Security Hub CSPM のセキュリティチェックとスコアについて

有効にするコントロールごとに、 AWS Security Hub Cloud Security Posture Management (CSPM) はセキュリティチェックを実行します。セキュリティチェックでは、特定の AWS リソースがコントロールに含まれるルールに準拠しているかどうかを示す結果が生成されます。

一部のチェックは定期的なスケジュールで実行されます。その他のチェックは、リソースの状態が変更された場合にのみ実行されます。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

多くのセキュリティチェックでは、 AWS Config マネージドルールまたはカスタムルールを使用してコンプライアンス要件を確立します。これらのチェックを実行するには、必要なリソースのリソース記録を設定 AWS Config して有効にする必要があります。設定の詳細については AWS Config、「」を参照してくださいSecurity Hub CSPM AWS Config の有効化と設定。標準ごとに記録する必要がある AWS Config リソースのリストについては、「」を参照してくださいコントロールの検出結果に必要な AWS Config リソース。その他のコントロールは、Security Hub CSPM によって管理され、前提条件を必要としないカスタム Lambda 関数を使用します。

Security Hub CSPM がセキュリティチェックを実行すると、検出結果が生成され、コンプライアンスステータスが割り当てられます。コンプライアンスステータスの詳細については、「Security Hub CSPM の検出結果のコンプライアンスステータスの評価」を参照してください。

Security Hub CSPM は、コントロールの検出結果のコンプライアンスステータスを使用して、全体的なコントロールステータスを決定します。コントロールステータスに基づいて、Security Hub CSPM は、有効なすべてのコントロールと特定の標準のセキュリティスコアも計算します。詳細については、「コンプライアンスステータスとコントロールステータスの評価」および「セキュリティスコアの計算」を参照してください。

統合コントロールの検出結果を有効にすると、コントロールが複数の標準に関連付けられている場合でも、Security Hub CSPM は 1 つの検出結果を生成します。詳細については、「統合されたコントロールの検出結果」を参照してください。