Security Hub CSPM の NIST SP 800-171 Revision 2 - AWS Security Hub
標準のリソース記録の設定標準に適用されるコントロールの特定

Security Hub CSPM の NIST SP 800-171 Revision 2

NIST Special Publication 800-171 Revision 2 (NIST SP 800-171 Rev. 2) は、米国商務省の一機関である米国国立標準技術研究所 (NIST) が開発した、サイバーセキュリティおよびコンプライアンスのフレームワークです。このコンプライアンスフレームワークは、米国連邦政府の一部ではないシステムや組織で、管理対象未分類情報の機密性を保護するための推奨セキュリティ要件を提供します。CUI とも呼ばれる管理対象未分類情報は、政府の分類基準を満たしていないが保護する必要がある機密情報です。これは機密情報と見なされ、米国連邦政府、または米国連邦政府に代わって行動する他の組織によって作成または保有される情報です。

NIST SP 800-171 Rev. 2 は、以下の場合に CUI の機密性を保護するための推奨セキュリティ要件を提供します。

  • 情報が連邦政府以外のシステムや組織内に存在している場合。

  • 連邦政府以外の組織が連邦機関に代わって情報を収集・保持していない、または機関に代わってシステムを使用・運用していない場合。

  • CUI レジストリに記載された CUI カテゴリに対し、その機密性を保護するための具体的な保護要件が、関連する法律、規制、または政府全体のポリシーで規定されていない場合。

要件は、CUI を処理、保存、送信する、またはそれらのコンポーネントに対してセキュリティ保護を提供する、非連邦のシステムおよび組織のすべてのコンポーネントに適用されます。詳細については、「NIST Computer Security Resource Center」の「NIST SP 800-171 Rev. 2」を参照してください。

AWS Security Hub CSPM は、NIST SP 800-171 Revision 2 要件のサブセットをサポートするセキュリティコントロールを提供します。コントロールは、特定の AWS のサービス およびリソースの自動セキュリティチェックを実行します。これらのコントロールを有効にして管理するには、Security Hub CSPM で NIST SP 800-171 Revision 2 フレームワークを標準として有効にします。コントロールは、手動での確認が必要な NIST SP 800-171 Revision 2 の要件をサポートしていないことに注意してください。

標準に適用されるコントロールのリソース記録の設定

検出結果の範囲と精度を最適化するには、AWS Security Hub CSPM で NIST SP 800-171 Revision 2 標準を有効にする前に、AWS Config でリソース記録を有効にして設定することが重要です。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプの AWS リソースに対し有効にすることも忘れないでください。そうしないと、Security Hub CSPM が適切なリソースを評価できず、標準に適用されるコントロールの正確な検出結果を生成できない可能性があります。

Security Hub CSPM が AWS Config でリソース記録を使用する方法については、「Security Hub CSPM の AWS Config の有効化と設定」を参照してください。AWS Config でのリソース記録の設定については、「AWS Config デベロッパーガイド」の「Working with the configuration recorder」を参照してください。

次の表は、Security Hub CSPM の NIST SP 800-171 Revision 2 標準に適用されるコントロールに記録するリソースのタイプを示しています。

AWS のサービス リソースタイプ
AWS Certificate Manager (ACM)

AWS::ACM::Certificate
Amazon API Gateway

AWS::ApiGateway::Stage
Amazon CloudFront

AWS::CloudFront::Distribution
Amazon CloudWatch

AWS::CloudWatch::Alarm
Amazon Elastic Compute Cloud (Amazon EC2)

AWS::EC2::ClientVpnEndpoint, AWS::EC2::NetworkAcl, AWS::EC2::SecurityGroup, AWS::EC2::VPC, AWS::EC2::VPNConnection
Elastic Load Balancing

AWS::ElasticLoadBalancing::LoadBalancer
AWS Identity and Access Management (IAM)

AWS::IAM::Policy, AWS::IAM::User
AWS Key Management Service (AWS KMS)

AWS::KMS::Alias, AWS::KMS::Key
AWS Network Firewall

AWS::NetworkFirewall::FirewallPolicy, AWS::NetworkFirewall::RuleGroup
Amazon Simple Storage Service (Amazon S3)

AWS::S3::Bucket
Amazon Simple Notification Service (Amazon SNS)

AWS::SNS::Topic
AWS Systems Manager (SSM)

AWS::SSM::PatchCompliance
AWS WAF

AWS::WAFv2::RuleGroup

標準に適用されるコントロールの特定

次のリストは、NIST SP 800-171 Revision 2 の要件をサポートし、AWS Security Hub CSPM の NIST SP 800-171 Revision 2 標準に適用されるコントロールを示します。コントロールがサポートする特定の要件の詳細については、コントロールを選択します。次に、コントロールの詳細の関連要件フィールドを参照します。このフィールドは、コントロールがサポートする NIST の各要件を示します。フィールドに特定の NIST 要件が示されていない場合、コントロールはその要件をサポートしていません。