セキュリティチェックの実行スケジュール

セキュリティ標準が有効にされると、AWS Security Hub CSPM は 2 時間以内にすべてのチェックの実行を開始します。ほとんどのチェックは 25 分以内に実行開始されます。Security Hub CSPM は、コントロールの基礎となるルールを評価することによってチェックを実行します。コントロールのチェックの最初の実行が完了するまで、ステータスは [No data] (データなし) です。

新しい標準を有効にすると、Security Hub CSPM が他の有効な標準で有効になっているコントロールと同じ基盤となる AWS Config サービスリンクルールを使用するコントロールの検出結果を生成するまでに、最大 24 時間かかります。例えば、AWS Foundational Security Best Practices (FSBP) 標準で Lambda.1 を有効にした場合、Security Hub CSPM はサービスリンクルールを作成し、通常は数分で検出結果を生成します。その後、Payment Card Industry Data Security Standard (PCI DSS) で Lambda.1 コントロールを有効にすると、同じサービスリンクルールを使用するため、Security Hub がこのコントロールの検出結果を生成するまでに最大 24 時間かかります。

最初のチェックの後、各コントロールのスケジュールは、定期的に実行されるか、変更によってトリガーされます。管理された AWS Config ルールに基づくコントロールの場合、コントロールの説明には、「AWS Config デベロッパーガイド」内のルールの説明へのリンクが含まれています。この説明では、ルールが変更によってトリガーされるか、定期的に実行されるかを指定します。

定期的なセキュリティチェック

定期的なセキュリティチェックは、最後の実行から 12 時間または 24 時間以内に自動的に実行されます。周期は Security Hub CSPM によって決定され、変更はできません。定期的なコントロールは、チェック実行時の評価を反映したものになります。

定期的な統制結果のワークフローステータスを更新し、次のチェックで検出結果のコンプライアンスステータスが同じままであっても、ワークフローステータスは変更された状態のままです。例えば、KMS.4 コントロールの検出結果に失敗し (AWS KMS key ローテーションを有効にする)、検出結果を修正すると、Security Hub CSPM はワークフローの状態を NEW から RESOLVED に変更します。次の定期チェックの前に KMS キーローテーションを無効にすると、検出結果のワークフローステータスは RESOLVED のままになります。

Security Hub CSPM カスタム Lambda 関数を使用するチェックは、定期的に実行されます。

変更によってトリガーされるセキュリティチェック

変更によってトリガーされるセキュリティチェックは、関連付けられたリソースの状態が変わったときに実行されます。AWS Config では、リソースの状態の変化を継続的に記録するか、毎日記録するかを選択できます。毎日記録することを選択した場合、AWS Config は、リソースの状態に変化があったとき、各 24 時間の最後にリソース設定データを配信します。変化がなければ、データは配信されません。これにより、24 時間経過するまで、Security Hub CSPM の検出結果の生成が遅れる場合があります。選択した記録期間にかかわらず、Security Hub CSPM は 18 時間ごとにチェックして、AWS Config からのリソースの更新が見逃されていないことを確認します。

一般的に、Security Hub CSPM は、可能な限り、チェックが変更によってトリガーされるルールを使用します。チェックが変更によってトリガーされるルールをリソースで使用するには、AWS Config 設定項目がサポートされている必要があります。