セキュリティ標準の無効化 - AWSSecurity Hub
複数のアカウントで標準を無効にするAWS リージョン1 つのアカウントで標準を無効にするAWS リージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ標準の無効化

AWSSecurity Hub CSPM でセキュリティ標準を無効にすると、以下が発生します。

  • その標準に適用されるすべてのコントロールは、現在有効な別の標準に関連付けられている場合を除き、無効になります。

  • 無効化されたコントロールに対するセキュリティチェックは行われなくなり、無効化されたコントロールについて新しい検出結果が追加で生成されることもありません。

  • 無効化されたコントロールの既存の検出結果は、約 3~5 日後に自動的にアーカイブされます。

  • AWS Config無効化されたコントロール用に Security Hub CSPM が作成した ルールは削除されます。

通常、適切なAWS Configルールの削除は、標準を無効にしてから数分以内に行われます。ただし、時間がかかる場合があります。ルール削除の最初のリクエストが失敗した場合、Security Hub CSPM は 12 時間ごとに再試行します。ただし、Security Hub CSPM を無効にした場合、または他の標準を有効にしていない場合、Security Hub CSPM は再試行できません。つまり、ルールは削除できません。これが発生し、ルールを削除する必要がある場合は、 にお問い合わせくださいAWS サポート。

複数のアカウントで標準を無効にするAWS リージョン

複数のアカウントおよび でセキュリティ標準を無効にするにはAWS リージョン、中央設定を使用します。中央設定を使用すると、Security Hub CSPM 委任管理者は、1 つ以上の標準を無効化する Security Hub CSPM の設定ポリシーを作成できます。管理者は、その後、設定ポリシーを個々のアカウント、組織単位 (OU)、またはルートに関連付けることができます。設定ポリシーは、集約リージョンとも呼ばれるホームリージョンおよびすべてのリンクされたリージョンに影響します。

設定ポリシーではカスタマイズオプションが可能です。たとえば、1 つの OU で Payment Card Industry Data Security Standard (PCI DSS) を無効にすることを選択できます。別の OU では、PCI DSS と米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5 標準の両方を無効にすることができます。指定した個々の標準を有効または無効にする設定ポリシーの作成については、「設定ポリシーの作成と関連付け」を参照してください。

注記

Security Hub CSPM 管理者は、AWS Control Tower サービスマネージド標準を除く任意の標準を、設定ポリシーを使って無効にできます。この標準を無効にするには、管理者が AWS Control Towerを直接使用する必要があります。また、 を使用してAWS Control Tower、一元管理されたアカウントのこの標準の個々のコントロールを無効または有効にする必要があります。

一部のアカウントで自分のアカウントの標準を設定または無効にする場合、Security Hub CSPM 管理者はそれらのアカウントをセルフ管理アカウントとして指定できます。セルフマネージドアカウントは、リージョンごとに標準を個別に無効にする必要があります。

1 つのアカウントで標準を無効にするAWS リージョン

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントまたは AWS リージョン でセキュリティ標準を一元的に無効にすることはできません。ただし、1 つのアカウントおよびリージョンで標準を無効にすることができます。これは、Security Hub CSPM コンソールまたはSecurity Hub CSPM API を使用して実行できます。

Security Hub CSPM console

Security Hub CSPM コンソールを使用して、1 つのアカウントとリージョンで標準を無効にするには、次の手順に従います。

1 つのアカウントおよびリージョンで標準を無効にするには

  1. https://console.aws.amazon.com/securityhub/ で AWSSecurity Hub CSPM コンソールを開きます。

  2. ページの右上隅にある AWS リージョンセレクターを使用して、標準を無効にするリージョンを選択します。

  3. ナビゲーションペインで、[セキュリティ標準] を選択します。

  4. 無効化したい標準のセクションで、[標準を無効化] を選択します。

追加のリージョンで標準を無効化するには、追加のリージョンごとに前のステップを繰り返します。

Security Hub CSPM API

1 つのアカウントとリージョンで標準をプログラムで無効にするには、BatchDisableStandards オペレーションを使用します。または、AWS Command Line Interface(AWS CLI) を使用している場合は、 batch-disable-standards コマンドを実行します。

リクエストで、StandardsSubscriptionArns パラメータを使用して、無効にする標準の Amazon リソースネーム (ARN) を指定します。を使用している場合はAWS CLI、 standards-subscription-arnsパラメータを使用して ARN を指定します。また、リクエストが適用されるリージョンも指定します。たとえば、次のコマンドは、アカウント (123456789012) AWSの Foundational Security Best Practices (FSBP) 標準を無効にします。

$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1

ここでは、arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0 は米国東部 (バージニア北部) リージョンのアカウントの FSBP 標準の ARN であり、us-east-1 は無効にするリージョンです。

標準の ARN を取得するには、GetEnabledStandards オペレーションを使用できます。このオペレーションは、アカウントで現在有効になっている標準に関する情報を取得します。を使用している場合はAWS CLI、get-enabled-standards コマンドを実行してこの情報を取得できます。

標準を無効にすると、Security Hub CSPM は、アカウントと指定されたリージョンで標準を無効にするタスクの実行を開始します。これには、標準に適用されるすべてのコントロールの無効化が含まれます。これらのタスクのステータスをモニタリングするには、アカウントとリージョンの標準のステータスを確認できます