Security Hub を有効にする - AWS Security Hub
組織の Security Hub を有効にするSecurity Hub スタンドアロンアカウントを有効にする

Security Hub を有効にする

注記

Security Hub はプレビューリリース段階で、変更される可能性があります。

任意の AWS アカウント に対して Security Hub を有効にできます。このトピックの手順では、AWS 組織管理アカウント、委任管理者アカウント、スタンドアロンアカウントから Security Hub を有効にする方法について説明します。

組織の Security Hub を有効にする

このセクションでは、3 つのステップについて説明します。ステップ 1 では、AWS 組織管理アカウントが Security Hub を有効にし、組織の委任管理者を指定して、委任管理者ポリシーを作成します。ステップ 2 では、組織の委任管理者が Security Hub を有効にします。ステップ 3 では、組織の委任管理者は、組織内のすべてのメンバーアカウントに対して Security Hub を有効にするポリシーを作成します。

ステップ 1. AWS の組織管理アカウントで Security Hub を有効化する

このステップには 2 つの手順が含まれています。最初の手順では、Security Hub CSPM を有効にし、Security Hub CSPM で委任管理者を指定した場合、Security Hub を有効にする方法について説明します。2 番目の手順では、Security Hub CSPM を有効にしておらず、Security Hub CSPM で委任管理者を指定していない場合に Security Hub を有効にする方法について説明します。どちらの手順でも、ステップをスキップして委任管理者を指定する場合は、ステップをスキップして委任管理者ポリシーを作成する必要があります。委任管理者ポリシーは、委任管理者を指定した後にのみ作成できます。Security Hub での委任管理者の指定については、「Designating a delegated administrator account in Security Hub」を参照してください。Security Hub での委任管理者ポリシーの作成については、「Creating the delegated administrator policy in Security Hub」を参照してください。

Enable Security Hub with Security Hub CSPM

この手順は、AWS 組織管理アカウントが以前に Security Hub CSPM を有効にし、Security Hub CSPM で委任された管理者を指定したことを前提としています。

Security Hub を有効化するには

  1. AWS 組織の管理アカウントの認証情報を使用して、AWS アカウントにサインインします。「https://console.aws.amazon.com/securityhub/v2/home」セキュリティハブコンソールを開きます。

  2. Security Hub ホームページから [Security Hub][開始] を選択します。

  3. (オプション) [委任管理者アカウント] では、指定されたオプションに基づいて管理者アカウントを選択します。ベストプラクティスとして、一貫したガバナンスのために、すべてのセキュリティサービスで同じ委任管理者を使用することをお勧めします。

  4. (オプション) [アカウントを有効にする] には、チェックボックスをオンにして AWS アカウントの Security Hub を有効にします。

  5. (オプション) [委任管理者ポリシー] で、次のいずれかのオプションを選択してポリシーステートメントを追加します。

    1. (オプション 1) [これを更新する] を選択します。ポリシーステートメントの下にあるボックスを選択して、Security Hub が委任管理者に必要なすべてのアクセス許可を付与する委任ポリシーを自動的に作成することを確認します。

    2. (オプション 2) [手動でアタッチする] を選択します。[コピーしてアタッチ] を選択します。AWS Organizations コンソールの [AWS Organizations の委任された管理者] で、[委任] を選択し、委任ポリシーエディタにリソースポリシーを貼り付けます。[ポリシーを作成] を選択します。Security Hub コンソールにあるタブを開きます。

  6. [設定] を選択します。

Enable Security Hub without Security Hub CSPM

この手順は、AWS 組織管理アカウントが以前に Security Hub CSPM を有効にしておらず、Security Hub CSPM で委任管理者を指定したことを前提としています。

Security Hub を有効化するには

  1. 組織管理アカウントの認証情報を使用して AWS アカウントにサインインし、https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. Security Hub ホームページから [Security Hub][開始] を選択します。

  3. (オプション) [委任管理者] の場合は、指定された AWS アカウント または [アカウントを選択] のいずれかを選択します。[アカウントの選択] を選択した場合は、Security Hub で委任管理者として AWS アカウント に指定するの 12 桁の番号を入力します。

  4. (オプション) [アカウントを有効にする] には、AWS アカウント の Security Hub を有効にするボックスを選択します。

  5. (オプション) [委任管理者ポリシー] で、次のいずれかのオプションを選択してポリシーステートメントを追加します。

    1. (オプション 1) [これを更新する] を選択します。ポリシーステートメントの下にあるボックスを選択して、Security Hub が委任管理者に必要なすべてのアクセス許可を付与する委任ポリシーを自動的に作成することを確認します。

    2. (オプション 2) [手動でアタッチする] を選択します。[コピーしてアタッチ] を選択します。AWS Organizations コンソールの [AWS Organizations の委任された管理者] で、[委任] を選択し、委任ポリシーエディタにリソースポリシーを貼り付けます。[ポリシーを作成] を選択します。Security Hub コンソールにあるタブを開きます。

  6. [設定] を選択します。

Security Hub を有効にすると、AWSServiceRoleForSecurityHubV2 というサービスにリンクされたロールとサービスにリンクされたレコーダーがアカウントに作成されます。サービスにリンクされたレコーダーは、AWS サービスによって管理される AWS Config レコーダーの一種で、サービス固有のリソースに関する設定データを記録できます。サービスにリンクされたレコーダーを使用することで、Security Hub は公開分析のカバレッジに必要なリソース設定項目を取得したり、リソースインベントリを報告したりするために、イベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、AWS アカウント および AWS リージョン ごとに設定されます。詳細については、「Considerations for service-linked configuration recorders」を参照してください。

ステップ 2. 委任管理者アカウントでセキュリティを有効化する

このステップは、委任管理者が完了するためのものです。AWS の組織管理アカウントが組織の委任管理者を指定した後、その委任管理者は Security Hub を有効化する必要があります。

委任管理者アカウントで Security Hub を有効にするには

  1. 委任管理者認証情報を使用して AWS アカウントにサインインします。「https://console.aws.amazon.com/securityhub/v2/home」セキュリティハブコンソールを開きます。

  2. Security Hub ホームページから [Security Hub][開始] を選択します。

  3. [有効化] を選択します。

  4. (オプション) タグでは、キーと値のペアをアカウント設定に追加するかどうかを決定します。

  5. [Go to Security Hub] (Security Hub に移動) を選択します。

Security Hub を有効にすると、AWSServiceRoleForSecurityHubV2 というサービスにリンクされたロールとサービスにリンクされたレコーダーがアカウントに作成されます。サービスにリンクされたレコーダーは、AWS サービスによって管理される AWS Config レコーダーの一種で、サービス固有のリソースに関する設定データを記録できます。サービスにリンクされたレコーダーを使用することで、Security Hub は公開分析のカバレッジに必要なリソース設定項目を取得したり、リソースインベントリを報告したりするために、イベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、AWS アカウント および AWS リージョン ごとに設定されます。詳細については、「Considerations for service-linked configuration recorders」を参照してください。

ステップ 3. すべてのメンバーアカウントで Security Hub を有効にするポリシーを作成する

このステップは、委任管理者が完了するためのものです。組織の委任管理者が Security Hub を有効にした後に、組織内のどのメンバーアカウントを有効または無効にするかを定義できるポリシーを作成する必要があります。詳細については、「Creating a policy as the delegated administrator to manage member accounts」を参照してください。

Security Hub スタンドアロンアカウントを有効にする

この手順では、スタンドアロンアカウントで Security Hub を有効にする方法について説明します。スタンドアロンアカウントとは、AWS アカウント であり、AWS 組織を有効化していないアカウントのことです。

スタンドアロンアカウントで Security Hub を有効にするには

  1. スタンドアロンアカウントの認証情報を使用して AWS アカウントにサインインします。「https://console.aws.amazon.com/securityhub/v2/home」セキュリティハブコンソールを開きます。

  2. Security Hub ホームページから [Security Hub][開始] を選択します。

  3. [有効化] を選択します。

Security Hub を有効にすると、AWSServiceRoleForSecurityHubV2 というサービスにリンクされたロールとサービスにリンクされたレコーダーがアカウントに作成されます。サービスにリンクされたレコーダーは、AWS サービスによって管理される AWS Config レコーダーの一種で、サービス固有のリソースに関する設定データを記録できます。サービスにリンクされたレコーダーを使用することで、Security Hub は公開分析のカバレッジに必要なリソース設定項目を取得したり、リソースインベントリを報告したりするために、イベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、AWS アカウント および AWS リージョン ごとに設定されます。詳細については、「Considerations for service-linked configuration recorders」を参照してください。