サービスマネージドスタンダードとはAWS Control Tower 標準の作成標準のコントロールの有効化と無効化有効化ステータスとコントロールステータスの表示標準を削除するサービスマネージドスタンダードの検出結果フィールド形式:AWS Control Tower サービスマネージドスタンダードに適用されるコントロール:AWS Control Tower

サービスマネージドスタンダード:AWS Control Tower

このセクションでは、サービスマネージドスタンダードについて説明しますAWS Control Tower。

サービスマネージドスタンダードとはAWS Control Tower

サービスマネージドスタンダード: は、Security Hub コントロールのサブセットをサポートする AWS Control Towerを管理するサービスマネージドスタンダードAWS Control Towerです。この標準は、AWSSecurity Hub CSPM およびのユーザー向けに設計されていますAWS Control Tower。これにより、 AWS Control Towerサービスから Security Hub CSPM の検出コントロールを設定できます。

検出コントロールは、AWS アカウント内のリソースのコンプライアンス違反 (設定ミスなど) を検出します。

ヒント

サービスマネージド標準は、AWSSecurity Hub CSPM が管理する標準とは異なります。例えば、サービスマネージドスタンダードの作成および削除は、管理サービスで行う必要があります。詳細については、「Security Hub CSPM のサービスマネージドスタンダード」を参照してください。

Security Hub CSPM コントロールをで有効にするとAWS Control Tower、Control Tower はこれらの特定のアカウントとリージョンで Security Hub CSPM をまだ有効にしていない場合も有効にします。Security Hub CSPM コンソールと API では、標準が有効になると、Service-Managed Standard: AWS Control Towerと他の Security Hub CSPM 標準を表示できますAWS Control Tower。

この標準の詳細については、「AWS Control Tower ユーザーガイド」の「Security Hub CSPM controls」を参照してください。

標準の作成

この標準は、Security Hub CSPM コントロールをから有効にする場合にのみ、Security Hub CSPM で使用できますAWS Control Tower。AWS Control Tower は、次のいずれかの方法を使用して、該当するコントロールを最初に有効にするときに標準を作成します。

AWS Control Towerコンソール
AWS Control TowerAPI ( EnableControl API を呼び出す)
AWS CLI( enable-control コマンドを実行します)

Security Hub CSPM コントロールをで有効にする場合AWS Control Tower、Security Hub CSPM をまだ有効にしていない場合、はこれらの特定のアカウントとリージョンで Security Hub CSPM AWS Control Towerも有効にします。

Control Catalog のコントロール ID で Security Hub CSPM コントロールを特定するには、 Implementation.Identifierフィールドを使用できますAWS Control Tower。このフィールドは Security Hub CSPM コントロール ID にマッピングされ、特定のコントロール ID をフィルタリングするために使用できます。で特定の Security Hub CSPM コントロール (CodeBuild.1") のコントロールメタデータを取得するにはAWS Control Tower、 ListControls API を使用できます。

aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'

Security Hub CSPM コンソール、Security Hub CSPM API、または Security Hub CSPM コントロールを最初に設定AWS Control Towerして有効にAWS CLIしない限り、前述の方法のいずれかAWS Control Towerを使用してこの標準を表示またはアクセスすることはできません。

この標準は、 AWS リージョンAWS Control Towerが利用可能なでのみ使用できます。

標準のコントロールの有効化と無効化

を使用して Security Hub CSPM コントロールを有効にAWS Control Towerし、Service-Managed Standard:AWS Control Towerstandard を作成したら、Security Hub CSPM で標準とその使用可能なコントロールを表示できます。

Security Hub CSPM が Service-Managed Standard:AWS Control Towerstandard に新しいコントロールを追加すると、標準が有効になっているお客様に対して自動的に有効になるわけではありません。次のいずれかの方法AWS Control Towerを使用して、から標準のコントロールを有効または無効にする必要があります。

AWS Control Towerコンソール
AWS Control TowerAPI ( EnableControlおよび DisableControl APIsを呼び出す)
AWS CLI( コマンドenable-controlと disable-control コマンドを実行します)

でコントロールの有効化ステータスを変更するとAWS Control Tower、その変更は Security Hub CSPM にも反映されます。

ただし、Security Hub CSPM で有効になっているコントロールを無効にすると、コントロールドリフトAWS Control Towerが発生します。のコントロールステータスはとしてAWS Control Tower表示されますDrifted。このドリフトを解決するには、ResetEnabledControl API を使用してドリフト中のコントロールをリセットするか、AWS Control Towerコンソールで OU の再登録を選択するか、前述の方法のいずれかAWS Control Towerを使用してでコントロールを無効化および再有効化します。

で有効化アクションと無効化アクションを完了すると、コントロールドリフトを回避AWS Control Towerできます。

でコントロールを有効または無効にするとAWS Control Tower、アクションはによって管理されるアカウントとリージョンに適用されますAWS Control Tower。Security Hub CSPM でコントロールを有効または無効にすると (この標準では推奨されません）、アクションは現在のアカウントとリージョンにのみ適用されます。

注記

中央設定は、サービスマネージドスタンダード: の管理には使用できませんAWS Control Tower。この標準のコントロールを有効または無効にするには、 AWS Control Towerサービスのみを使用できます。

有効化ステータスとコントロールステータスの表示

次のいずれかの方法を使用して、コントロールの有効化ステータスを表示できます。

Security Hub CSPM コンソール、Security Hub CSPM API、またはAWS CLI
AWS Control Towerコンソール
AWS Control Tower有効なコントロールのリストを表示する API ( ListEnabledControls API を呼び出す)
AWS CLI有効になっているコントロールのリストを表示するには ( list-enabled-controls コマンドを実行)

で無効にしたコントロールAWS Control Towerは、Security Hub CSPM Disabledでそのコントロールを明示的に有効にしない限り、Security Hub CSPM で有効化ステータスがになります。

Security Hub CSPM は、ワークフローステータスおよびコントロール検出結果のコンプライアンスステータスに基づき、コントロールステータスを計算します。有効化ステータスとコントロールステータスの詳細については、「Security Hub CSPM でのコントロールの詳細の確認」を参照してください。

コントロールのステータスに基づいて、Security Hub CSPM はサービスマネージドスタンダードのセキュリティスコアを計算しますAWS Control Tower。このスコアは Security Hub CSPM のみで確認できます。また、Security Hub CSPM で表示できるのはコントロール検出結果のみです。標準のセキュリティスコアとコントロールの検出結果はでは使用できませんAWS Control Tower。

注記

サービスマネージドスタンダード: のコントロールを有効にするとAWS Control Tower、Security Hub CSPM が既存のAWS Configサービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに最大 18 時間かかる場合があります。Security Hub CSPM で他の標準やコントロールを有効にしている場合、既存のサービスリンクルールが存在する可能性があります。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

標準を削除する

次のいずれかの方法を使用して、該当するすべてのコントロールを無効にするAWS Control Towerことで、でこのサービスマネージド標準を削除できます。

AWS Control Towerコンソール
AWS Control TowerAPI ( DisableControl API を呼び出す)
AWS CLI( disable-control コマンドを実行します)

すべてのコントロールを無効にすることにより、AWS Control Tower のすべてのマネージドアカウントと管理対象リージョンの標準が削除されます。で標準を削除するとAWS Control Tower、Security Hub CSPM コンソールの標準ページから削除され、Security Hub CSPM API またはを使用してアクセスできなくなりますAWS CLI。

注記

Security Hub CSPM で標準のすべてのコントロールを無効にしても、標準が無効化または削除されることはありません。

Security Hub CSPM サービスを無効にすると、Service-Managed Standard: AWS Control Towerおよび有効にしたその他の標準が削除されます。

サービスマネージドスタンダードの検出結果フィールド形式:AWS Control Tower

Service-Managed Standard: を作成し、そのコントロールを有効にするAWS Control Towerと、Security Hub CSPM でコントロールの検出結果を受信し始めます。Security Hub CSPM は、AWSSecurity Finding 形式 (ASFF) でコントロール検出結果をレポートします。これらは、この標準の Amazon リソースネーム (ARN) および GeneratorId の ASFF 値です。

標準 ARN — arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0
GeneratorId – service-managed-aws-control-tower/v/1.0.0/CodeBuild.1

サービスマネージドスタンダード: の検出結果の例についてはAWS Control Tower、「」を参照してくださいコントロール検出結果のサンプル。

サービスマネージドスタンダードに適用されるコントロール:AWS Control Tower

サービスマネージドスタンダード: AWSFoundational Security Best Practices (FSBP) 標準の一部であるコントロールのサブセットAWS Control Towerをサポートします。コントロールを選択すると、失敗した検出結果の修正手順など、そのコントロールに関する情報が表示されます。

でサポートされている Security Hub CSPM コントロールを確認するにはAWS Control Tower、次のいずれかの方法を使用できます。

AWSフィルタリングできる Control Catalog コンソール “Control owner =AWSSecurity Hub”
AWSControl Catalog API ( ListControls API を呼び出す) がをチェックImplementationsするのフィルターが Types であることを確認します。 AWS::SecurityHub::SecurityControl
AWS CLI( list-controls コマンドを実行) とのフィルターImplementations。CLI コマンドの例:

aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'

Control Tower 標準で有効にした場合の Security Hub CSPM コントロールのリージョン制限は、基盤となるコントロールのリージョン制限と一致しない場合があります。

Security Hub CSPM で、アカウントで統合コントロールの検出結果がオフになっている場合、生成された検出結果の ProductFields.ControlIdフィールドは標準ベースのコントロール ID を使用します。標準ベースのコントロール ID は、CT.ControlId (CT.CodeBuild.1 など) としてフォーマットされます。

この標準の詳細については、「AWS Control Tower ユーザーガイド」の「Security Hub CSPM controls」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サービスマネージドスタンダード

標準を有効にする