コンプライアンスステータスとコントロールステータスの評価 - AWSSecurity Hub
Security Hub CSPM の検出結果のコンプライアンスステータスの評価コンプライアンスステータスからコントロールステータスを取得する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンプライアンスステータスとコントロールステータスの評価

AWS Security Finding 形式の Compliance.Status フィールドは、コントロールの検出結果を示します。AWSSecurity Hub CSPM は、コントロール検出結果のコンプライアンスステイタスを使用して、全体的なコントロールステータスを決定します。コントロールのステータスは、Security Hub CSPM コンソールのコントロールの詳細ページに表示されます。

Security Hub CSPM の検出結果のコンプライアンスステータスの評価

各検出結果のコンプライアンスステータスには、以下のいずれかの値が割り当てられます。

  • PASSED – コントロールが検出結果のセキュリティチェックに合格したことを示します。これにより Security Hub CSPM Workflow.StatusRESOLVED に自動的に設定されます。

  • FAILED – コントロールが検出結果のセキュリティチェックに合格しなかったことを示します。

  • WARNING – リソースが PASSED または FAILED 状態であるかどうかを Security Hub CSPM が判断できないことを示します。例えば、対応するリソースタイプに対して [AWS Config リソースの記録] が有効になっていません。

  • NOT_AVAILABLE - サーバー障害があるか、リソースが削除されたか、AWS Config 評価の結果が NOT_APPLICABLE であったため、チェックを完了できないことを示します。AWS Config 評価結果が NOT_APPLICABLE だった場合、検出結果は Security Hub CSPM により自動的にアーカイブされます。

検出結果のコンプライアンスステイタスが PASSED から FAILEDWARNING、および NOT_AVAILABLE に変更され、かつ Workflow.StatusNOTIFIED または RESOLVED の場合、Security Hub CSPM は Workflow.StatusNEW に自動的に変更します。

コントロールに対応するリソースがない場合、Security Hub CSPM はアカウントレベルで PASSED 検出結果を生成します。コントロールに対応するリソースがあっても、そのリソースを削除すると、Security Hub CSPM は NOT_AVAILABLE 検出結果を作成し、すぐにアーカイブします。18 時間後、コントロールに対応するリソースがなくなったため、PASSED 検出結果が表示されます。

コンプライアンスステータスからコントロールステータスを取得する

Security Hub CSPM は、コントロール検出結果のコンプライアンスステータスから、全体的なコントロールステータスを導き出します。コントロールステータスの決定時、Security Hub CSPM は ARCHIVEDRecordState がある検出結果と、SUPPRESSEDWorkflow.Status がある検出結果を無視します。

コントロールステータスには、次のいずれかの値が割り当てられます。

  • 合格 - すべての検出結果において PASSED がコンプライアンスステータス であることを示します。

  • 失敗 - 少なくとも 1 つの検出結果において FAILED がコンプライアンスステータスであることを示します。

  • 不明 - 少なくとも 1 つの検出結果のコンプライアンスステータスが WARNING または NOT_AVAILABLE であることを示します。コンプライアンスステータスが FAILED の検出結果はありません。

  • データなし - コントロールの結果がないことを示します。例えば、新しく有効になったコントロールは、Security Hub CSPM がその検出結果の生成を開始するまで、このステータスになります。また、コントロールは、すべての検出結果が SUPPRESSED の場合、または現在の AWS リージョン で使用できない場合にも、このステータスになります。

  • [無効] - 現在のアカウントとリージョンでコントロールが無効になっていることを示します。現在のアカウントとリージョンでは、現在このコントロールに対してセキュリティチェックは実行されていません。ただし、無効になっているコントロールの検出結果には、無効になった後、最大 24 時間コンプライアンスステータスの値が含まれる場合があります。

管理者アカウントの場合、コントロールステータスには管理者アカウントとメンバーアカウントのコントロールステータスが反映されます。具体的には、コントロールの全体的なステータスは、管理者アカウントまたはメンバーアカウントにコントロールに 1 つ以上の失敗した検出結果がある場合、[失敗]として表示されます。集約リージョンを設定している場合、集約リージョンのコントロールステータスには、集約リージョンとリンクされたリージョンのコントロールステータスが反映されます。具体的には、コントロールの全体的なステータスは、集約リージョンおよびリンクされたリージョンでコントロールに 1 つ以上の失敗した検出結果がある場合、[失敗] と表示されます。

Security Hub CSPM は通常、Security Hub CSPM コンソールの [概要] ページまたは [セキュリティ標準] ページへの最初のアクセスから 30 分以内に最初のコントロールステータスを生成します。コントロールステータスを表示するには、AWS Configリソースレコードを設定する必要があります。最初のコントロールステータスが生成された後、Security Hub CSPM は、過去 24 時間の結果に基づき、24 時間おきにコントロールステータスを更新します。コントロールの詳細ページのタイムスタンプは、コントロールステータスが最後に更新された日時を示します。

注記

初めて有効にしてから、コントロールステータスが中国リージョンと AWS GovCloud (US) Region で生成されるまで、最大で 24 時間かかりる場合があります。