Systems Manager の Security Hub コントロール - AWS Security Hub
[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります[SSM.4] SSM ドキュメントはパブリックにしないでください[SSM.5] SSM ドキュメントにはタグを付ける必要があります[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Systems Manager の Security Hub コントロール

これらの AWS Security Hub コントロールは、 AWS Systems Manager (SSM) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager

関連する要件: PCI DSS v3.2.1/2.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(2)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SA-15(2)、NIST.800-53.r5 SA-15(8)、NIST.800-53.r5 SA-3、NIST.800-53.r5 SI-2(3)

カテゴリ: 識別 > インベントリ

重要度:

評価されたリソース: AWS::EC2::Instance

必要な AWS Config 記録リソース: AWS::EC2::InstanceAWS::SSM::ManagedInstanceInventory

AWS Config ルール : ec2-instance-managed-by-systems-manager

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、アカウントで停止および実行中の EC2 インスタンスが によって管理されているかどうかを確認します AWS Systems Manager。Systems Manager AWS のサービス は、 AWS インフラストラクチャの表示と制御に使用できる です。

セキュリティとコンプライアンスを維持するために、Systems Manager は停止しているマネージドインスタンスと実行中のマネージドインスタンスをスキャンします。マネージドインスタンスは、Systems Manager で使用するように設定されたマシンです。Systems Manager が検出したポリシー違反について報告または是正処置を講じます。Systems Manager は、マネージドインスタンスを設定して維持するのにも役立ちます。詳細については、AWS Systems Manager ユーザーガイドを参照してください。

注記

このコントロールは、 によって管理される AWS Elastic Disaster Recovery レプリケーションサーバーインスタンスである EC2 インスタンスの検出FAILED結果を生成します AWS。レプリケーションサーバーインスタンスは、ソースサーバーからの継続的なデータレプリケーション AWS Elastic Disaster Recovery をサポートするために によって自動的に起動される EC2 インスタンスです。 AWS は、これらのインスタンスから Systems Manager (SSM) エージェントを意図的に削除して分離を維持し、意図しないアクセスパスの可能性を防止します。

修正

を使用した EC2 インスタンスの管理の詳細については AWS Systems Manager、 AWS Systems Manager ユーザーガイドAmazon EC2 ホスト管理」を参照してください。 AWS Systems Manager コンソールの「設定オプション」セクションで、デフォルト設定のままにするか、必要に応じて設定を変更できます。

[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります

関連する要件: NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、NIST.800-171.r2 3.7.1、PCI DSS v3.2.1/6.2、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3.3

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ : AWS::SSM::PatchCompliance

AWS Config ルール : ec2-managedinstance-patch-compliance-status-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、インスタンスへのパッチインストール後、Systems Manager パッチコンプライアンスのコンプライアンスステータスが、COMPLIANTNON_COMPLIANT のどちらであるかをチェックします。コンプライアンスステータスが NON_COMPLIANT の場合、コントロールは失敗します。このコントロールは、Systems Manager Patch Manager によって管理されているインスタンスのみをチェックします。

組織の要求に応じて EC2 インスタンスにパッチを適用すると、 AWS アカウントのアタックサーフェスが低減されます。

修正

Systems Manager では、パッチポリシーを使用して、マネージドインスタンスのパッチ適用を設定することを推奨しています。次の手順で説明するように、Systems Manager のドキュメントを使用してインスタンスにパッチを適用することもできます。

非準拠のパッチを修正するには

  1. https://console.aws.amazon.com/systems-manager/ で AWS Systems Manager コンソールを開きます。

  2. [ノード管理] で、[コマンドを実行する] を選択し、[コマンドを実行する] を選択します。

  3. AWS-RunPatchBaseline のオプションを選択します。

  4. [Operation] (オペレーション) を [Install] (インストール) に変更します。

  5. [インスタンスを手動で選択する] を選択し、非準拠のインスタンスを選択します。

  6. [Run] (実行) を選択します。

  7. コマンドの完了後に、パッチを適用したインスタンスの新しいコンプライアンスステータスをモニタリングするには、ナビゲーションペインで [コンプライアンス] を選択します。

[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2(3)、PCI DSS v3.2.1/2.4、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ : AWS::SSM::AssociationCompliance

AWS Config ルール : ec2-managedinstance-association-compliance-status-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS Systems Manager 関連付けコンプライアンスのステータスが であるかCOMPLIANT、インスタンスで関連付けが実行されNON_COMPLIANTた後であるかをチェックします。関連付けのコンプライアンスステータスが NON_COMPLIANT の場合、コントロールは失敗します。

State Manager の関連付けは、マネージドインスタンスに割り当てられる設定です。この設定では、インスタンスで維持する状態を定義します。例えば、関連付けでは、アンチウイルスソフトウェアをインスタンス上にインストールして実行する必要があること、または特定のポートを閉じる必要があることを指定できます。

State Manager の関連付けを 1 つまたは複数作成することで、コンプライアンスステータス情報をすぐに表示できるようになります。コンプライアンスステータスは、 コンソールで、または AWS CLI コマンドまたは対応する Systems Manager API アクションに応答して表示できます。関連付けでは、設定コンプライアンスはコンプライアンスステータスを表示します (Compliant または Non-compliant)。また、関連付けに割り当てられた Critical または Medium などの重要度レベルを表示します。

State Manager 関連付けのコンプライアンスの詳細については、「AWS Systems Manager ユーザーガイド」の「State Manager 関連付けのコンプライアンスについて」を参照してください。

修正

失敗した関連付けは、ターゲットや Systems Manager ドキュメント名など、さまざまなものに関連している可能性があります。この問題を修正するには、まず関連付けの履歴を表示し、関連付けを特定して調査する必要があります。関連付けの履歴を表示するには、「AWS Systems Manager ユーザーガイド」の「関連付けの履歴の表示」を参照してください。

調査後、関連付けを編集して特定された問題を修正できます。関連付けを編集して、新しい名前やスケジュール、重要度レベル、ターゲットを指定できます。関連付けを編集すると、 は新しいバージョン AWS Systems Manager を作成します。関連付けの編集については、「AWS Systems Manager ユーザーガイド」の「関連付けの編集と新しいバージョンの作成」を参照してください。

[SSM.4] SSM ドキュメントはパブリックにしないでください

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度: 非常事態

リソースタイプ : AWS::SSM::Document

AWS Config ルール : ssm-document-not-public

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールは、アカウントが所有する AWS Systems Manager ドキュメントがパブリックかどうかをチェックします。所有者Selfとして を持つ Systems Manager ドキュメントがパブリックである場合、コントロールは失敗します。

パブリックの Systems Manager ドキュメントは、ドキュメントへの意図しないアクセスを許可する場合があります。パブリック Systems Manager ドキュメントは、アカウント、リソース、および内部プロセスに関する貴重な情報を公開する可能性があります。

ユースケースでパブリック共有が必要でない限り、 を所有者Selfとする Systems Manager ドキュメントのパブリック共有をブロックすることをお勧めします。

修正

Systems Manager ドキュメントの共有の設定については、AWS Systems Manager 「 ユーザーガイド」の「SSM ドキュメントの共有」を参照してください。

[SSM.5] SSM ドキュメントにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::SSM::Document

AWS Config ルール : ssm-document-tagged

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredKeyTags 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList (最大 6 項目) AWS 要件を満たす 1~6 個のタグキー。 デフォルト値なし

このコントロールは、 AWS Systems Manager ドキュメントに requiredKeyTagsパラメータで指定されたタグキーがあるかどうかをチェックします。ドキュメントにタグキーがない場合、または requiredKeyTagsパラメータで指定されたすべてのキーがない場合、コントロールは失敗します。requiredKeyTags パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、ドキュメントにタグキーがない場合に失敗します。コントロールはシステムタグを無視します。システムタグは自動的に適用され、 aws: プレフィックスが付いています。このコントロールは、Amazon が所有する Systems Manager ドキュメントを評価しません。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用し、リソースを目的、所有者、環境などの基準別に分類できます。リソースの識別、整理、検索、フィルタリングに役立ちます。また、アクションと通知のリソース所有者を追跡するのに役立ちます。タグを使用して、認可戦略として属性ベースのアクセスコントロール (ABAC) を実装することもできます。ABAC 戦略の詳細については、IAM ユーザーガイドの「ABAC 認可を使用して属性に基づいてアクセス許可を定義する」を参照してください。タグの詳細については、「 AWS リソースのタグ付け」および「タグエディタユーザーガイド」を参照してください。

注記

個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。これらは、プライベートデータや機密データに使用することを目的としたものではありません。

修正

AWS Systems Manager ドキュメントにタグを追加するには、 AWS Systems Manager API の AddTagsToResource オペレーションを使用するか、 を使用している場合は AWS CLI addadd-tags-to-resource コマンドを実行します。 AWS Systems Manager コンソールを使用することもできます。

[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::::Account

AWS Config ルール : ssm-automation-logging-enabled

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールはAmazon CloudWatch ログ記録が AWS Systems Manager (SSM) Automation で有効になっているかどうかをチェックします。CloudWatch ログ記録が SSM Automation で有効になっていない場合、コントロールは失敗します。

SSM Automation は、事前定義されたランブックまたはカスタムランブックを使用して、リソースを大規模 AWS にデプロイ、設定、管理するための自動ソリューションを構築するのに役立つ AWS Systems Manager ツールです。組織の運用要件またはセキュリティ要件を満たすには、実行するスクリプトの記録を提供する必要がある場合があります。ランブックのaws:executeScriptアクションからの出力を、指定した Amazon CloudWatch Logs ロググループに送信するように SSM Automation を設定できます。CloudWatch Logs を使用すると、さまざまな AWS のサービスからのログファイルについて、モニタリング、保存、アクセスが行えます。

修正

SSM Automation で CloudWatch ログ記録を有効にする方法については、AWS Systems Manager 「 ユーザーガイド」のCloudWatch Logs を使用したオートメーションアクション出力のログ記録」を参照してください。

[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります

カテゴリ: 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

重要度: 非常事態

リソースタイプ : AWS::::Account

AWS Config ルール : ssm-automation-block-public-sharing

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールは、ドキュメントに対してパブリック共有ブロック設定が有効になっている AWS Systems Manager かどうかをチェックします。Systems Manager ドキュメントでブロックパブリック共有設定が無効になっていると、コントロールは失敗します。

AWS Systems Manager (SSM) ドキュメントのブロックパブリック共有設定は、アカウントレベルの設定です。この設定を有効にすると、SSM ドキュメントへの不要なアクセスを防ぐことができます。この設定を有効にしても、現在パブリックと共有している SSM ドキュメントには影響しません。ユースケースで SSM ドキュメントをパブリックと共有する必要がある場合を除き、パブリック共有ブロック設定を有効にすることをお勧めします。設定は、それぞれ異なる場合があります AWS リージョン。

修正

(SSM) ドキュメントのブロックパブリック共有設定 AWS Systems Manager を有効にする方法については、AWS Systems Manager 「 ユーザーガイド」の「SSM ドキュメントのブロックパブリック共有」を参照してください。