Security Hub CSPM のコントロールパラメータについて - AWS Security Hub
コントロールパラメータ値の変更による影響カスタムパラメータをサポートするコントロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM のコントロールパラメータについて

AWS Security Hub Cloud Security Posture Management (CSPM) の一部のコントロールは、コントロールの評価方法に影響するパラメータを使用します。通常、このようなコントロールは、Security Hub CSPM が定義するデフォルトのパラメータ値に対して評価されます。ただし、これらのコントロールのサブセットについては、パラメータ値を変更することができます。コントロールパラメータ値を変更すると、Security Hub CSPM は指定した値に対してコントロールの評価を開始します。コントロールの基盤となるリソースがカスタム値を満たす場合、Security Hub CSPM はPASSED検出結果を生成します。リソースがカスタム値を満たさない場合、Security Hub CSPM はFAILED検出結果を生成します。

コントロールパラメータをカスタマイズすることで、ビジネス要件とセキュリティの期待に合わせて、Security Hub CSPM が推奨およびモニタリングするセキュリティのベストプラクティスを絞り込むことができます。コントロールの検出結果を抑制する代わりに、1 つ以上のパラメータをカスタマイズして、セキュリティニーズに合った検出結果を取得することができます。

コントロールパラメータの変更とカスタム値の設定のサンプルユースケースを以下に示します。

  • [CloudWatch.16] – CloudWatch ロググループは指定した期間保持する必要があります

    保持期間を指定できます。

  • [IAM.7] – IAM ユーザーのパスワードポリシーには強力な設定が必要です

    パスワード強度に関するパラメータを指定できます。

  • [EC2.18] – セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります

    無制限の着信トラフィックを許可するように承認するポートを指定できます。

  • [Lambda.5] – VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります

    成功の検出結果を生成するアベイラビリティーゾーンの最小数を指定できます。

このセクションでは、コントロールパラメータを変更するときに考慮すべき事項について説明します。

コントロールパラメータ値の変更による影響

パラメータ値を変更する場合は、新しい値に基づいてコントロールを評価する新しいセキュリティチェックもトリガーします。次に、Security Hub CSPM は、新しい値に基づいて新しいコントロール結果を生成します。コントロールの検出結果の定期的な更新中、Security Hub CSPM は新しいパラメータ値も使用します。コントロールのパラメータ値を変更しても、コントロールを含む標準を有効にしていない場合、Security Hub CSPM は新しい値を使用してセキュリティチェックを行いません。新しいパラメータ値に基づいてコントロールを評価するには、Security Hub CSPM に関連する標準を少なくとも 1 つ有効にする必要があります。

コントロールは、1 つまたは複数のカスタマイズ可能なパラメータを持つことができます。それぞれのコントロールパラメータで使用可能なデータ型には以下が含まれます。

  • ブール値

  • 倍精度

  • 列挙型

  • EnumList

  • 整数

  • IntegerList

  • String

  • StringList

カスタムパラメータ値は、有効になっている標準全体に適用されます。現在のリージョンでサポートされていないコントロールのパラメータはカスタマイズできません。個々のコントロールに関するリージョンの制限のリストについては、「Security Hub CSPM コントロールのリージョン制限」を参照してください。

一部のコントロールは、許容パラメータ値も指定された範囲に収まらないと有効になりません。このような場合、Security Hub CSPM は許容範囲を提供します。

Security Hub CSPM はデフォルトのパラメータ値を選択し、場合によっては更新することがあります。コントロールパラメータをカスタマイズしても、その値は、変更しない限りパラメータに指定した値のままです。つまり、パラメータのカスタム値が Security Hub CSPM で定義されている現在のデフォルト値と一致していても、 パラメータはデフォルトの Security Hub CSPM 値への更新の追跡を停止します。コントロール「[ACM.1] – インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります」の例を以下に示します。

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

前の例では、daysToExpiration パラメータのカスタム値は 30 です。このパラメータの現在のデフォルト値も 30 です。Security Hub CSPM がデフォルト値を に変更した場合14、この例の パラメータはその変更を追跡しません。30 の値は保持されます。

パラメータのデフォルトの Security Hub CSPM 値の更新を追跡する場合は、 DEFAULTの代わりに ValueTypeフィールドを に設定しますCUSTOM。詳細については、「1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻す」を参照してください。

カスタムパラメータをサポートするコントロール

カスタムパラメータをサポートするセキュリティコントロールのリストについては、Security Hub CSPM コンソールの「コントロール」ページまたは「」を参照してくださいSecurity Hub CSPM のコントロールリファレンス。このリストをプログラムで取得するには、ListSecurityControlDefinitions 操作を使用します。レスポンスで、CustomizableProperties オブジェクトによって、どのコントロールがカスタマイズ可能なパラメータをサポートしているかが示されます。