翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Hub を有効にする
<a name="securityhub-v2-enable"></a>

 任意の AWS アカウントに対して Security Hub を有効にできます。ドキュメントのこのセクションでは、 AWS 組織またはスタンドアロンアカウントの Security Hub を有効にするために必要なすべてのステップについて説明します。

Security Hub を有効にする方法の簡単なデモンストレーションについては、次の動画をご覧ください。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/prtnhCfjUpM/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/prtnhCfjUpM)


## AWS 組織の Security Hub を有効にする
<a name="securityhub-v2-enable-management-account"></a>

このセクションでは、次の 3 つのステップについて説明します。
+  **ステップ 1 **では、 AWS 組織管理アカウントが AWS 組織の委任管理者を指定し、委任管理者ポリシーを作成し、オプションで自分のアカウントに対して Security Hub を有効にします。
+  **ステップ 2 **では、組織の委任管理者が自分のアカウントで Security Hub を有効にします。
+  **ステップ 3 **では、組織の委任管理者は、Security Hub およびその他のサポートされているセキュリティサービスについて、組織内のすべてのメンバーアカウントを設定します。

### ステップ 1. 管理者アカウントを委任し、必要に応じて AWS 組織管理アカウントで Security Hub を有効にする
<a name="step-1"></a>

**注記**  
 このステップは、組織管理アカウントの 1 つのリージョンでのみ完了する必要があります。

 Security Hub の委任管理者アカウントを割り当てる場合、委任管理者に選択できるアカウントは、Security Hub CSPM の委任管理者の設定方法によって異なります。Security Hub CSPM の委任管理者を設定し、そのアカウントが組織の管理アカウントでない場合、そのアカウントは自動的に Security Hub の委任管理者として設定され、別のアカウントを選択することはできません。Security Hub CSPM の委任管理者アカウントが組織管理アカウントとして設定されている場合、またはまったく設定されていない場合は、組織管理アカウントを除き、Security Hub の委任管理者アカウントとなるアカウントを選択できます。

 Security Hub での委任管理者の指定については、「[Designating a delegated administrator account in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-set-da.html)」を参照してください。Security Hub での委任管理者ポリシーの作成については、「[Creating the delegated administrator policy in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html)」を参照してください。

**Security Hub のアドミストレーターを指定するには**

1.  AWS 組織管理 AWS アカウントの認証情報を使用してアカウントにサインインします。[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home) で Security Hub コンソールを開きます。

1.  Security Hub ホームページから **[Security Hub]**、**[開始]** を選択します。

1.  **委任管理者**セクションで、提供されたオプションに基づいて管理者アカウントを選択します。ベストプラクティスとして、一貫したガバナンスのために、すべてのセキュリティサービスで同じ委任管理者を使用することをお勧めします。

1.  **Trusted access** チェックボックスをオンにします。このオプションを選択すると、委任管理者アカウントは、GuardDuty Malware Protection などの特定の機能をメンバーアカウントで設定できます。このオプションのチェックを解除すると、Security Hub はユーザーに代わってこれらの機能を有効にできず、機能が関連付けられているサービスから直接有効にする必要があります。

1.  (オプション) **アカウントを有効にする**には、 AWS アカウントの Security Hub を有効にするボックスを選択します。

1.  **委任管理者ポリシー**で、次のいずれかのオプションを選択してポリシーステートメントを追加します。

   1.  (オプション 1) **[これを更新する]** を選択します。ポリシーステートメントの下にあるボックスを選択して、Security Hub が委任管理者に必要なすべてのアクセス許可を付与する委任ポリシーを自動的に作成することを確認します。

   1.  (オプション 2) **[手動でアタッチする]** を選択します。**[コピーしてアタッチ]** を選択します。 AWS Organizations コンソールの **の委任された管理者 AWS Organizations** で、**委任**を選択し、委任ポリシーエディタにリソースポリシーを貼り付けます。**[ポリシーを作成]** を選択します。Security Hub コンソールにあるタブを開きます。

1.  [**設定**] を選択します。

### ステップ 2. 委任管理者アカウントでセキュリティを有効化する
<a name="step-2"></a>

 委任管理者アカウントはこのステップを完了します。 AWS Organization 管理アカウントが組織の委任管理者を指定した後、委任管理者は AWS 、Organization 全体で を有効にする前に、自分のアカウントで Security Hub を有効にする必要があります。

**委任管理者アカウントで Security Hub を有効にするには**

1.  委任管理者認証情報を使用して AWS アカウントにサインインします。[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home) で Security Hub コンソールを開きます。

1.  Security Hub ホームページから、**開始**方法を選択します。

1.  セキュリティ機能セクションでは、自動的に有効になり、Security Hub のリソースあたりの基本料金に含まれる機能の概要を説明します。

1.  (オプション) **[タグ]** では、キーと値のペアをアカウント設定に追加するかどうかを決定します。

1.  **Security Hub を有効にする** を選択して、Security Hub の有効化を完了します。

1.  (推奨) ポップアップから**組織の設定**を選択し、ステップ 3 に進みます。

 Security Hub を有効にすると、[AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) というサービスにリンクされたロールとサービスにリンクされたレコーダーがアカウントに作成されます。サービスにリンクされたレコーダーは、 AWS サービス固有のリソースの設定データを記録できる サービスによって管理される AWS Config レコーダーの一種です。サービスにリンクされたレコーダーを使用することで、Security Hub は公開分析のカバレッジに必要なリソース設定項目を取得したり、リソースインベントリを報告したりするために、イベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、 AWS アカウント および ごとに設定されます AWS リージョン。グローバルリソースタイプの場合、 は指定されたホームリージョンのグローバルリソースタイプ AWS Config のみを記録するため、追加のサービスにリンクされたレコーダーがホームリージョンに自動的に作成され、グローバルリソースの設定変更が記録されます。詳細については、[「サービスにリンクされた設定レコーダーに関する考慮事項](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked)」および[「リージョンおよびグローバルリソースの記録](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)」を参照してください。

### ステップ 3. すべてのメンバーアカウントで Security Hub を有効にするポリシーを作成する
<a name="step-3"></a>

 組織の委任管理者アカウントで Security Hub をエンブした後、組織メンバーアカウントで有効になっているサービスと機能を定義するポリシーを作成する必要があります。詳細については、[「ポリシーのタイプで設定を有効にする](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html#securityhub-v2-configuration-enable-policy)」を参照してください。

## Security Hub スタンドアロンアカウントを有効にする
<a name="securityhub-v2-enable-standalone-account"></a>

 この手順では、スタンドアロンアカウントで Security Hub を有効にする方法について説明します。スタンドアロンアカウントは AWS アカウント 、 AWS 組織を有効にしていない です。

**スタンドアロンアカウントで Security Hub を有効にするには**

1.  AWS アカウント認証情報を使用してアカウントにサインインします。[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home) で Security Hub コンソールを開きます。

1.  Security Hub ホームページから、**開始方法**を選択します。

1.  **「セキュリティ機能**」セクションで、次のいずれかを実行します。

   1.  (オプション 1) **すべての機能を有効にする**を選択します。これにより、Security Hub の必須機能、脅威分析、その他の機能がすべてオンになります。

   1.  (オプション 2) **カスタマイズ機能**を選択します。有効にする脅威分析と追加機能を選択します。Security Hub の必須プラン機能の一部である機能の選択を解除することはできません。

1.  **「リージョン**」セクションで、**「すべてのリージョンを有効にする**」または**「特定のリージョンを有効にする**」を選択します。**[すべてのリージョンを有効にする]** を選択した場合、新しいリージョンを自動的に有効にするかどうかを選択できます。**特定のリージョンを有効にする** を選択した場合は、有効にするリージョンを選択する必要があります。

1.  (オプション) **リソースタグ**には、設定を簡単に識別できるように、キーと値のペアとしてタグを追加します。

1.  **[Enable Security Hub]** (Security Hub の有効化) を選択します。

 Security Hub を有効にすると、[AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) というサービスにリンクされたロールとサービスにリンクされたレコーダーがアカウントに作成されます。サービスにリンクされたレコーダーは、 AWS サービス固有のリソースの設定データを記録できる サービスによって管理される AWS Config レコーダーの一種です。サービスにリンクされたレコーダーを使用することで、Security Hub は公開分析のカバレッジに必要なリソース設定項目を取得したり、リソースインベントリを報告したりするために、イベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、 AWS アカウント および ごとに設定されます AWS リージョン。グローバルリソースタイプの場合、 は指定されたホームリージョンのグローバルリソースタイプ AWS Config のみを記録するため、追加のサービスにリンクされたレコーダーがホームリージョンに自動的に作成され、グローバルリソースの設定変更が記録されます。詳細については、[「サービスにリンクされた設定レコーダーに関する考慮事項](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked)」および[「リージョンおよびグローバルリソースの記録](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)」を参照してください。