セキュリティスコアの計算
AWS Security Hub CSPM コンソールの [概要] ページと [コントロール] ページは、有効になっているすべての標準のセキュリティスコアの概要が表示されます。[セキュリティ基準] ページで、Security Hub CSPM は有効な標準別に 0〜100% のセキュリティスコアをも表示します。
Security Hub CSPM を初めて有効にすると、Security Hub CSPM は、コンソールの [概要] ページまたは [セキュリティ基準] ページへの最初のアクセスから 30 分以内にセキュリティスコアの概要と標準のセキュリティスコアを計算します。スコアは、コンソールのこれらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。また、スコアを表示するには、AWS Config リソース記録を設定する必要があります。セキュリティスコアの概要は、標準のセキュリティスコアの平均値です。現在有効になっている標準のリストを確認するには、Security Hub CSPM API の GetEnabledStandards オペレーションを使用できます。
最初のスコア生成の後、Security Hub CSPM はセキュリティスコアを 24 時間ごとに更新します。Security Hub CSPM には、セキュリティスコアが最後に更新されたときの時刻が表示されます。中国リージョンおよび AWS GovCloud (US) Regions では、最初のセキュリティスコアが作成されるまで、最大 24 時間かかることに注意してください。
統合コントロールの検出結果を有効にしている場合、セキュリティスコアが更新されるまで、最大 24 時間かかることがあります。さらに、新しい集約リージョンの有効化や、リンクされたリージョンの更新を行うと、既存のセキュリティスコアがリセットされます。Security Hub CSPM では、更新されたリージョンのデータを含む新しいセキュリティスコアを生成するまでに、最大 24 時間かかる場合があります。
セキュリティスコアの計算方法
セキュリティスコアは、有効になっているコントロールのうち、合格の状態にあるコントロールの割合を示します。スコアは、小数点以下を最も近い整数に四捨五入したパーセンテージで表示されます。
Security Hub CSPM は、有効なすべての標準でセキュリティスコアの要約を計算します。Security Hub CSPM では、有効な標準ごとにセキュリティ スコアも計算されます。スコアの計算に使用可能なコントロールには、[合格]、[失敗]、および [不明] のステータスが付いたコントロールが含まれます。ステータスが [データなし] のコントロールはスコア計算から除外されます。
Security Hub CSPM は、コントロールステータスを計算するときに、アーカイブされた検出結果と抑制された検出結果を無視します。これはセキュリティスコアに影響する可能性があります。例えば、あるコントロールで失敗した検出結果をすべて抑制すると、そのステータスは「合格」になり、セキュリティスコアが向上する可能性があります。コントロールステータスの詳細については、コンプライアンスステータスとコントロールステータスの評価 を参照してください。
スコアリングの例:
| 規格 | 合格コントロール | 失敗コントロール | 未知のコントロール | 標準スコア |
|---|---|---|---|---|
|
AWS Foundational Security Best Practices v1.0.0 |
168 |
22 |
0 |
88% |
|
CIS AWS Foundations Benchmark v1.4.0 |
8 |
29 |
0 |
22% |
|
CIS AWS Foundations Benchmark v1.2.0 |
6 |
35 |
0 |
15% |
|
NIST Special Publication 800-53 Revision 5 |
159 |
56 |
0 |
74% |
|
PCI DSS v3.2.1 |
28 |
17 |
0 |
62% |
セキュリティスコアの概要を計算する際、Security Hub CSPM は各コントロールを標準全体で一度だけカウントします。例えば、有効な 3 つの標準に適用されるコントロールを有効にした場合、スコアの対象となるのは有効な 1 つのコントロールとしてのみカウントされます。
この例の場合、有効になっている標準全体で有効になっているコントロールの総数は 528 ですが、Security Hub CSPM は各固有のコントロールをスコア対象として、1 回だけカウントします。有効になっている固有のコントロール数は 528 よりもおそらく少ないはずです。有効になっている固有のコントロール数が 515 で、通過した固有のコントロール数が 357 であると仮定すると、概要スコアは 69% になります。このスコアは、通過した固有のコントロール数を、有効なコントロールの総数 で割って計算されます。
現在のリージョンのアカウントで有効化した標準が 1 つのみの場合でも、概要スコアが標準セキュリティスコアと異なる可能性があります。これは、管理者アカウントにサインインしており、メンバーアカウントが追加の標準または異なる標準を有効化している場合に発生する場合があります。また、集約リージョンのスコアを表示しており、リンクされたリージョンで追加の標準または異なる標準が有効化されている場合にも発生する場合があります。
管理者アカウントのセキュリティスコア
管理者アカウントにログインしている場合、概要セキュリティスコアと標準スコアは、管理者アカウントおよびメンバーアカウントのすべてのコントロールステータスを考慮したものになります。
1 つのメンバーアカウントでコントロールのステータスが [失敗] の場合、管理者アカウントのステータスは [失敗] となり、管理者アカウントのスコアに影響を与えます。
管理者アカウントにログインしていて、集約リージョンを考慮したものになっている場合、セキュリティスコアは、すべてのメンバーアカウントおよびリンクされているすべてのリージョンを考慮したものになります。
集約リージョンを設定している場合のセキュリティスコア
集計を AWS リージョン に設定した場合、要約セキュリティスコアと標準スコアがすべての統制ステータスを考慮します。リンクされた地域。
制御のステータスが 1 つのリンクされたリージョンでも [失敗] の場合、そのステータスは集約リージョンで [失敗] となり、集約リージョンスコアに影響を与えます。
管理者アカウントにログインしていて、集約リージョンを考慮したものになっている場合、セキュリティスコアは、すべてのメンバーアカウントおよびリンクされているすべてのリージョンを考慮したものになります。
