Security Hub CSPM の無効化 - AWS Security Hub

Security Hub CSPM の無効化

AWS Security Hub CSPM を無効化するには、Security Hub CSPM コンソールまたは Security Hub API を使用します。Security Hub CSPM を無効にしても、後で再度有効にできます。

組織で中央設定を使用している場合、 Security Hub 委任管理者は、特定のアカウントや組織単位 (OU) でのみ Security Hub CSPM を無効にし、他のアカウントや OU では有効のままにしておく設定ポリシーを作成することができます。設定ポリシーは、ホームリージョンおよびリンクされたすべてのリージョンで有効になります。詳細については、「Security Hub CSPM での中央設定について」を参照してください。

アカウントで Security Hub CSPM を無効にすると、次のようになります。

  • アカウントでは、すべての Security Hub CSPM 標準およびコントロールが無効となります。

  • Security Hub CSPM は、そのアカウントの検出結果の生成、更新、取り込みを停止します。

  • 30 日後、Security Hub CSPM はそのアカウントの既存のアーカイブされた検出結果をすべて完全に削除します。Security Hub CSPM を使用して検出結果を復元することはできません。

  • 90 日後、Security Hub CSPM はアカウントの既存のアクティブな検出結果をすべて完全に削除します。Security Hub CSPM を使用して検出結果を復元することはできません。

  • 90 日後、Security Hub CSPM は、そのアカウントの既存のインサイトと Security Hub CSPM 設定をすべて完全に削除します。これらのデータおよび設定は復元できません。

既存の検出結果を保持するには、Security Hub CSPM を無効にする前に、検出結果を S3 バケットにエクスポートできます。これを行うには、Amazon EventBridge ルールでカスタムアクションを使用します。詳細については、「EventBridge を使用した自動応答と修復」を参照してください。

アカウントの Security Hub CSPM を無効にしてから 90 日以内に再度有効にすると、既存のアクティブな検出結果、およびアカウントのインサイトと Security Hub CSPM 設定へのアクセスが回復します。30 日以内に Security Hub CSPM を再度有効にすると、アカウントの既存のアーカイブされた検出結果へのアクセスも回復します。ただし、Security Hub CSPM を無効にした時の AWS 環境の状態が反映されるため、既存の検出結果は不正確である可能性があります。さらに、個々の標準とコントロールを再度有効にした直後には、Security Hub CSPM は、有効化された標準とコントロールに応じて、特定の AWS リソースに対して重複した検出結果を生成することがあります。このような理由から、次のいずれかを実行することをお勧めします。

  • Security Hub CSPM を無効にする前に、既存のすべての検出結果のワークフローステータスを RESOLVED に変更します。詳細については、「検出結果のワークフローステータスを設定する」を参照してください。

  • Security Hub CSPM を無効にする少なくとも 6 日前に、すべての標準を無効にします。その後、Security Hub CSPM は、すべての既存の検出結果をベストエフォートベースでアーカイブ化します。通常は 3~5 日以内にアーカイブ化が完了します。詳細については、「セキュリティ標準の無効化」を参照してください。

次の場合は、Security Hub CSPM を無効にすることはできません。

  • お使いのアカウントが組織の Security Hub CSPM 委任管理者アカウントである場合。中央設定を使用している場合、Security Hub CSPM を無効にする設定ポリシーを、委任管理者アカウントに関連付けることはできません。関連付けは他のアカウントについては成功する可能性がありますが、Security Hub CSPM はこのようなポリシーを委任管理者アカウントに適用しません。

  • お使いのアカウントが招待による Security Hub 管理者アカウントであり、メンバーアカウントをお持ちの場合。Security Hub CSPM を無効にするには、すべてのメンバーアカウントの関連付けを解除する必要があります。この方法の詳細は、「Security Hub CSPM でメンバーアカウントの関連付けを解除する」を参照してください。

メンバーアカウントの所有者が Security Hub CSPM を無効にする前に、そのアカウントと管理者アカウントとの関連付けを解除する必要があります。組織アカウントの場合、メンバーアカウントの関連付けを解除できるのは管理者アカウントのみです。詳細については、「組織から Security Hub CSPM メンバーアカウントの関連付けを解除する」を参照してください。手動で招待されたアカウントの場合、管理者アカウントまたはメンバーアカウントのいずれかでメンバーアカウントの関連付けを解除できます。詳細については「Security Hub CSPM でメンバーアカウントの関連付けを解除する」または「Security Hub CSPM 管理者アカウントとの関連付けを解除する」を参照してください。中央設定を使用している場合は、特定のメンバーアカウントについて Security Hub CSPM を無効にするポリシーを作成できるため、関連付けを解除する必要はありません。

アカウントの Security Hub CSPM を無効にすると、現在の AWS リージョン リージョンでのみ無効になります。ただし、中央設定を使用して特定のアカウントで Security Hub CSPM を無効にすると、ホームリージョンおよびすべてのリンクされたリージョンで無効になります。

ご希望の方法を選択し、手順に従って Security Hub CSPM を無効にします。

Security Hub CSPM console

コンソールを使用して Security Hub CSPM を無効にするには、以下のステップに従います。

Security Hub CSPM を無効にするには

  1. AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインの [設定]で、[全般設定] を選択します。

  3. [Security Hub CSPM の無効化]セクションで、[Security Hub CSPM の無効化] を選択します。

  4. 確認を求められたら、[Security Hub CSPM を無効化する] を選択します。

Security Hub API

Security Hub CSPM をプログラムで無効にするには、AWS Security Hub API の DisableSecurityHub オペレーションを使用します。または、AWS CLI を使用している場合は、disable-security-hub コマンドを実行します。たとえば、次のコマンドは、現在の AWS リージョン で Security Hub CSPM を無効にします。

$ aws securityhub disable-security-hub