環境が設計されていることを確認してください。 AWS アカウント と組織のタグ付けポリシーの構造により、スケーラブルな脆弱性管理プログラムを構築するプロセスを簡素化できます。
## AWS アカウント 構造を開発する
[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) は、ビジネスの成長と AWS リソースのスケーリングに応じて、 AWS 環境を一元的に管理および管理するのに役立ちます。の AWS Organizations *組織は* AWS アカウント を論理グループまたは*組織単位*に統合し、単一の単位として管理できるようにします。 AWS Organizations は、*管理アカウント*と呼ばれる専用アカウントから管理します。詳しくは、[[AWS Organizations terminology and concepts]](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) (用語と概念) をご覧ください。
AWS マルチアカウント環境を管理することをお勧めします AWS Organizations。これにより、会社のアカウントとリソースの完全なインベントリを作成できます。この完全なアセットインベントリは、脆弱性管理の重要な側面です。アプリケーションチームは、組織外のアカウントを使用しないでください。
[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) は、規範的なベストプラクティスに従って、 AWS マルチアカウント環境のセットアップと管理に役立ちます。マルチアカウント環境をまだ確立していない場合 AWS Control Tower は、開始点として が適しています。
セキュリティ[AWS リファレンスアーキテクチャ (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/) で説明されている[専用のアカウント構造](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/dedicated-accounts.html)とベストプラクティスを使用することをお勧めします。[Security Tooling アカウント](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)は、セキュリティサービスの委任管理者として機能する必要があります。このアカウントでの脆弱性管理ツールの設定の詳細については、このガイドの後半で説明します。アプリケーションは、[ワークロード組織単位 (OU)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html) の専用アカウントでホストします。これにより、各アプリケーションのワークロードレベルの強力な分離と明示的なセキュリティ境界が確立されます。マルチアカウントアプローチを使用する設計原則と利点については、[「Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html)」(AWS ホワイトペーパー) を参照してください。
意図的なアカウント構造を持ち、専用アカウントからセキュリティサービスを一元管理することは、スケーラブルな脆弱性管理プログラムの重要な要素です。
## タグを定義、実装、適用する
*タグ*は、 AWS リソースを整理するためのメタデータとして機能するキーと値のペアです。詳細については、「[AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。タグを使用して、ビジネスユニット、アプリケーション所有者、環境、コストセンターなどのビジネスコンテキストを提供できます。次の表は、サンプルタグのセットを示しています。
****
| キー | 値 |
| --- | --- |
| BusinessUnit | HumanResources |
| CostCenter | CC101 |
| ApplicationTeam | HumanResourcesTechnology |
| 環境 | 本番稼働 |
タグは、検出結果の優先順位付けに役立ちます。例えば、次のことに役立ちます。
+ 脆弱性へのパッチ適用を担当するリソースの所有者を特定する
+ 検出結果の数が多いアプリケーションまたはビジネスユニットを追跡する
+ 個人を特定できる情報 (PII) や支払いカード業界 (PCI) データなどの特定のデータ分類に対して、検出結果の重要度をエスカレーションする
+ 下位レベルの開発環境のテストデータや本番稼働用データなど、環境内のデータの種類を特定する
大規模な効果的なタグ付けを実現するには、「リソースのタグ付けのベストプラクティス[」 (ホワイトペーパー) の「タグ付け戦略の構築](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/building-your-tagging-strategy.html)」の指示に従ってください。 * AWS *AWS
# AWS セキュリティ情報のモニタリング
[AWS セキュリティ速報](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinId&card-body.sort-order=desc&awsf.bulletins-flag=*all&awsf.bulletins-year=*all)を定期的かつ頻繁にモニタリングすることを強くお勧めします。セキュリティ速報では、新しいセキュリティ関連の脆弱性、影響を受けるサービス、および該当する更新が通知されます。セキュリティ速報の [RSS フィード](https://aws.amazon.com/security/security-bulletins/rss/feed/)をサブスクライブし、脆弱性管理プログラムの一環としてこれらの速報を取り込んで対処するプロセスを構築することもできます。
# AWS セキュリティサービスを設定する
AWS は、 AWS 環境の保護に役立つように設計されたさまざまなセキュリティサービスを提供します。脆弱性管理プログラムでは、各アカウント AWS のサービス で以下を有効にすることをお勧めします。
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) は、環境内のアクティブな脅威を検出するのに役立ちます。GuardDuty の検出結果は、環境で悪用された未知の脆弱性を特定するのに役立つ可能性があります。また、パッチが適用されていない脆弱性の影響を理解するのに役立ちます。
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) は、リソースのパフォーマンスと AWS のサービス および アカウントの可用性を継続的に可視化します。
+ [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) は、 AWS 環境内のリソースベースのポリシーを分析して、外部エンティティと共有されているリソースを特定します。これにより、リソースやデータへの意図しないアクセスに関連する脆弱性を特定できます。アカウントの外部で共有されているリソースのインスタンスごとに、IAM Access Analyzer は結果を生成します。
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) は、ソフトウェアの脆弱性と意図しないネットワークへの露出について AWS ワークロードを継続的にスキャンする脆弱性管理サービスです。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) は、セキュリティ業界標準に照らして AWS 環境をチェックし、クラウド設定リスクを特定するのに役立ちます。また、他の AWS セキュリティサービスやサードパーティーのセキュリティツールから結果を集約することで AWS 、セキュリティ状態を包括的に把握できます。
このセクションでは、スケーラブルな脆弱性管理プログラムを確立するために Amazon Inspector と Security Hub CSPM を有効にして設定する方法について説明します。
# 脆弱性管理プログラムでの Amazon Inspector の使用
[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Elastic Container Registry (Amazon ECR) コンテナイメージ、 AWS Lambda 機能を継続的にスキャンし、ソフトウェアの脆弱性や意図しないネットワークの露出を検出する脆弱性管理サービスです。Amazon Inspector を使用すると、 AWS 環境全体のソフトウェアの脆弱性を可視化し、解決に優先順位を付けることができます。
Amazon Inspector は、リソースのライフサイクルを通じて環境を継続的に評価します。新しい脆弱性を引き起こす可能性のある変更に応じて、リソースを自動的に再スキャンします。例えば、EC2 インスタンスに新しいパッケージをインストールしたとき、パッチを適用したとき、またはリソースに影響を与える新しい共通脆弱性識別子 (CVE) が公開されたときに再スキャンします。Amazon Inspector により、脆弱性またはオープンネットワークパスが特定されると、調査可能な検出結果が生成されます。この検出結果は、以下を含む脆弱性に関する包括的な情報を提供します。
+ [Amazon Inspector リスクスコア](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [共通脆弱性評価システム (CVSS) のスコア](https://www.first.org/cvss/calculator/3.1)
+ 影響を受けるリソース
+ Amazon、[https://www.recordedfuture.com/](https://www.recordedfuture.com/)、および [https://www.cisa.gov/](https://www.cisa.gov/) からの CVE に関する脆弱性インテリジェンスデータ
+ 修復のレコメンデーション
Amazon Inspector のセットアップ手順については、「[Getting started with Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html)」を参照してください。このチュートリアルの「*Activate Amazon Inspector*」ステップでは、スタンドアロンアカウント環境とマルチアカウント環境の 2 つの設定オプションが用意されています。組織のメンバー AWS アカウント である複数の をモニタリングする場合は、マルチアカウント環境オプションを使用することをお勧めします AWS Organizations。
マルチアカウント環境に Amazon Inspector を設定するときは、組織内のアカウントを Amazon Inspector の委任管理者に指定します。委任管理者は、組織のメンバーの検出結果と一部の設定を管理できます。例えば、委任管理者は、すべてのメンバーアカウントの集計された検出結果の詳細を表示したり、メンバーアカウントのスキャンを有効または無効にしたり、スキャンされたリソースを確認したりできます。SRA では、Security Tooling AWS アカウントを作成し、Amazon Inspector の委任管理者として使用することをお勧めします。 [https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)
# 脆弱性管理プログラム AWS Security Hub CSPM での の使用
でスケーラブルな脆弱性管理プログラムを構築する AWS には、クラウド設定リスクに加えて、従来のソフトウェアとネットワークの脆弱性を管理する必要があります。 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) は、セキュリティ業界標準に照らして AWS 環境をチェックし、クラウド設定リスクを特定するのに役立ちます。Security Hub CSPM は、他のセキュリティサービスやサードパーティーのセキュリティツールからセキュリティ検出結果を集約 AWS することで、 AWS のセキュリティ状態を包括的に把握することもできます。
以下のセクションでは、脆弱性管理プログラムをサポートするために Security Hub CSPM を設定するためのベストプラクティスと推奨事項を示します。
+ [Security Hub CSPM のセットアップ](#setting-up-security-hub)
+ [Security Hub CSPM 標準を有効にする](#enabling-security-hub-standards)
+ [Security Hub CSPM の検出結果の管理](#managing-security-hub-findings)
+ [他のセキュリティサービスやツールからの検出結果の集約](#aggregating-findings-from-other-security-services-and-tools)
## Security Hub CSPM のセットアップ
セットアップの手順については、「[AWS Security Hub CSPMのセットアップ](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)」を参照してください。Security Hub CSPM を使用するには、 を有効にする必要があります[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。詳細については、Security Hub CSPM ドキュメントの[「有効化と設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)」を参照してください。
と統合されている場合は AWS Organizations、組織管理アカウントから、Security Hub CSPM 委任管理者となるアカウントを指定します。手順については、[「Security Hub CSPM 委任管理者の指定](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview)」を参照してください。SRA では、Security Tooling AWS アカウントを作成し、Security Hub CSPM 委任管理者として使用することをお勧めします。 [https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)
委任管理者は、組織内のすべてのメンバーアカウントに対して Security Hub CSPM を設定し、それらのアカウントに関連付けられた検出結果を表示するために自動的にアクセスできます。すべての で AWS Config Security Hub CSPM を有効にすることをお勧めします AWS リージョン AWS アカウント。新しい組織アカウントを Security Hub CSPM メンバーアカウントとして自動的に処理するように Security Hub CSPM を設定できます。手順については、「[組織に属するメンバーアカウントの管理](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html)」を参照してください。
## Security Hub CSPM 標準を有効にする
Security Hub CSPM は、*セキュリティコントロール*に対して自動的かつ継続的なセキュリティチェックを実行して検出結果を生成します。コントロールは 1 つ以上の*セキュリティ標準*に関連付けられています。コントロールは、標準の要件が満たされているかどうかの判断に役立ちます。
Security Hub CSPM で標準を有効にすると、Security Hub CSPM は標準に適用されるコントロールを自動的に有効にします。Security Hub CSPM は AWS Config [ルール](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)を使用して、コントロールのセキュリティチェックのほとんどを実行します。Security Hub CSPM 標準はいつでも有効または無効にできます。詳細については、[「 のセキュリティコントロールと標準 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html)」を参照してください。標準の完全なリストについては、[「Security Hub CSPM 標準リファレンス](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html)」を参照してください。
推奨されるセキュリティ標準が組織にまだない場合は、[AWS Foundational Security Best Practices (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)を使用することをお勧めします。この標準は、 AWS アカウント および リソースがセキュリティのベストプラクティスから逸脱するタイミングを検出するように設計されています。 は、この標準を AWS キュレートし、新機能とサービスをカバーするように定期的に更新します。FSBP の検出結果をトリアージしたら、他の標準を有効にすることを検討してください。
## Security Hub CSPM の検出結果の管理
Security Hub CSPM には、組織全体からの大量の検出結果に対処し、 AWS 環境のセキュリティ状態を理解するのに役立ついくつかの機能が用意されています。検出結果の管理に役立つように、次の 2 つの Security Hub CSPM 機能を有効にすることをお勧めします。
+ [クロスリージョン集約](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)を使用して、複数の から単一の集約リージョンに検出結果、検出結果の更新、インサイト、コントロールコンプライアンスステータス、セキュリティスコア AWS リージョン を集約します。
+ [統合されたコントロールの検出結果](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)を使用して、重複した検出結果を削除することで検出結果のノイズを減らします。アカウントで統合コントロールの検出結果を有効にすると、コントロールが複数の有効な標準に適用されていても、Security Hub CSPM はコントロールのセキュリティチェックごとに 1 つの新しい検出結果または検出結果の更新を生成します。
## 他のセキュリティサービスやツールからの検出結果の集約
セキュリティ検出結果の生成に加えて、Security Hub CSPM を使用して、複数の AWS のサービス サポートされているサードパーティーのセキュリティソリューションから検出結果を集約できます。このセクションでは、Security Hub CSPM へのセキュリティ検出結果の送信に焦点を当てます。次のセクション では[セキュリティ検出結果を割り当てる準備をする](prepare-finding-assignments.md)、Security Hub CSPM から検出結果を受け取ることができる製品と Security Hub CSPM を統合する方法について説明します。
Security Hub CSPM と統合できる AWS のサービスサードパーティー製品やオープンソースソリューションが多数あります。使い始めたばかりの場合は、以下を実行することをお勧めします。
1. **統合を有効にする AWS のサービス** – Security Hub CSPM に結果を送信するほとんどの AWS のサービス 統合は、Security Hub CSPM と統合サービスの両方を有効にすると自動的にアクティブ化されます。脆弱性管理プログラムでは、各アカウントで Amazon Inspector、Amazon GuardDuty AWS Health、IAM Access Analyzer を有効にすることをお勧めします。これらのサービスは、検出結果を Security Hub CSPM に自動的に送信します。サポートされている AWS のサービス 統合の完全なリストについては、[AWS のサービス Security Hub CSPM に結果を送信する ](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html)を参照してください。
**注記**
AWS Health は、次のいずれかの条件が満たされた場合、結果を Security Hub CSPM に送信します。
検出結果が AWS セキュリティサービスに関連付けられている
検出結果の **typecode** に `security`、`abuse`、`certificate` という言葉が含まれている
検出結果 AWS Health サービスは `risk`または です。 `abuse`
1. **サードパーティー統合のセットアップ** – 現在サポートされている統合のリストについては、「[Available third-party partner product integrations](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)」を参照してください。Security Hub CSPM に結果を送受信できる追加のツールを選択します。これらのサードパーティーツールの一部は、既に導入済みである可能性があります。製品の手順に従って、Security Hub CSPM との統合を設定します。
# セキュリティ検出結果を割り当てる準備をする
このセクションでは、チームがセキュリティ検出結果の管理と割り当てに使用するツールを設定します。このセクションでは、次のオプションについて説明します。
+ [既存のツールとワークフローで検出結果を管理する](existing-tools.md) – このオプションは AWS Security Hub CSPM 、チームが製品バックログなどの日常業務の管理に使用する既存のシステムと統合されます。このオプションは、ワークフローを管理するためのツールを確立しているチームに推奨されます。
+ [Security Hub CSPM で検出結果を管理する](manage-findings-in-security-hub.md) – このオプションは、適切なチームがアラートを受け取り、Security Hub CSPM で検出結果に対処できるように、Security Hub CSPM イベントの通知を設定します。
チームにとって最適なワークフローを決定し、セキュリティ検出結果がそれぞれの所有者に迅速に届くようにします。
# 既存のツールとワークフローで検出結果を管理する
チームが日常業務を管理または実行するために使用するツールを確立しているエンタープライズ組織には、Security Hub CSPM 統合を追加することをお勧めします。Security Hub CSPM の検出結果を複数のテクノロジープラットフォームにインポートできます。以下に例を示します。
+ [セキュリティ情報とイベント管理 (SIEM) システム](apg-gloss.md#glossary-siem)は、セキュリティチームが運用上のセキュリティイベントをトリアージするのに役立ちます。SIEM システムは、アプリケーションとネットワークハードウェアによって生成されたセキュリティアラートをリアルタイムで分析します。
+ [ガバナンス、リスク、コンプライアンス (GRC)](https://aws.amazon.com/what-is/grc/) システムは、コンプライアンスチームとガバナンスチームがリスク管理データをモニタリングおよび報告するのに役立ちます。GRC ツールは、企業がポリシーの管理、リスクの評価、ユーザーアクセスの制御、コンプライアンスの合理化に使用できるソフトウェアアプリケーションです。GRC ツールを使用して、ビジネスプロセスを統合し、コストを削減し、効率を向上させることができます。
+ 製品バックログとチケット発行システムは、アプリケーションチームとクラウドチームが機能を管理し、開発タスクに優先順位を付けるのに役立ちます。[https://www.atlassian.com/software/jira](https://www.atlassian.com/software/jira) と [https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops](https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops) は、これらのシステムの例です。
Security Hub CSPM の検出結果をこれらの既存のエンタープライズシステムに直接統合すると、毎日の運用ワークフローが変更される必要がないため、平均復旧時間 (MTTR) とセキュリティの結果を向上させることができます。チームは、個別のワークフローやツールを使用する必要がないため、セキュリティ検出結果に迅速に対応して学習できます。統合により、セキュリティ検出結果への対応が通常の標準ワークフローの一部になります。
Security Hub CSPM は、複数のサードパーティーパートナー製品と統合されています。詳細なリストと手順については、Security Hub CSPM ドキュメントの[「利用可能なサードパーティーパートナー製品統合](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)」を参照してください。一般的な統合には[https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management)、、[Jiraソフトウェア AWS Security Hub CSPM との双方向統合](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html)、 などがあります[https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm)。次の図は、Security Hub CSPM に結果を送信するように Amazon Inspector を設定し、すべての結果を に送信するように Security Hub CSPM を設定する方法を示していますJira。
![\[Amazon Inspector と AWS Security Hub CSPM 検出結果を に送信する Jira\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/vulnerability-management/images/jira-integration-security-hub.png)
# Security Hub CSPM で検出結果を管理する
Amazon [ EventBridge ルールと Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) Simple Notification Service (Amazon SNS) トピックを使用して、Security Hub CSPM の検出結果のクラウドベースの通知システムを構築できます。このシステムは、検出結果の作成時に、適切なチームに通知します。このアプローチでは、アプリケーションが専用アカウントに分割されるため、「[AWS アカウント 構造を開発する](prepare-environment.md#account-structure)」で説明されているマルチアカウント戦略が重要です。これにより、検出結果ごとに適切なチームに通知できます。
セキュリティチームまたはクラウドチームは、すべての からイベントを受信することを選択できます AWS アカウント。この場合、Security Hub CSPM 委任管理者アカウント内に EventBridge ルールを構築し、これらのチームに通知する Amazon SNS トピックをサブスクライブします。アプリケーションチームの場合は、それぞれのアプリケーションアカウント内で EventBridge ルールと SNS トピックを設定します。アプリケーションアカウント内で Security Hub CSPM の検出結果が発生すると、担当チームにその検出結果が通知されます。
Security Hub CSPM は、すべての新しい検出結果と既存の検出結果へのすべての更新を **Security Hub CSPM 検出結果 - インポートされた**イベントとして EventBridge に自動的に送信します。Security **Hub CSPM の検出結果 - インポートされた**各イベントには、1 つの検出結果が含まれます。EventBridge ルールにフィルターを適用して、検出結果がフィルターと一致する場合にのみ、その検出結果によってルールを起動できます。手順については、「[自動的に送信される結果の EventBridge ルールの設定](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-all-findings.html)」を参照してください。Amazon SNS トピックの作成とサブスクライブの詳細については、「[Amazon SNS を設定する](https://docs.aws.amazon.com/sns/latest/dg/sns-configuring.html)」を参照してください。
このアプローチを使用する場合は、次の点を考慮してください。
+ アプリケーションチームの場合は、アプリケーションがホストされている各 AWS アカウント と AWS リージョン 内に EventBridge ルールを作成します。
+ セキュリティチームとクラウドチームの場合は、Security Hub CSPM 委任管理者アカウントに EventBridge ルールを作成します。これにより、メンバーアカウント内のすべての検出結果についてチームに通知されます。
+ セキュリティ検出結果のステータスが `NEW` の場合、Amazon SNS は毎日通知を送信します。毎日の通知をオフにする場合は、Amazon SNS サブスクライバーが通知を受信`NOTIFIED`した後、検出結果のステータスを `NEW` から に変更するカスタム AWS Lambda 関数を作成できます。