Security Hub の推奨事項
注記
Security Hub はプレビューリリース段階で、変更される可能性があります。
AWS の次のセキュリティサービスは、検出結果を OCSF 形式で Security Hub に送信します。Security Hub を有効にしたら、セキュリティを強化するためにこれらの AWS のサービス を有効にすることをお勧めします。
Security Hub CSPM
Security Hub CSPM を有効にすると、AWS のセキュリティ状態が包括的に表示されます。これは、セキュリティ業界の標準とベストプラクティスに対してお使いの環境をチェックする上で役立ちます。Security Hub CSPM を有効にしなくても Security Hub の使用を開始できますが、Security Hub は Security Hub CSPM からのセキュリティシグナルを関連付けて体制管理を改善するため、Security Hub CSPM を有効にすることをお勧めします。
Security Hub CSPM を有効にする場合は、アカウントの AWS Foundational Security Best Practices 標準を有効にすることもお勧めします。この標準は、AWS アカウント およびリソースがセキュリティのベストプラクティスから逸脱した場合を検出する一連のコントロールで構成されています。アカウントの AWS Foundational Security Best Practices 標準を有効にすると、AWS Security Hub CSPM は、次のリソースタイプのコントロールを含むすべてのコントロールを自動的に有効にします。
-
アカウントコントロール
-
Amazon DynamoDB コントロール
-
Amazon Elastic Compute Cloud コントロール
-
AWS Identity and Access Management (IAM) のコントロール
-
AWS Lambda コントロール
-
Amazon Relational Database Service (Amazon RDS) のコントロール
-
Amazon Simple Storage Service コントロール
このリストのどの制御も無効にできます。ただし、これらのコントロールのいずれかを無効にすると、サポートされているリソースの公開検出結果を受け取ることはできません。AWS Foundational Security Best Practices 標準に適用されるコントロールの詳細については、「AWS Foundational Security Best Practices v1.0.0 (FSBP) standard」を参照してください。
GuardDuty
GuardDuty を有効にすると、Security Hub コンソールのダッシュボードですべての脅威とセキュリティカバレッジの検出結果を表示できます。GuardDuty を有効にすると、GuardDuty は OCSF 形式で Security Hub へのデータの送信を自動的に開始します。
Amazon Inspector
Amazon Inspector を有効にすると、Security Hub コンソールのダッシュボードにすべての露出とセキュリティカバレッジの検出結果を表示できます。Amazon Inspector を有効にすると、Amazon Inspector は OCSF 形式で Security Hub へのデータの送信を自動的に開始します。
Amazon EC2 スキャンと Lambda 標準スキャンをアクティブ化することをお勧めします。Amazon EC2 スキャンをアクティブ化すると、Amazon Inspector はアカウント内の Amazon EC2 インスタンスをスキャンして、パッケージの脆弱性とネットワーク到達可能性の問題について調べます。Lambda 標準スキャンをアクティブ化すると、Amazon Inspector は Lambda 関数をスキャンして、パッケージの依存関係におけるソフトウェアの脆弱性を確認します。詳細については、「Amazon Inspector ユーザーガイド」の「Activating a scan type」を参照してください。
Macie
Macie を有効にすると、Amazon S3 バケットの追加露出を検出できます。Macie が Amazon S3 バケットインベントリを毎日評価できるように、機密データ自動検出を設定することをお勧めします。
