サービスマネージドスタンダードとは AWS Control Tower 標準の作成標準のコントロールの有効化と無効化有効化ステータスとコントロールステータスの表示標準を削除するサービスマネージドスタンダードの検出結果フィールド形式： AWS Control Tower サービスマネージドスタンダードに適用されるコントロール： AWS Control Tower

サービスマネージドスタンダード： AWS Control Tower

このセクションでは、サービスマネージドスタンダードについて説明します AWS Control Tower。

サービスマネージドスタンダードとは AWS Control Tower

この標準は、 AWS Security Hub CSPM およびのユーザー向けに設計されています AWS Control Tower。これにより、 AWS Control Tower サービスの Security Hub CSPM の検出コントロール AWS Control Tower とともにのプロアクティブコントロールを設定できます。

プロアクティブコントロールは、ポリシー違反や設定ミスにつながる可能性のあるアクションにフラグを付けるため、がコンプライアンス AWS アカウントを維持するのに役立ちます。検出コントロールは、 AWS アカウント内のリソースのコンプライアンス違反 (設定ミスなど) を検出します。 AWS 環境のプロアクティブコントロールと検出コントロールを有効にすることで、開発のさまざまな段階でセキュリティ体制を強化できます。

ヒント

サービスマネージド標準は、 AWS Security Hub CSPM が管理する標準とは異なります。例えば、サービスマネージドスタンダードの作成および削除は、管理サービスで行う必要があります。詳細については、「Security Hub CSPM のサービスマネージド標準」を参照してください。

Security Hub CSPM コンソールと API では、Service-Managed Standard: AWS Control Tower と他の Security Hub CSPM 標準を表示できます。

標準の作成

この標準は、で標準を作成する場合にのみ使用できます AWS Control Tower。 AWS Control Tower は、次のいずれかの方法を使用して該当するコントロールを最初に有効にするときに標準を作成します。

AWS Control Tower コンソール
AWS Control Tower API ( EnableControl API を呼び出す）
AWS CLI ( enable-control コマンドを実行します）

Security Hub CSPM コントロールは、 AWS Control Tower コンソールで SH.ControlID (SH.CodeBuild.1 など) として識別されます。

標準を作成するときに、Security Hub CSPM をまだ有効にしていない場合、は Security Hub CSPM AWS Control Tower も有効にします。

を設定していない場合 AWS Control Tower、Security Hub CSPM コンソール、Security Hub CSPM API、またはでこの標準を表示またはアクセスすることはできません AWS CLI。をセットアップした場合でも AWS Control Tower、前述の方法のいずれか AWS Control Tower を使用してで標準を作成しないと、Security Hub CSPM でこの標準を表示またはアクセスできません。

この標準は、を含む AWS リージョンAWS Control Tower が利用可能なでのみ使用できます AWS GovCloud (US)。

標準のコントロールの有効化と無効化

AWS Control Tower コンソールで標準を作成したら、両方のサービスで標準とその使用可能なコントロールを表示できます。

最初に標準を作成すると、これに自動的に有効化されたコントロールはありません。さらに、Security Hub CSPM が新しいコントロールを追加すると、サービスマネージドスタンダード: に対して自動的に有効になるわけではありません AWS Control Tower。次のいずれかの方法 AWS Control Tower を使用して、で標準のコントロールを有効または無効にする必要があります。

AWS Control Tower コンソール
AWS Control Tower API ( EnableControlおよび DisableControl APIsを呼び出す）
AWS CLI ( コマンドenable-controlと disable-control コマンドを実行します）

でコントロールの有効化ステータスを変更すると AWS Control Tower、その変更は Security Hub CSPM にも反映されます。

ただし、Security Hub CSPM で有効になっているコントロールを無効にすると、コントロールドリフト AWS Control Tower が発生します。のコントロールステータスはとして AWS Control Tower 表示されますDrifted。このドリフトを解決するには、 AWS Control Tower コンソールで OU の再登録を選択するか、前述の方法のいずれか AWS Control Tower を使用してでコントロールを無効化および再有効化します。

で有効化アクションと無効化アクションを完了すると、コントロールドリフトを回避 AWS Control Tower できます。

でコントロールを有効または無効にすると AWS Control Tower、アクションはアカウントとリージョンに適用されます。Security Hub CSPM でコントロールを有効または無効にすると (この標準では推奨されません）、アクションは現在のアカウントとリージョンにのみ適用されます。

注記

中央設定は、サービスマネージドスタンダードの管理には使用できません AWS Control Tower。中央設定を使用する場合は、 AWS Control Tower サービスのみを使用して、一元管理されたアカウントのこの標準のコントロールを有効または無効にできます。

有効化ステータスとコントロールステータスの表示

次のいずれかの方法を使用して、コントロールの有効化ステータスを表示できます。

Security Hub CSPM コンソール、Security Hub CSPM API、または AWS CLI
AWS Control Tower コンソール
AWS Control Tower 有効なコントロールのリストを表示する API ( ListEnabledControls API を呼び出す）
AWS CLI 有効になっているコントロールのリストを表示するには ( list-enabled-controls コマンドを実行）

で無効にしたコントロール AWS Control Tower は、Security Hub CSPM Disabledでそのコントロールを明示的に有効にしない限り、Security Hub CSPM で有効化ステータスがになります。

Security Hub CSPM は、コントロールの検出結果のワークフローステータスとコンプライアンスステータスに基づいてコントロールステータスを計算します。有効化ステータスとコントロールステータスの詳細については、「Security Hub CSPM でのコントロールの詳細の確認」を参照してください。

コントロールのステータスに基づいて、Security Hub CSPM はサービスマネージドスタンダードのセキュリティスコアを計算します AWS Control Tower。このスコアは Security Hub CSPM でのみ使用できます。さらに、コントロールの検出結果は Security Hub CSPM でのみ表示できます。標準のセキュリティスコアとコントロールの検出結果はでは使用できません AWS Control Tower。

注記

サービスマネージドスタンダード: のコントロールを有効にすると AWS Control Tower、Security Hub CSPM が既存の AWS Config サービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに最大 18 時間かかる場合があります。Security Hub CSPM で他の標準とコントロールを有効にしている場合は、既存のサービスにリンクされたルールがある場合があります。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

標準を削除する

次のいずれかの方法を使用して、該当するすべてのコントロールを無効にする AWS Control Tower ことで、でこの標準を削除できます。

AWS Control Tower コンソール
AWS Control Tower API ( DisableControl API を呼び出す）
AWS CLI ( disable-control コマンドを実行します）

すべてのコントロールを無効にすることにより、 AWS Control Tower のすべてのマネージドアカウントと管理対象リージョンの標準が削除されます。で標準を削除すると AWS Control Tower 、Security Hub CSPM コンソールの標準ページから削除され、Security Hub CSPM API またはを使用してアクセスできなくなります AWS CLI。

注記

Security Hub CSPM で標準からすべてのコントロールを無効にしても、標準は無効または削除されません。

Security Hub CSPM サービスを無効にすると、Service-Managed Standard: AWS Control Tower および有効にしたその他の標準が削除されます。

サービスマネージドスタンダードの検出結果フィールド形式： AWS Control Tower

Service-Managed Standard: を作成し、そのコントロールを有効にする AWS Control Tower と、Security Hub CSPM でコントロールの検出結果を受信し始めます。Security Hub CSPM は、でコントロールの検出結果をレポートしますAWS Security Finding 形式 (ASFF)。これらは、この標準の Amazon リソースネーム (ARN) および GeneratorId の ASFF 値です。

標準 ARN — arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0
GeneratorId – service-managed-aws-control-tower/v/1.0.0/CodeBuild.1

サービスマネージドスタンダード: の検出結果の例については AWS Control Tower、「」を参照してくださいコントロールの検出結果のサンプル。

サービスマネージドスタンダードに適用されるコントロール： AWS Control Tower

サービスマネージドスタンダード: AWS Foundational Security Best Practices (FSBP) 標準の一部であるコントロールのサブセット AWS Control Tower をサポートします。コントロールを選択して、失敗した検出結果の修正ステップなど、そのコントロールに関する情報を表示します。

次のリストは、サービスマネージドスタンダードで使用可能なコントロールを示しています AWS Control Tower。コントロールに対するリージョンの制限は、FSBP 標準のコロラリーコントロールに対するリージョンの制限と一致します。このリストには、標準に依存しないセキュリティコントロール ID が表示されます。 AWS Control Tower コンソールでは、コントロール IDsは SH.ControlID (SH.CodeBuild.1 など) の形式になります。Security Hub CSPM で、アカウントで統合コントロールの検出結果がオフになっている場合、 ProductFields.ControlIdフィールドは標準ベースのコントロール ID を使用します。標準ベースのコントロール ID は、CT.ControlId (CT.CodeBuild.1 など) としてフォーマットされます。

この標準の詳細については、「 AWS Control Tower ユーザーガイド」の「Security Hub CSPM コントロール」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サービスマネージドスタンダード

標準を有効にする