サービスマネージドスタンダードとは AWS Control Tower 標準の作成標準のコントロールの有効化と無効化有効化ステータスとコントロールステータスの表示標準を削除するサービスマネージドスタンダードの検出結果フィールド形式: AWS Control Tower サービスマネージドスタンダードに適用されるコントロール: AWS Control Tower

サービスマネージドスタンダード: AWS Control Tower

このセクションでは、サービスマネージドスタンダードについて説明します AWS Control Tower。

サービスマネージドスタンダードとは AWS Control Tower

サービスマネージドスタンダード: は、Security Hub コントロールのサブセットをサポートする AWS Control Tower を管理するサービスマネージドスタンダード AWS Control Tower です。この標準は、 AWS Security Hub CSPM およびのユーザー向けに設計されています AWS Control Tower。これにより、 AWS Control Tower サービスから Security Hub CSPM の検出コントロールを設定できます。

検出コントロールは、 AWS アカウント内のリソースのコンプライアンス違反 (設定ミスなど) を検出します。

ヒント

サービスマネージド標準は、 AWS Security Hub CSPM が管理する標準とは異なります。例えば、サービスマネージドスタンダードの作成および削除は、管理サービスで行う必要があります。詳細については、「Security Hub CSPM のサービスマネージドスタンダード」を参照してください。

Security Hub CSPM コントロールをで有効にすると AWS Control Tower、Control Tower はこれらの特定のアカウントとリージョンで Security Hub CSPM をまだ有効にしていない場合も有効にします。Security Hub CSPM コンソールと API では、標準が有効になると、Service-Managed Standard: AWS Control Tower と他の Security Hub CSPM 標準を表示できます AWS Control Tower。

この標準の詳細については、「AWS Control Tower ユーザーガイド」の「Security Hub CSPM controls」を参照してください。

標準の作成

この標準は、Security Hub CSPM コントロールをから有効にする場合にのみ、Security Hub CSPM で使用できます AWS Control Tower。 AWS Control Tower は、次のいずれかの方法を使用して、該当するコントロールを最初に有効にするときに標準を作成します。

AWS Control Tower コンソール
AWS Control Tower API ( EnableControl API を呼び出す)
AWS CLI ( enable-control コマンドを実行します)

Security Hub CSPM コントロールをで有効にする場合 AWS Control Tower、Security Hub CSPM をまだ有効にしていない場合、はこれらの特定のアカウントとリージョンで Security Hub CSPM AWS Control Tower も有効にします。

Control Catalog のコントロール ID で Security Hub CSPM コントロールを識別するには、 Implementation.Identifierフィールドを使用できます AWS Control Tower。このフィールドは Security Hub CSPM コントロール ID にマッピングされ、特定のコントロール ID をフィルタリングするために使用できます。で特定の Security Hub CSPM コントロール (CodeBuild.1") のコントロールメタデータを取得するには AWS Control Tower、 ListControls API を使用できます。

aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'

Security Hub CSPM コンソール、Security Hub CSPM API、または Security Hub CSPM コントロールを最初に設定 AWS Control Tower して有効に AWS CLI しない限り、前述の方法のいずれか AWS Control Tower を使用してこの標準を表示またはアクセスすることはできません。

この標準は、 AWS リージョンAWS Control Tower が利用可能なでのみ使用できます。

標準のコントロールの有効化と無効化

を使用して Security Hub CSPM コントロールを有効に AWS Control Tower し、Service-Managed Standard: AWS Control Tower standard を作成したら、Security Hub CSPM で標準とその使用可能なコントロールを表示できます。

Security Hub CSPM が Service-Managed Standard: AWS Control Tower standard に新しいコントロールを追加すると、標準が有効になっているお客様に対して自動的に有効になるわけではありません。次のいずれかの方法を使用して AWS Control Tower 、から標準のコントロールを有効または無効にする必要があります。

AWS Control Tower コンソール
AWS Control Tower API ( EnableControlおよび DisableControl APIsを呼び出す)
AWS CLI ( コマンドenable-controlと disable-control コマンドを実行します)

でコントロールの有効化ステータスを変更すると AWS Control Tower、その変更は Security Hub CSPM にも反映されます。

ただし、Security Hub CSPM で有効になっているコントロールを無効にすると、コントロールドリフト AWS Control Tower が発生します。のコントロールステータスはとして AWS Control Tower 表示されますDrifted。このドリフトを解決するには、ResetEnabledControl API を使用してドリフト中のコントロールをリセットするか、 AWS Control Tower コンソールで OU の再登録を選択するか、前述の方法のいずれか AWS Control Tower を使用してでコントロールを無効化および再有効化します。

で有効化アクションと無効化アクションを完了すると、コントロールドリフトを回避 AWS Control Tower できます。

でコントロールを有効または無効にすると AWS Control Tower、アクションはによって管理されるアカウントとリージョンに適用されます AWS Control Tower。Security Hub CSPM でコントロールを有効または無効にすると (この標準では推奨されません）、アクションは現在のアカウントとリージョンにのみ適用されます。

注記

中央設定を使用してサービスマネージドスタンダードを管理することはできません AWS Control Tower。この標準のコントロールを有効または無効にするには、 AWS Control Tower サービスのみを使用できます。

有効化ステータスとコントロールステータスの表示

次のいずれかの方法を使用して、コントロールの有効化ステータスを表示できます。

Security Hub CSPM コンソール、Security Hub CSPM API、または AWS CLI
AWS Control Tower コンソール
AWS Control Tower 有効なコントロールのリストを表示する API ( ListEnabledControls API を呼び出す)
AWS CLI 有効になっているコントロールのリストを表示するには ( list-enabled-controls コマンドを実行)

で無効にしたコントロール AWS Control Tower は、Security Hub CSPM Disabledでそのコントロールを明示的に有効にしない限り、Security Hub CSPM で有効化ステータスがになります。

Security Hub CSPM は、ワークフローステータスおよびコントロール検出結果のコンプライアンスステータスに基づき、コントロールステータスを計算します。有効化ステータスとコントロールステータスの詳細については、「Security Hub CSPM でのコントロールの詳細の確認」を参照してください。

コントロールのステータスに基づいて、Security Hub CSPM はサービスマネージドスタンダードのセキュリティスコアを計算します AWS Control Tower。このスコアは Security Hub CSPM のみで確認できます。また、Security Hub CSPM で表示できるのはコントロール検出結果のみです。標準のセキュリティスコアとコントロールの検出結果はでは使用できません AWS Control Tower。

注記

サービスマネージドスタンダード: のコントロールを有効にすると AWS Control Tower、Security Hub CSPM が既存の AWS Config サービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに最大 18 時間かかる場合があります。Security Hub CSPM で他の標準やコントロールを有効にしている場合、既存のサービスリンクルールが存在する可能性があります。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

標準を削除する

次のいずれかの方法を使用して、該当するすべてのコントロールを無効にする AWS Control Tower ことで、でこのサービスマネージド標準を削除できます。

AWS Control Tower コンソール
AWS Control Tower API ( DisableControl API を呼び出す)
AWS CLI ( disable-control コマンドを実行します)

すべてのコントロールを無効にすることにより、 AWS Control Tower のすべてのマネージドアカウントと管理対象リージョンの標準が削除されます。で標準を削除すると AWS Control Tower 、Security Hub CSPM コンソールの標準ページから削除され、Security Hub CSPM API またはを使用してアクセスできなくなります AWS CLI。

注記

Security Hub CSPM で標準のすべてのコントロールを無効にしても、標準が無効化または削除されることはありません。

Security Hub CSPM サービスを無効にすると、Service-Managed Standard: AWS Control Tower および有効にしたその他の標準が削除されます。

サービスマネージドスタンダードの検出結果フィールド形式: AWS Control Tower

Service-Managed Standard: を作成し、そのコントロールを有効にする AWS Control Tower と、Security Hub CSPM でコントロールの検出結果を受信し始めます。Security Hub CSPM は、AWS Security Finding 形式 (ASFF) でコントロール検出結果をレポートします。これらは、この標準の Amazon リソースネーム (ARN) および GeneratorId の ASFF 値です。

標準 ARN — arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0
GeneratorId – service-managed-aws-control-tower/v/1.0.0/CodeBuild.1

サービスマネージドスタンダード: の検出結果の例については AWS Control Tower、「」を参照してくださいコントロール検出結果のサンプル。

サービスマネージドスタンダードに適用されるコントロール: AWS Control Tower

サービスマネージドスタンダード: AWS Foundational Security Best Practices (FSBP) 標準の一部であるコントロールのサブセット AWS Control Tower をサポートします。コントロールを選択すると、失敗した検出結果の修正手順など、そのコントロールに関する情報が表示されます。

でサポートされている Security Hub CSPM コントロールを確認するには AWS Control Tower、次のいずれかの方法を使用できます。

AWS フィルタリングできる Control Catalog コンソール “Control owner = AWS Security Hub”
AWS Control Catalog API ( ListControls API を呼び出す) がをチェックImplementationsするのフィルターが Types であることを確認します。 AWS::SecurityHub::SecurityControl
AWS CLI ( list-controls コマンドを実行します) とのフィルターImplementations。CLI コマンドの例:

aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'

Control Tower 標準で有効にした場合の Security Hub CSPM コントロールのリージョン制限は、基盤となるコントロールのリージョン制限と一致しない場合があります。

Security Hub CSPM では、アカウントで統合コントロールの検出結果がオフになっている場合、生成された検出結果の ProductFields.ControlIdフィールドは標準ベースのコントロール ID を使用します。標準ベースのコントロール ID は、CT.ControlId (CT.CodeBuild.1 など) としてフォーマットされます。

この標準の詳細については、「AWS Control Tower ユーザーガイド」の「Security Hub CSPM controls」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サービスマネージドスタンダード

標準を有効にする