翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub CSPM で無効化を推奨するコントロール
検出結果のノイズを減らし、使用コストを抑えるために、一部の AWS Security Hub CSPM コントロールを無効化することをお勧めします。
グローバルリソースを使用するコントロール
一部の AWS のサービス は、グローバルリソースをサポートしています。つまり、どの AWS リージョンからでもリソースにアクセスできるということです。AWS Config のコストを節約するために、1 つのリージョンを除くすべてのグローバルリソースの記録を無効にすることができます。ただし、これを行った後、Security Hub CSPM は引き続きコントロールが有効になっているすべてのリージョンでセキュリティチェックを実行し、リージョンごとにアカウントごとのチェック数に基づいて料金を請求します。したがって、Security Hub CSPM での検出結果のノイズを減らし、コストを節約するには、グローバルリソースを記録するリージョン以外のすべてのリージョンで、グローバルリソースが含まれるコントロールを無効にする必要もあります。
コントロールにグローバルリソースが含まれるが、1 つのリージョンでのみ利用可能な場合、そのリージョンでコントロールを無効にすると、基盤となるリソースの検出結果を取得できなくなります。この場合、コントロールを有効にしておくことをお勧めします。クロスリージョン集約を使用する場合、コントロールが利用可能なリージョンは、集約リージョンまたはリンクされたリージョンのいずれかである必要があります。次のコントロールにはグローバルリソースが含まれますが、単一のリージョンでのみ使用できます。
すべての CloudFront コントロール – 米国東部 (バージニア北部) リージョンでのみ利用できます
GlobalAccelerator.1 – 米国西部 (オレゴン) リージョンでのみ利用できます
Route53.2 – 米国東部 (バージニア北部) リージョンでのみ利用できます
WAF.1、WAF.6、WAF.7、WAF.8 – 米国東部 (バージニア北部) リージョンでのみ利用できます
注記
中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに限定するには、AWS Config レコーダーの設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソースの記録をオフにします。
グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。
中央設定の詳細については、「Security Hub CSPM での中央設定について」を参照してください。
定期的なスケジュールタイプを持つコントロールの場合、課金を防ぐには Security Hub CSPM でコントロールを無効にする必要があります。AWS Config パラメータ includeGlobalResourceTypes を false に設定しても、定期的な Security Hub CSPM コントロールには影響しません。
以下の Security Hub CSPM コントロールは、グローバルリソースを使用します。
-
[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります
-
[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります
-
[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります
-
[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります
-
[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください
-
[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります
-
[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります
-
[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります
-
[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります
-
[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません
-
[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください
-
[WAF.8]AWS WAFClassic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です
CloudTrail ログ記録コントロール
CloudTrail.2 コントロールは、AWS CloudTrail 証跡ログを暗号化するための AWS Key Management Service (AWS KMS) の使用を評価します。集中ログ記録アカウントでこれらの追跡をログ記録する場合、このコントロールはアカウント内および集中ログ記録が行われる AWS リージョン でのみ有効にする必要があります。
中央設定を使用した場合、コントロールの有効化ステータスは、ホームリージョンおよびリンクされたリージョンで統一されます。一部のリージョンでコントロールを無効にして、他のリージョンで有効にすることはできません。この場合は、CloudTrail.2 コントロールからの検出結果を抑制して、検出結果のノイズを低減できます。
CloudWatch アラームコントロール
異常検出で、Amazon CloudWatch アラームの代わりに Amazon GuardDuty を使用したい場合は、CloudWatch アラームに特化した以下のコントロールを無効にすることができます。
-
[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります
-
[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します
-
[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します
-
[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します
-
[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します
-
[CloudWatch.6] AWS マネジメントコンソール認証失敗のログメトリクスフィルターとアラームが存在することを確認する
-
[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します
-
[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します
-
[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します
-
[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します
-
[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します
-
[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します
