Systems Manager の Security Hub CSPM コントロール - AWSSecurity Hub
[SSM.1] Amazon EC2 インスタンスは によって管理する必要がありますAWS Systems Manager[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります[SSM.4] SSM ドキュメントはパブリックにしないでください[SSM.5] SSM ドキュメントにはタグを付ける必要があります[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Systems Manager の Security Hub CSPM コントロール

これらのAWS Security Hub CSPMコントロールは、 AWS Systems Manager(SSM) サービスとリソースを評価します。コントロールは一部の で使用できない場合がありますAWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[SSM.1] Amazon EC2 インスタンスは によって管理する必要がありますAWS Systems Manager

関連する要件: PCI DSS v3.2.1/2.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(2)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SA-15(2)、NIST.800-53.r5 SA-15(8)、NIST.800-53.r5 SA-3、NIST.800-53.r5 SI-2(3)

カテゴリ: 識別 > インベントリ

重要度:

評価されたリソース: AWS::EC2::Instance

必要なAWS Config記録リソース: AWS::EC2::InstanceAWS::SSM::ManagedInstanceInventory

AWS Config ルール : ec2-instance-managed-by-systems-manager

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、アカウントで停止および実行中の EC2 インスタンスが によって管理されているかどうかを確認しますAWS Systems Manager。Systems Manager は、AWSインフラストラクチャを表示および制御するためにAWS のサービス使用できる です。

セキュリティとコンプライアンスを維持するために、Systems Manager は停止中および実行中のマネージドインスタンスをスキャンします。マネージドインスタンスとは、Systems Manager で使用するために設定されたマシンです。Systems Manager が検出したポリシー違反について報告または是正処置を講じます。Systems Manager は、マネージドインスタンスを設定して維持するのにも役立ちます。詳細については、AWS Systems Manager ユーザーガイドを参照してください。

注記

このコントロールは、 によって管理されるAWS Elastic Disaster Recoveryレプリケーションサーバーインスタンスである EC2 インスタンスの検出FAILED結果を生成しますAWS。レプリケーションサーバーインスタンスは、ソースサーバーからの継続的なデータレプリケーションAWS Elastic Disaster Recoveryをサポートするために によって自動的に起動される EC2 インスタンスです。 AWSは、これらのインスタンスから Systems Manager (SSM) エージェントを意図的に削除して分離を維持し、意図しないアクセスパスの可能性を防止します。

修正

を使用した EC2 インスタンスの管理の詳細についてはAWS Systems Manager、AWS Systems Manager「 ユーザーガイド」のAmazon EC2 ホスト管理」を参照してください。AWS Systems Managerコンソールの「設定オプション」セクションで、デフォルト設定のままにするか、必要に応じて設定を変更できます。

[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります

関連する要件: NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、NIST.800-171.r2 3.7.1、PCI DSS v3.2.1/6.2、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ : AWS::SSM::PatchCompliance

AWS Config ルール : ec2-managedinstance-patch-compliance-status-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、インスタンスへのパッチインストール後、Systems Manager パッチコンプライアンスのコンプライアンスステータスが、COMPLIANTNON_COMPLIANT のどちらであるかをチェックします。コンプライアンスステータスが NON_COMPLIANT の場合、コントロールは失敗します。このコントロールは、Systems Manager Patch Manager によって管理されているインスタンスのみをチェックします。

組織の要求に応じて EC2 インスタンスにパッチを適用すると、AWS アカウント のアタックサーフェスが低減されます。

修正

Systems Manager では、パッチポリシーを使用して、マネージドインスタンスのパッチ適用を設定することを推奨しています。次の手順で説明するように、Systems Manager のドキュメントを使用してインスタンスにパッチを適用することもできます。

非準拠のパッチを修正するには

  1. https://console.aws.amazon.com/systems-manager/ でAWS Systems Managerコンソールを開きます。

  2. [ノード管理] で、[コマンドを実行する] を選択し、[コマンドを実行する] を選択します。

  3. AWS-RunPatchBaseline のオプションを選択します。

  4. [Operation] (オペレーション) を [Install] (インストール) に変更します。

  5. [インスタンスを手動で選択する] を選択し、非準拠のインスタンスを選択します。

  6. [Run] (実行) を選択します。

  7. コマンドの完了後に、パッチを適用したインスタンスの新しいコンプライアンスステータスをモニタリングするには、ナビゲーションペインで [コンプライアンス] を選択します。

[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2(3)、PCI DSS v3.2.1/2.4、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ : AWS::SSM::AssociationCompliance

AWS Config ルール : ec2-managedinstance-association-compliance-status-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、AWS Systems Manager関連付けコンプライアンスのステータスが であるかCOMPLIANT、インスタンスで関連付けが実行されNON_COMPLIANTた後であるかをチェックします。関連付けのコンプライアンスステータスが NON_COMPLIANT の場合、コントロールは失敗します。

State Manager の関連付けは、マネージドインスタンスに割り当てられる設定です。この設定では、インスタンスで維持する状態を定義します。例えば、関連付けでは、アンチウイルスソフトウェアをインスタンス上にインストールして実行する必要があること、または特定のポートを閉じる必要があることを指定できます。

State Manager の関連付けを 1 つまたは複数作成することで、コンプライアンスステータス情報をすぐに表示できるようになります。コンプライアンスステータスは、コンソールで、またはAWS CLIコマンドや対応する Systems Manager API アクションに応答して表示できます。関連付けでは、設定コンプライアンスはコンプライアンスステータスを表示します (Compliant または Non-compliant)。また、関連付けに割り当てられた Critical または Medium などの重要度レベルを表示します。

State Manager 関連付けのコンプライアンスの詳細については、「AWS Systems Manager ユーザーガイド」の「State Manager 関連付けのコンプライアンスについて」を参照してください。

修正

失敗した関連付けは、ターゲットや Systems Manager ドキュメント名など、さまざまなものに関連している可能性があります。この問題を修正するには、まず関連付けの履歴を表示し、関連付けを特定して調査する必要があります。関連付けの履歴を表示するには、「AWS Systems Manager ユーザーガイド」の「関連付けの履歴の表示」を参照してください。

調査後、関連付けを編集して特定された問題を修正できます。関連付けを編集して、新しい名前やスケジュール、重要度レベル、ターゲットを指定できます。関連付けを編集すると、 は新しいバージョンAWS Systems Managerを作成します。関連付けの編集については、「AWS Systems Manager ユーザーガイド」の「関連付けの編集と新しいバージョンの作成」を参照してください。

[SSM.4] SSM ドキュメントはパブリックにしないでください

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度: 非常事態

リソースタイプ : AWS::SSM::Document

AWS Config ルール : ssm-document-not-public

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールは、アカウントが所有するAWS Systems Managerドキュメントがパブリックかどうかをチェックします。所有者として Self の Systems Manager ドキュメントがパブリックの場合、このコントロールは失敗します。

パブリックの Systems Manager ドキュメントは、ドキュメントへの意図しないアクセスを許可する場合があります。パブリック Systems Manager ドキュメントは、アカウント、リソース、および内部プロセスに関する貴重な情報を公開する可能性があります。

ユースケースでパブリック共有が必要な場合を除き、Self 所有者として Systems Manager ドキュメントのパブリック共有設定をブロックすることを推奨します。

修正

Systems Manager ドキュメントの共有の設定については、「AWS Systems Manager ユーザーガイド」の「SSM ドキュメントの共有」を参照してください。

[SSM.5] SSM ドキュメントにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::SSM::Document

AWS Config ルール : ssm-document-tagged

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 タイプ 許可されているカスタム値 Security Hub CSPM のデフォルト値
requiredKeyTags 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 StringList (最大 6 項目) AWS 要件を満たす 1~6 個のタグキー。 デフォルト値なし

このコントロールは、 AWS Systems Managerドキュメントに requiredKeyTagsパラメータで指定されたタグキーがあるかどうかをチェックします。ドメインにタグキーがない場合、または requiredKeyTags パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。requiredKeyTags パラメータの値を指定しない場合、コントロールはタグキーの存在のみをチェックし、ドキュメントにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、aws: プレフィックスが付きます。このコントロールは、Amazon が所有する Systems Manager ドキュメントを評価しません。

タグは、 AWSリソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「IAM ユーザーガイド」の「ABAC 認可で属性に基づいてアクセス許可を定義する」を参照してください。タグの詳細については、「 AWSリソースのタグ付け」および「タグエディタユーザーガイド」を参照してください。

注記

個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできますAWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

修正

AWS Systems Managerドキュメントにタグを追加するには、 AWS Systems ManagerAPI の AddTagsToResource オペレーションを使用するか、 を使用している場合は AWS CLIaddadd-tags-to-resource コマンドを実行します。AWS Systems Manager コンソールを使用することもできます。

[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::::Account

AWS Config ルール : ssm-automation-logging-enabled

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールはAmazon CloudWatch ログ記録が AWS Systems Manager(SSM) オートメーションで有効になっているかどうかをチェックします。SSM Automation で CloudWatch ログ記録が有効になっていない場合、コントロールは失敗します。

SSM Automation は、事前定義されたランブックまたはカスタムランブックを使用して、リソースを大規模AWSにデプロイ、設定、管理するための自動ソリューションを構築するのに役立つAWS Systems Managerツールです。組織の運用上またはセキュリティ上の要件を満たすために、実行されるスクリプトの記録が必要となることがあります。ランブック内にある aws:executeScript アクションからの出力は、指定した Amazon CloudWatch Logs ロググループに送信するために SSM Automation を設定することができます。CloudWatch Logs を使用すると、さまざまな AWS のサービス からのログファイルについて、モニタリング、保存、アクセスが行えます。

修正

SSM Automation で CloudWatch ログ記録を有効にする方法については、「AWS Systems Manager ユーザーガイド」の「CloudWatch Logs を使用した自動アクション出力のログ記録」を参照してください。

[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります

カテゴリ: 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

重要度: 非常事態

リソースタイプ : AWS::::Account

AWS Config ルール : ssm-automation-block-public-sharing

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールは、AWS Systems Manager ドキュメントでブロックパブリック共有設定が有効になっているかどうかをチェックします。Systems Manager ドキュメントでブロックパブリック共有設定が無効になっていると、コントロールは失敗します。

AWS Systems Manager(SSM) ドキュメントのブロックパブリック共有設定は、アカウントレベルの設定です。この設定を有効にすると、SSM ドキュメントへの不要なアクセスを防止できます。この設定を有効にしても、現在パブリックと共有している SSM ドキュメントには影響しません。ユースケースでパブリック共有を有効にする必要がある場合を除き、設定共有ブロック設定をオンにすることをお勧めします。設定は、それぞれ異なる場合がありますAWS リージョン。

修正

AWS Systems Manager (SSM) ドキュメントのブロックパブリック共有設定を有効にする方法については、「AWS Systems Manager ユーザーガイド」の「SSM ドキュメントのパブリック共有をブロックする」を参照してください。