コントロールの結果を生成および更新する - AWS Security Hub
統合されたコントロールの検出結果コントロールの検出結果の生成、更新、アーカイブコントロールの検出結果の自動化と抑制コントロールの検出結果のコンプライアンスの詳細コントロールの検出結果の ProductFields の詳細コントロールの検出結果の重要度

コントロールの結果を生成および更新する

コントロールの検出結果は、AWS Security Hub がセキュリティコントロールに対してチェックを実行したときに生成されます。コントロールの検出結果は、AWS Security Finding Format (ASFF) を使用しています。

Security Hub CSPM は通常、コントロールのセキュリティチェックごとに課金されます。ただし、複数のコントロールで同じ AWS Config ルールが使用される場合、Security Hub CSPM はルールでのチェックごとに 1 回だけ課金されます。例えば、AWS Config iam-password-policy ルールが CIS AWS Foundations Benchmark 標準、および AWS Foundational Security Best Practices 標準の複数のコントロールによって使用されるとします。Security Hub CSPM がそのルールでチェックを実行するたびに、関連するコントロールごとに個別の検出結果が生成されますが、チェックに対して課金されるのは 1 回だけです。

コントロール検出結果のサイズが最大 240 KB を超える場合、Security Hub CSPM は検出結果から Resource.Details オブジェクトを削除します。AWS Config リソースに支えられたコントロールについては、AWS Config コンソールを使用してリソースの詳細を確認できます。

統合されたコントロールの検出結果

アカウントで [統合されたコントロールの検出結果] が有効な場合、コントロールが複数の有効化された標準に適用されている場合でも、Security Hub CSPM はコントロールのセキュリティチェックごとに単一の検出結果または検出結果の更新を生成します。コントロールとそれらが適用される標準のリストについては、「Security Hub CSPM のコントロールリファレンス」を参照してください。検出結果のノイズを減らすために、統合コントロールの検出結果を有効にすることをお勧めします。

2023 年 2 月 23 日より前に AWS アカウント の Security Hub CSPM を有効にしていた場合は、このセクションで後述する手順に従い、[統合されたコントロールの検出結果] を有効にすることができます。2023 年 2 月 23 日以降に Security Hub CSPM を有効にすると、[統合されたコントロールの検出結果] がアカウントで自動的に有効になります。

Security Hub CSPM の AWS Organizations との統合を使用するか、手動の招待プロセスで招待されたメンバーアカウントを使用する場合、メンバーアカウントで [統合されたコントロールの検出結果] が有効になるのは、管理者アカウントで有効になっている場合のみです。管理者アカウントでこの機能が無効になっている場合、メンバーアカウントも無効になります。この挙動は、新規および既存のメンバーアカウントに適用されます。さらに、管理者が中央設定を使用して複数のアカウントの Security Hub CSPM を管理する場合、中央設定ポリシーを使用してアカウントの [統合されたコントロールの検出結果] を有効または無効にすることはできません。

アカウントで [統合されたコントロールの検出結果] を無効にすると、Security Hub CSPM は、コントロールを含む有効な各標準の個別のコントロール検出結果を生成または更新します。例えば、コントロールを共有している 4 つの標準を有効にする場合、コントロールのセキュリティチェック後に 4 つの検出結果が表示されます。[統合されたコントロールの検出結果] を有効にすると、検出結果が 1 つのみになります。

[統合されたコントロールの検出結果] を有効にすると、Security Hub CSPM は標準と別に新しい検出結果を生成し、元の標準ベースの検出結果をアーカイブします。一部のコントロールの検出結果フィールドや値が変更されると、既存のワークフローに影響を与える可能性があります。これらの変更の詳細については、「統合されたコントロールの検出結果 – ASFF の変更」を参照してください。[統合されたコントロールの検出結果] を有効にすると、統合されたサードパーティの製品が Security Hub CSPM から受け取る検出結果にも影響する可能性があります。AWS v2.0.0 での自動化されたセキュリティ対応ソリューションを使用する場合は、統合されたコントロールの検出結果をサポートしていることに注意してください。

[統合されたコントロールの検出結果] を有効または無効にするには、管理者アカウントまたはスタンドアロンアカウントにサインインする必要があります。

注記

[統合されたコントロールの検出結果] を有効にした後、Security Hub CSPM が新しい統合された検出結果を生成し、既存の標準ベースの検出結果をアーカイブするまで、最大 24 時間かかる可能性があります。同様に、[統合されたコントロールの検出結果] を無効にした後、Security Hub CSPM が新しい標準ベースの検出結果を生成し、既存の統合された検出結果をアーカイブするまで、最大 24 時間かかる可能性があります。これらの間、アカウントには、標準に依存しない検出結果と標準に基づく検出結果が混在する可能性があります。

Security Hub CSPM console
統合コントロールの検出結果を有効または無効にするには

  1. AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで [Settings] の [General] を選択します。

  3. [コントロール] セクションで、[編集] を選択します。

  4. [統合されたコントロールの検出結果] スイッチを使用して、統合されたコントロールの検出結果を有効または無効にします。

  5. [保存] を選択します。

Security Hub CSPM API

プログラムで [統合されたコントロールの検出結果] を有効または無効にするには、Security Hub CSPM API の UpdateSecurityHubConfiguration オペレーションを使用します。または、AWS CLI を使用している場合は、update-security-hub-configuration コマンドを実行します。

control-finding-generator パラメータで、SECURITY_CONTROL を指定して [統合されたコントロールの検出結果] を有効にします。[統合されたコントロールの検出結果] を無効にするには、STANDARD_CONTROL を指定します。

例えば、次の AWS CLI コマンドは、統合コントロールの検出結果を有効にします。

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

次の AWS CLI コマンドは、統合コントロールの検出結果を無効にします。

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

コントロールの検出結果の生成、更新、アーカイブ

Security Hub CSPM は、スケジュールに従ってセキュリティチェックを実行します。Security Hub CSPM がコントロールのセキュリティチェックを初めて実行すると、コントロールがチェックする AWS リソースごとに新しい検出結果が生成されます。Security Hub CSPM がその後コントロールのセキュリティチェックを実行するたびに、既存の検出結果を更新してチェックの結果を報告します。つまり、個々の検出結果から提供されたデータを使用して、特定のコントロールに対する特定のリソースのコンプライアンス変更を追跡できます。

例えば、特定のコントロールのリソースのコンプライアンスステータスが FAILED から PASSED に変わった場合、Security Hub CSPM は新しい検出結果を生成しません。代わりに、Security Hub CSPM はコントロールとリソースの既存の検出結果を更新します。検出結果では、Security Hub CSPM はコンプライアンスステータス (Compliance.Status) フィールドの値を PASSED に変更します。Security Hub CSPM は、チェックの結果を反映するために追加のフィールドの値も更新します。例えば、Security Hub CSPM が最後にチェックを実行し、検出結果を更新した日時を示す重要度ラベル、ワークフローステータス、タイムスタンプなどです。

コンプライアンスステータスの変更を報告すると、Security Hub CSPM はコントロール検出結果の次のいずれかのフィールドを更新することがあります。

  • Compliance.Status – 指定されたコントロールのリソースの新しいコンプライアンスステータス。

  • FindingProviderFields.Severity.LabelLOWMEDIUMHIGH など検出結果の重要度の新しい定性的表現。

  • FindingProviderFields.Severity.Original – 準拠リソースの 0 など、検出結果の重要度の新しい定量的表現。

  • FirstObservedAt – リソースのコンプライアンスステータスが最後に変更されたタイミング。

  • LastObservedAt – Security Hub CSPM が最後に指定されたコントロールとリソースのセキュリティチェックを実行したタイミング。

  • ProcessedAt – Security Hub CSPM が最近検出結果の処理を開始したタイミング。

  • ProductFields.PreviousComplianceStatus – 指定されたコントロールのリソースのコンプライアンスステータス (Compliance.Status)。

  • UpdatedAt – Security Hub CSPM が最近検出結果を更新したタイミング。

  • Workflow.Status – 指定されたコントロールのリソースの新しいコンプライアンスステータスに基づく、検出結果の調査のステータス。

Security Hub CSPM がフィールドを更新するかどうかは、主に該当するコントロールとリソースの最新のセキュリティチェックの結果によって異なります。例えば、リソースのコンプライアンスステータスが特定のコントロールで PASSED から FAILED に変わった場合、Security Hub CSPM は検出結果のワークフローステータスを NEW に変更します。個々の検出結果の更新を追跡するには、検出結果の履歴を参照できます。検出結果の個々のフィールドの詳細については、「AWS Security Finding Format (ASFF)」を参照してください。

場合によっては、Security Hub CSPM は、既存の検出結果を更新する代わりに、コントロールによって後続のチェック用に新しい検出結果を生成します。これは、コントロールをバックアップする AWS Config ルールに問題がある場合に発生する可能性があります。この場合、Security Hub CSPM は既存の検出結果をアーカイブし、チェックごとに新しい検出結果を生成します。新しい検出結果では、コンプライアンスステータスは NOT_AVAILABLE で、レコードステータスは ARCHIVED です。AWS Config ルールの問題に対処すると、Security Hub CSPM は新しい検出結果を生成し、個々のリソースのコンプライアンスステータスに対するその後の変更を追跡するために更新を開始します。

Security Hub CSPM は、コントロールの検出結果の生成と更新に加えて、特定の基準を満たすコントロールの検出結果を自動的にアーカイブします。Security Hub CSPM は、コントロールが無効になっている場合、指定されたリソースが削除された場合、または指定されたリソースが存在しなくなった場合に、検出結果をアーカイブします。関連付けられたサービスが現在使用されていないため、リソースがすでに存在しない可能性もあります。より具体的には、Security Hub CSPM は、検出結果が次のいずれかの基準を満たす場合、コントロール検出結果を自動的にアーカイブします。

  • 検出結果は 3~5 日間更新されていません。この時間枠に基づくアーカイブはベストエフォートベースであり、保証されないので注意してください。

  • 関連付けられた AWS Config 評価が、指定されたリソースのコンプライアンスステータスに対して NOT_APPLICABLE を返しました。

検出結果がアーカイブされているかどうかを判断するには、検出結果のレコードの状態 (RecordState) フィールドを参照できます。検出結果がアーカイブされている場合、このフィールドの値は ARCHIVED です。

Security Hub CSPM は、アーカイブされたコントロールの検出結果を 30 日間保存します。30 日後、検出結果は期限切れになり、Security Hub CSPM によって完全に削除されます。アーカイブされたコントロールの検出結果の有効期限が切れているかどうかを判断するために、Security Hub CSPM は検出結果の UpdatedAt フィールドの値に基づいてその計算を行います。

アーカイブされたコントロールの検出結果を 30 日以上保存するには、検出結果を S3 バケットにエクスポートできます。これを行うには、Amazon EventBridge ルールでカスタムアクションを使用します。詳細については、「EventBridge を使用した自動応答と修復」を参照してください。

注記

2025 年 7 月 3 日以前は、コントロールのリソースのコンプライアンスステータスが変更されると、Security Hub CSPM はコントロールの検出結果を生成および更新しました。以前は、Security Hub CSPM は新しいコントロール検出結果を作成し、リソースの既存の検出結果をアーカイブしていました。したがって、検出結果の有効期限が切れる (30 日後) まで、特定のコントロールとリソースに対してアーカイブされた複数の検出結果が存在する可能性があります。

コントロールの検出結果の自動化と抑制

Security Hub CSPM オートメーションルールを使用して、特定のコントロール検出結果を更新または抑制できます。検出結果を抑制すると、引き続きその検出結果にアクセスできます。ただし、抑制とは、検出結果に対処するためのアクションは必要ないと考えていることを示しています。

検出結果を抑制することで、検出結果のノイズを減らすことができます。例えば、テストアカウントで生成されたコントロールの検出結果を抑制できます。または、特定のリソースに関連する検出結果を抑制することもできます。検出結果の自動更新または抑制の詳細については、「Security Hub CSPM の自動化ルールについて」を参照してください。

自動化ルールは、特定のコントロールの検出結果を更新または抑制する場合に適しています。ただし、コントロールが組織やユースケースに関連しない場合は、コントロールを無効にすることをお勧めします。コントロールを無効にすると、Security Hub CSPM はコントロールのセキュリティチェックを実行せず、課金も発生しません。

コントロールの検出結果のコンプライアンスの詳細

コントロールのセキュリティチェックによって生成された検出結果では、AWS Security Finding 形式 (ASFF) の [コンプライアンス] オブジェクトとフィールドでは、コントロールがチェックした個々のリソースのコンプライアンスの詳細が提供されます。これには、次の情報が含まれます。

  • AssociatedStandards – コントロールが有効になっている有効な標準です。

  • RelatedRequirements – すべての有効な標準のコントロールに関連する要件です。これらは、Payment Card Industry Data Security Standard (PCI DSS) または NIST SP 800-171 Revision 2 標準など、コントロールに関するサードパーティのセキュリティフレームワークから派生した要件です。

  • SecurityControlId – Security Hub CSPM がサポートする標準全体のコントロールの識別子です。

  • Status – コントロールに対して Security Hub CSPM によって実行された最新のチェックの結果です。以前のチェックの結果は、検出結果の履歴に保持されます。

  • StatusReasonsStatus フィールドで指定された値の理由を一覧表示する配列。これには、理由ごとの理由コードと説明が示されます。

次の表に、検出結果の StatusReasons 配列に含まれる可能性のある理由コードと説明を示します。修正手順は、どのコントロールが特定の理由コードを使って検出結果を生成したかによって異なります。コントロールの修正ガイダンスを確認するには、「Security Hub CSPM のコントロールリファレンス」を参照してください。

理由コード コンプライアンス状況 説明

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

マルチリージョンの CloudTrail 追跡に有効なメトリクスフィルターが設定されていません。

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

マルチリージョンの CloudTrail 追跡用のメトリクスフィルターがありません。

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

アカウントに、必要な設定のマルチリージョンの CloudTrail 追跡が存在しません。

CLOUDTRAIL_REGION_INVAILD

WARNING

マルチリージョンの CloudTrail 追跡が現在のリージョンに存在しません。

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

有効なアラームアクションが存在しません。

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch アラームがアカウントに存在しません。

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config ステータスが ConfigError

AWS Config のアクセスが拒否されました。

AWS Config が有効で、十分な許可が付与されていることを確認します。

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config によって、ルールに基づいてリソースが評価されました。

ルールがスコープ内の AWS リソースに適用されなかったか、指定したリソースが削除されたか、または評価結果が削除されました。

CONFIG_RECORDER_CUSTOM_ROLE

FAILED (Config.1 の場合)

AWS Config レコーダーは AWS Config サービスにリンクされたロールの代わりにカスタム IAM ロールを使用し、Config.1 の includeConfigServiceLinkedRoleCheck カスタムパラメータは false に設定されません。

CONFIG_RECORDER_DISABLED

FAILED (Config.1 の場合)

設定レコーダーをオンにすると、AWS Config は有効になりません。

CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES

FAILED (Config.1 の場合)

AWS Config は、有効な Security Hub CSPM コントロールに対応するすべてのリソースタイプを記録しているわけではありません。次のリソースの記録を有効にします: 記録されていないリソース

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

AWS Config によって返されたステータスが Not Applicable であるため、コンプライアンス状況は NOT_AVAILABLE です。

AWS Config では、ステータスの理由は提供されません。ステータスが Not Applicable である理由は、以下のように考えられます。

  • リソースが AWS Config ルールのスコープから除外された。

  • AWS Config ルールが削除されました。

  • リソースが削除された。

  • AWS Config ルールロジックによって Not Applicable ステータスが生成される可能性がある。

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config ステータスが ConfigError

この理由コードは、いくつかの異なる種類の評価エラーに使用されます。

説明には、具体的な理由の情報が含まれます。

エラーの種類は、次のいずれかになります。

  • 許可が不足しているため、評価を実行できない。説明には、欠落している特定の許可が含まれます。

  • パラメータの値が欠落しているか、無効。説明には、パラメータとパラメータ値の要件が含まれます。

  • S3 バケットからの読み取り中のエラー。説明では、バケットが識別され、特定のエラーが表示されます。

  • AWS サブスクリプションが欠落している。

  • 評価の一般的なタイムアウト。

  • 停止中のアカウント。

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config ステータスが ConfigError

AWS Config ルールが作成中です。

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

不明なエラーが発生しました。

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

Security Hub CSPM がカスタム Lambda ランタイムのチェックを実行できません。

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

このルールに関連付けられた S3 バケットが別のリージョンまたはアカウントにあるため、結果が WARNING 状態になっています。

このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。

このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

CloudWatch Logs メトリクスフィルターに有効な Amazon SNS サブスクリプションが含まれていません。

SNS_TOPIC_CROSS_ACCOUNT

WARNING

結果が WARNING 状態です。

このルールに関連付けられた SNS トピックは、別のアカウントによって所有されています。現在のアカウントでは、サブスクリプション情報を取得できません。

SNS トピックを所有するアカウントは、SNS トピックへの sns:ListSubscriptionsByTopic 許可を現在のアカウントに付与する必要があります。

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

このルールに関連付けられた SNS トピックが別のリージョンまたはアカウントにあるため、結果が WARNING 状態です。

このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。

このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。

SNS_TOPIC_INVALID

FAILED

このルールに関連付けられている SNS トピックが無効です。

THROTTLING_ERROR

NOT_AVAILABLE

関連する API オペレーションが許可されたレートを超えました。

コントロールの検出結果の ProductFields の詳細

コントロールのセキュリティチェックによって生成された検出結果では、AWS Security Finding 形式 (ASFF) の ProductFields 属性に次のフィールドを含めることができます。

ArchivalReasons:0/Description

Security Hub CSPM が検出結果をアーカイブした理由について説明します。

例えば、統制または標準を無効にしたり、[統合されたコントロールの検出結果] を有効または無効にしたりすると、Security Hub CSPM は既存の検出結果をアーカイブします。

ArchivalReasons:0/ReasonCode

Security Hub CSPM が検出結果をアーカイブした理由を指定します。

例えば、統制または標準を無効にしたり、[統合されたコントロールの検出結果] を有効または無効にしたりすると、Security Hub CSPM は既存の検出結果をアーカイブします。

PreviousComplianceStatus

検出結果の最新の更新時点での、指定されたコントロールのリソースの以前のコンプライアンスステータス (Compliance.Status)。リソースのコンプライアンスステータスが最新の更新中に変更されなかった場合、この値は検出結果の Compliance.Status フィールドの値と同じです。可能な値の一覧については、コンプライアンスステータスとコントロールステータスの評価 を参照してください。

StandardsGuideArn または StandardsArn

コントロールに関連付けられた標準の ARN。

CIS AWS Foundations Benchmark 標準の場合は、フィールドは StandardsGuideArn です。PCI DSS および AWS Foundational Security Best Practices 標準の場合は、フィールドは StandardsArn です。

[統合されたコントロールの検出結果] を有効にすると、これらのフィールドは Compliance.AssociatedStandards に合わせて削除されます。

StandardsGuideSubscriptionArn または StandardsSubscriptionArn

標準へのアカウントのサブスクリプションの ARN。

CIS AWS Foundations Benchmark 標準の場合は、フィールドは StandardsGuideSubscriptionArn です。PCI DSS および AWS Foundational Security Best Practices 標準の場合は、フィールドは StandardsSubscriptionArn です。

[統合されたコントロールの検出結果] を有効にすると、これらのフィールドは削除されます。

RuleId-または-ControlId

コントロールの識別子。

CIS AWS Foundations Benchmark 標準の version 1.2.0 の場合は、フィールドは RuleId です。CIS AWS Foundations Benchmark 標準の後続バージョンを含む他の標準の場合、フィールドは ControlId です。

[統合されたコントロールの検出結果] を有効にすると、これらのフィールドは Compliance.SecurityControlId に合わせて削除されます。

RecommendationUrl

コントロールの修復情報の URL。[統合されたコントロールの検出結果] を有効にすると、このフィールドは Remediation.Recommendation.Url に合わせて削除されます。

RelatedAWSResources:0/name

結果に関連付けられたリソースの名前。

RelatedAWSResource:0/type

コントロールに関連付けられたリソースのタイプ。

StandardsControlArn

コントロールの ARN。[統合されたコントロールの検出結果] を有効にすると、このフィールドは削除されます。

aws/securityhub/ProductName

コントロールの検出結果の場合、製品名は Security Hub になります。

aws/securityhub/CompanyName

コントロールの検出結果の場合、会社名は AWS です。

aws/securityhub/annotation

コントロールによって検出された問題の説明。

aws/securityhub/FindingId

検出結果の識別子。

[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。

コントロールの検出結果の重要度

Security Hub CSPM コントロールに割り当てられる重要度は、コントロールの重要性を示します。コントロールの重要度により、コントロールの結果に割り当てられる重要度ラベルが決まります。

重要度の基準

コントロールの重要度は、以下の基準の評価に基づいて決定されます:

  • 脅威アクターがコントロールに関連する設定の弱点を利用する際の難易度 この難易度は、弱点を利用して脅威シナリオを実行するために必要な洗練度または複雑さの度合いによって決まります。

  • 弱点が AWS アカウント またはリソースの侵害につながる可能性 AWS アカウント またはリソースの侵害とは、お客様のデータまたは AWS インフラストラクチャの機密性、完全性、可用性が何らかの形で損害を受けたことを意味します。侵害の可能性とは、脅威シナリオが AWS のサービス またはリソースの中断または侵害につながる可能性を示します。

例えば、次の設定の弱点について検討します。

  • ユーザーアクセスキーが 90 日ごとにローテーションされません。

  • IAM ルートユーザーキーが存在します。

どちらの弱点も、攻撃者が悪用する際の難易度は同程度です。両方の弱点とも、攻撃者は認証情報の盗難やその他の方法を使用してユーザーキーを取得します。その後、このユーザーキーを使用して、許可されない方法でリソースにアクセスします。

ただし、脅威アクターによって取得されたアクセスキーがルートユーザーのものである場合、よりアクセス性が高いため、侵害の可能性はより高くなります。この結果、ルートユーザーキーの弱点は、重要度が高くなります。

重要度では、基になるリソースの重大度は考慮されていません。重大度は、結果に関連付けられているリソースの重要性の程度として定義されます。例えば、ミッションクリティカルなアプリケーションに関連付けられているリソースは、非本番稼働用テストに関連付けられたリソースより重大度が高くなります。リソースの重大度情報を取得するには、AWS Security Finding 形式 (ASFF) の Criticality フィールドを使用します。

次の表に、悪用行為の難易度と、セキュリティラベルが侵害される可能性を示します。

侵害の可能性が非常に高い

侵害の可能性が高い

侵害の可能性が低い

侵害の可能性が非常に低い

悪用行為が非常に簡単

重大

重大

悪用行為がやや簡単

重大

悪用行為がやや難しい

悪用行為が非常に難しい

重要度の定義

重要度ラベルは次のように定義されています。

重大 - この問題は、さらに悪化しないように直ちに修復する必要があります。

例えば、公開された S3 バケットは重大な重要度の結果と考えられます。非常に多くの脅威アクターによって、公開された S3 バケットがスキャンされるため、公開された S3 バケット内のデータは、他者によって発見およびアクセスされる可能性があります。

一般に、パブリックにアクセス可能なリソースは、セキュリティ上の重大な問題と見なされます。重大な結果への対応は、緊急性が最も高くなります。また、リソースの重大度も考慮する必要があります。

高 - この問題は短期的な優先事項として対処する必要があります。

例えば、デフォルトの VPC セキュリティグループがインバウンドおよびアウトバウンドトラフィックに対して開かれている場合、重要度が高いと考えられます。脅威アクターがこの方法を使用して VPC を侵害することは、やや簡単であるためです。また、脅威アクターが VPC 内に侵入すると、リソースを中断または流出させる可能性があります。

Security Hub CSPM では、重要度の高い結果を短期的な優先事項として扱うことをお勧めします。すぐに修復手順を実行する必要があります。また、リソースの重大度も考慮する必要があります。

中 - この問題は、中期的な優先事項として対処する必要があります。

例えば、転送中のデータの暗号化が欠如している場合、重要度が中程度の結果と考えられます。高度な中間者攻撃では、この弱点を悪用することになります。つまり、やや難しい攻撃手法です。脅威シナリオが成功すると、一部のデータが侵害される可能性があります。

Security Hub CSPM では、できるだけ早く、関連するリソースを調査することをお勧めします。また、リソースの重大度も考慮する必要があります。

低 - この問題には、独自のアクションは必要ありません。

例えば、フォレンジック情報の収集に失敗した場合、重要度が低いと考えられます。この管理は将来の侵害を防ぐのに役立ちますが、フォレンジックが実行されない限り、侵害に直接つながりません。

重要度の低い結果については、すぐにアクションを実行する必要はありませんが、他の問題と相関関係がある場合は、コンテキストを入手できます。

情報 - 設定の弱点は見つかりませんでした。

つまり、ステータスは PASSEDWARNING、または NOT AVAILABLE です。

推奨されるアクションはありません。通知目的の結果は、顧客が準拠状態であることを実証するのに役立ちます。