翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Systems Manager の Security Hub コントロール

これらの AWS Security Hub コントロールは、 AWS Systems Manager (SSM) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager

関連する要件: PCI DSS v3.2.1/2.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(2)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SA-15(2)、NIST.800-53.r5 SA-15(8)、NIST.800-53.r5 SA-3、NIST.800-53.r5 SI-2(3)

カテゴリ: 識別 > インベントリ

重要度: 中

評価されたリソース: AWS::EC2::Instance

必要な AWS Config 記録リソース： AWS::EC2::Instance、 AWS::SSM::ManagedInstanceInventory

AWS Config ルール : ec2-instance-managed-by-systems-manager

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、アカウントで停止および実行中の EC2 インスタンスが によって管理されているかどうかを確認します AWS Systems Manager。Systems Manager AWS のサービス は、インフラストラクチャの表示と制御に使用できる です AWS 。

セキュリティとコンプライアンスを維持するために、Systems Manager は停止中および実行中のマネージドインスタンスをスキャンします。マネージドインスタンスとは、Systems Manager で使用するために設定されたマシンです。Systems Manager が検出したポリシー違反について報告または是正処置を講じます。Systems Manager は、マネージドインスタンスの設定と維持管理にも役立ちます。

詳細については、「AWS Systems Manager ユーザーガイド」を参照してください。

修正

Systems Manager を使用して EC2 インスタンスを管理するには、「AWS Systems Manager ユーザーガイド」の「Amazon EC2 ホスト管理」を参照してください。[設定オプション] セクションでは、デフォルトの選択肢をそのまま使用することも、希望の設定に合わせて必要に応じて変更することもできます。

[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります

関連する要件： NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、NIST.800-171.r2 3.7.1、PCI DSS v3.2.1/6.2、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3.3

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::SSM::PatchCompliance

AWS Config ルール : ec2-managedinstance-patch-compliance-status-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、インスタンスへのパッチインストール後、Systems Manager パッチコンプライアンスのコンプライアンスステータスが、COMPLIANT と NON_COMPLIANT のどちらであるかをチェックします。コンプライアンスステータスが NON_COMPLIANT の場合、コントロールは失敗します。このコントロールは、Systems Manager Patch Manager によって管理されているインスタンスのみをチェックします。

組織の要求に応じて EC2 インスタンスにパッチを適用すると、 AWS アカウントのアタックサーフェスが低減されます。

修正

Systems Manager では、パッチポリシーを使用して、マネージドインスタンスのパッチ適用を設定することを推奨しています。次の手順で説明するように、Systems Manager のドキュメントを使用してインスタンスにパッチを適用することもできます。

[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります

関連する要件： NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2(3)、PCI DSS v3.2.1/2.4、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3

カテゴリ: 検出 > 検出サービス

重要度: 低

リソースタイプ : AWS::SSM::AssociationCompliance

AWS Config ルール : ec2-managedinstance-association-compliance-status-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS Systems Manager 関連付けコンプライアンスのステータスが COMPLIANTであるか、インスタンスで関連付けが実行されNON_COMPLIANTた後であるかをチェックします。関連付けのコンプライアンスステータスが NON_COMPLIANT の場合、コントロールは失敗します。

State Manager の関連付けは、マネージドインスタンスに割り当てられる設定です。この設定では、インスタンスで維持する状態を定義します。例えば、関連付けでは、アンチウイルスソフトウェアをインスタンス上にインストールして実行する必要があること、または特定のポートを閉じる必要があることを指定できます。

State Manager の関連付けを 1 つまたは複数作成することで、コンプライアンスステータス情報をすぐに表示できるようになります。コンプライアンスステータスは、コンソールで、または AWS CLI コマンドや対応する Systems Manager API アクションに応じて表示できます。関連付けでは、設定コンプライアンスはコンプライアンスステータスを表示します (Compliant または Non-compliant)。また、関連付けに割り当てられた Critical または Medium などの重要度レベルを表示します。

State Manager 関連付けのコンプライアンスの詳細については、「AWS Systems Manager ユーザーガイド」の「State Manager 関連付けのコンプライアンスについて」を参照してください。

修正

失敗した関連付けは、ターゲットや Systems Manager ドキュメント名など、さまざまなものに関連している可能性があります。この問題を修正するには、まず関連付けの履歴を表示し、関連付けを特定して調査する必要があります。関連付けの履歴を表示するには、「AWS Systems Manager ユーザーガイド」の「関連付けの履歴の表示」を参照してください。

調査後、関連付けを編集して特定された問題を修正できます。関連付けを編集して、新しい名前やスケジュール、重要度レベル、ターゲットを指定できます。関連付けを編集すると、 は新しいバージョン AWS Systems Manager を作成します。関連付けの編集については、「AWS Systems Manager ユーザーガイド」の「関連付けの編集と新しいバージョンの作成」を参照してください。

[SSM.4] SSM ドキュメントはパブリックにしないでください

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度: 非常事態

リソースタイプ : AWS::SSM::Document

AWS Config ルール : ssm-document-not-public

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールは、アカウントが所有する AWS Systems Manager ドキュメントがパブリックかどうかをチェックします。所有者 Self の Systems Manager ドキュメントがパブリックの場合、このコントロールは失敗します。

パブリックの Systems Manager ドキュメントは、ドキュメントへの意図しないアクセスを許可する場合があります。パブリック Systems Manager ドキュメントは、アカウント、リソース、および内部プロセスに関する貴重な情報を公開する可能性があります。

ユースケースでパブリック共有が必要な場合を除き、Self が所有する Systems Manager ドキュメントのパブリック共有設定をブロックすることを推奨します。

修正

SSM ドキュメントのパブリック共有をブロックするには、「AWS Systems Manager ユーザーガイド」の「Systems Manager ドキュメントのパブリック共有をブロックする」を参照してください。

[SSM.5] SSM ドキュメントにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::SSM::Document

AWS Config ルール : ssm-document-tagged

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、 AWS Systems Manager ドキュメントに requiredKeyTagsパラメータで指定されたタグキーがあるかどうかをチェックします。ドキュメントにタグキーがない場合、または requiredKeyTagsパラメータで指定されたすべてのキーがない場合、コントロールは失敗します。requiredKeyTags パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、ドキュメントにタグキーがない場合に失敗します。コントロールはシステムタグを無視します。システムタグは自動的に適用され、 aws: プレフィックスが付いています。このコントロールは、Amazon が所有する Systems Manager ドキュメントを評価しません。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用し、リソースを目的、所有者、環境などの基準別に分類できます。リソースの特定、整理、検索、フィルタリングに役立ちます。また、アクションと通知のリソース所有者を追跡するのに役立ちます。タグを使用して、認可戦略として属性ベースのアクセスコントロール (ABAC) を実装することもできます。ABAC 戦略の詳細については、IAM ユーザーガイドの「ABAC 認可を使用して属性に基づいてアクセス許可を定義する」を参照してください。タグの詳細については、「 AWS リソースのタグ付け」および「タグエディタユーザーガイド」を参照してください。

修正

AWS Systems Manager ドキュメントにタグを追加するには、 AWS Systems Manager API の AddTagsToResource オペレーションを使用するか、 を使用している場合は AWS CLI addadd-tags-to-resource コマンドを実行します。 AWS Systems Manager コンソールを使用することもできます。