docs.aws.amazon.com
Open in
urlscan Pro
13.35.58.82
Public Scan
URL:
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-setup-prereqs.html
Submission: On December 20 via api from AE — Scanned from PT
Submission: On December 20 via api from AE — Scanned from PT
Form analysis 0 forms found in the DOM
Text Content
COOKIE の設定を選択する
当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie
を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie
は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。
お客様が同意した場合、AWS および承認された第三者は、Cookie
を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie
を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。
受け入れる拒否カスタマイズ
COOKIE の設定をカスタマイズする
当社は、以下の目的で Cookie および同様のツール (以下総称して「Cookie」) を使用いたします。
ESSENTIAL
Essential Cookie
は、当社のサイトおよびサービスを提供するために必要であり、無効にすることはできません。通常、プライバシー設定の選択、サインイン、フォームへの入力など、サイトでのアクションに応じてのみ設定されます。
PERFORMANCE
Performance Cookie
は、お客様によるサイトの操作方法に関する匿名の統計を提供するため、サイトのエクスペリエンスとパフォーマンスを向上させることができます。承認された第三者は、当社に代わって分析を行う場合がありますが、データを独自の目的で使用することはできません。
Performance カテゴリを許可する
許可
FUNCTIONAL
Functional Cookie
は、有用なサイト機能の提供、ユーザーの嗜好の記憶、関連コンテンツの表示に役立ちます。承認された第三者は、特定のサイト機能を提供するためにこれらのクッキーを設定する場合があります。これらのクッキーを許可しない場合、サービスの一部またはすべてが適切に機能しない可能性があります。
Functional カテゴリを許可する
許可
ADVERTISING
Advertising Cookie は、当社の広告パートナーによって当社のサイトを通じて設定され、関連するマーケティングコンテンツの配信に役立ちます。これらの
Cookie を許可しないと、広告の関連性が低くなります。
Advertising カテゴリを許可する
許可
一部の種類の Cookie をブロックすると、サイトの操作に影響する可能性があります。Cookie の設定は、このサイトのフッターにある [Cookie
preferences] をクリックすることで、いつでも変更できます。当社および承認された第三者が Cookie をどのように使用しているかについては、「AWS
Cookie Notice」をお読みください。
キャンセル設定を保存
COOKIE の設定を保存できません
Cookie の設定を保存できなかったため、現時点では不可欠な Cookie のみを保存します。
Cookie の設定を変更する場合は、AWS
コンソールのフッターにあるリンクを使用して後でもう一度お試しください。問題が解決しない場合は、サポートにお問い合わせください。
閉じる
お問い合わせ
日本語
今すぐ無料サインアップ »
フィードバック
設定
AWS SECURITY HUB
ユーザーガイド
* AWS Security Hubとは?
* Security Hub の概念
* Security Hub を有効化して設定する
* Security Hub を設定するためのベストプラクティス
* ローカル設定
* 中央設定
* 中央設定の有効化
* 一元管理とセルフマネージド
* 設定ポリシーの仕組み
* 設定ポリシーの作成と関連付け
* ポリシーのステータスと詳細の表示
* 設定ポリシーの更新
* 設定ポリシーの削除
* 設定の関連付けを解除する
* コンテキスト内の設定
* コンテキスト内の標準の設定
* コンテキスト内のコントロールの設定
* 中央設定の無効化
* 管理者アカウントおよびメンバーアカウントの管理
* マルチアカウント環境の推奨事項
* Organizations でのアカウントの管理
* Security Hub と AWS Organizations の統合
* 委任管理者の削除または変更
* Organizations との統合を無効にします。
* 新しいアカウントで Security Hub を自動的に有効にする
* 新しいアカウントで Security Hub を手動で有効にする
* 組織メンバーアカウントの関連付けを解除する
* Security Hub での招待によるアカウントの管理
* Security Hub でのメンバーアカウントの追加と招待
* 招待の承諾
* Security Hub でメンバーアカウントの関連付けを解除する
* Security Hub でのメンバーアカウントの削除
* Security Hub 管理者アカウントとの関連付けを解除する
* AWS Organizations への移行
* 管理者アカウントとメンバーアカウントによって許可されるアクション
* アカウントアクションが Security Hub データに及ぼす影響
* クロスリージョン集約
* 中央設定と集約
* 集約の有効化
* 集計設定の表示
* 集約設定の更新
* 集約の停止
* [Standards] (標準)
* Security Hub 標準のリファレンス
* AWS Foundational Security Best Practices
* CIS AWS Foundations Benchmark
* NIST SP 800-53 Rev. 5
* PCI DSS v3.2.1
* AWS リソースタグ付け標準
* サービスマネージドスタンダード
* サービスマネージドスタンダード: AWS Control Tower
* 標準を有効にする
* セキュリティ標準の無効化
* 自動有効化標準を無効にする
* 標準の詳細の表示
* 有効化された標準のコントロールを表示する
* コントロール
* Security Hub コントロールのリファレンス
* AWS アカウント コントロール
* Amazon API Gateway コントロール
* AWS AppSync コントロール
* Amazon Athena コントロール
* AWS Backup コントロール
* AWS Certificate Manager コントロール
* AWS CloudFormation コントロール
* Amazon CloudFront コントロール
* AWS CloudTrail コントロール
* Amazon CloudWatch コントロール
* AWS CodeArtifact コントロール
* AWS CodeBuild コントロール
* AWS Config コントロール
* Amazon Data Firehose コントロール
* AWS DataSync コントロール
* Amazon Detective のコントロール
* AWS DMS コントロール
* Amazon DocumentDB コントロール
* Amazon DynamoDB コントロール
* Amazon EC2 コントロール
* Amazon EC2 Auto Scaling コントロール
* Amazon ECR コントロール
* Amazon ECS コントロール
* Amazon EFS コントロール
* Amazon EKS コントロール
* Amazon ElastiCache コントロール
* AWS Elastic Beanstalk コントロール
* Elastic Load Balancing のコントロール
* Elasticsearch コントロール
* Amazon EMR コントロール
* Amazon EventBridge コントロール
* Amazon FSx コントロール
* AWS Global Accelerator コントロール
* AWS Glue コントロール
* Amazon GuardDuty のコントロール
* AWS Identity and Access Management (IAM) のコントロール
* Amazon Inspector コントロール
* AWS IoT コントロール
* Amazon Kinesis のコントロール
* AWS KMS コントロール
* AWS Lambda コントロール
* Amazon Macie コントロール
* Amazon MSK コントロール
* Amazon MQ コントロール
* Amazon Neptune コントロール
* AWS Network Firewall コントロール
* Amazon OpenSearch Service コントロール
* AWS Private CA コントロール
* Amazon RDS コントロール
* Amazon Redshift のコントロール
* Amazon Route 53 のコントロール
* Amazon S3 コントロール
* Amazon SageMaker コントロール
* AWS Secrets Manager コントロール
* AWS Service Catalog コントロール
* Amazon Simple Email Service コントロール
* Amazon SNS コントロール
* Amazon SQS コントロール
* AWS Step Functions コントロール
* AWS Systems Manager コントロール
* AWS Transfer Family コントロール
* AWS WAF コントロール
* Amazon WorkSpaces コントロール
* コントロールを設定するアクセス許可
* コントロールの有効化
* すべての標準にわたってコントロールを有効にする
* 特定の標準のコントロールを有効にする
* 新しいコントロールを自動的に有効化する
* コントロールを無効化する
* すべての標準にわたってコントロールを無効にする
* 特定の標準のコントロールを無効にする
* 無効化を推奨するコントロール
* セキュリティチェックとセキュリティスコア
* AWS Config ルールとセキュリティチェック
* コントロール検出結果に必要な AWS Config リソース
* セキュリティチェックの実行スケジュール
* コントロールの結果を生成および更新する
* コンプライアンスステータスとコントロールステータス
* セキュリティスコアの計算
* コントロールのカテゴリ
* コントロールの詳細の表示
* コントロールのフィルタリングとソート
* コントロールパラメータ
* 現在のコントロールパラメータ値の確認
* コントロールパラメータのカスタマイズ
* デフォルトのコントロールパラメータに戻す
* コントロールパラメータの変更ステータスをチェックする
* コントロール検出結果の表示と管理
* 結果およびリソースの詳細の表示
* コントロール検出結果のフィルタリングとソート
* Security Hub でのコントロール検出結果のサンプル
* Security Hub 統合
* 統合のリストの表示
* 統合先からの検出結果のフローの有効化
* 統合先からの検出結果のフローの無効化
* 統合先からの検出結果の表示
* AWS のサービス 統合
* サードパーティ統合
* カスタム製品の統合
* 結果
* 検出結果プロバイダーの BatchImportFindings
* お客様の BatchUpdateFindings
* 検出結果の詳細と履歴の確認
* 結果のフィルタリングとグループ化
* フィルターを追加する
* 結果をグループ化する
* ワークフローステータスの設定
* カスタムアクションに結果を送信する
* Finding 形式
* ASFF と統合
* 必須の ASFF 最上位属性
* オプションの最上位 ASFF 属性
* Resources ASFF オブジェクト
* リソース属性
* AwsAmazonMQ
* AwsApiGateway
* AwsAppSync
* AwsAthena
* AwsAutoScaling
* AwsBackup
* AwsCertificateManager
* AwsCloudFormation
* AwsCloudFront
* AwsCloudTrail
* AwsCloudWatch
* AwsCodeBuild
* AwsDms
* AwsDynamoDB
* AwsEc2
* AwsEcr
* AwsEcs
* AwsEfs
* AwsEks
* AwsElasticBeanstalk
* AwsElasticSearch
* AwsElb
* AwsEventBridge
* AwsGuardDuty
* AwsIam
* AwsKinesis
* AwsKms
* AwsLambda
* AwsMsk
* AwsNetworkFirewall
* AwsOpenSearchService
* AwsRds
* AwsRedshift
* AwsRoute53
* AwsS3
* AwsSageMaker
* AwsSecretsManager
* AwsSns
* AwsSqs
* AwsSsm
* AwsStepFunctions
* AwsWaf
* AwsXray
* Container
* Other
* インサイト
* インサイト結果と結果の表示
* マネージド型インサイト
* カスタムインサイト
* カスタムインサイトの作成
* カスタムインサイトの編集
* カスタムインサイトの削除
* オートメーション
* 自動化ルール
* 自動化ルールの作成
* 自動化ルールを表示する
* 自動化ルールの編集
* ルール順序の編集
* 自動化ルールの削除または無効化
* 自動化ルールの例
* 自動応答および自動修復
* EventBridge の Security Hub イベントタイプ
* EventBridge イベント形式
* Security Hub 検出結果のルール設定
* カスタムアクションの設定と使用方法
* カスタムアクションを作成する
* EventBridge でルールを定義する
* 結果とインサイト結果のカスタムアクションを選択する
* ダッシュボード
* [概要] ダッシュボードのフィルタリング
* [概要] ダッシュボードのカスタマイズ
* CloudFormation を使用したリソースの作成
* Security Hub の発表のサブスクライブ
* セキュリティ
* データ保護
* ID およびアクセス管理
* Security Hub と IAM の連携方法
* アイデンティティベースポリシーの例
* サービスリンクロール
* AWS マネージドポリシー
* トラブルシューティング
* コンプライアンス検証
* レジリエンス
* インフラストラクチャセキュリティ
* VPC エンドポイント (AWS PrivateLink)
* API コールのログ作成
* リソースのタグ付け
* タグの追加
* リソースのタグを編集する
* タグを確認する
* タグの削除
* クォータ
* Security Hub 地域制限
* Security Hub コントロールのリージョン制限
* Security Hub を無効にする
* コントロールの変更ログ
* ドキュメント履歴
1. AWS
2. ...
3. ドキュメント
4. AWS Security Hub
5. ユーザーガイド
1. AWS
2. ドキュメント
3. AWS Security Hub
4. ユーザーガイド
SECURITY HUB を設定するためのベストプラクティス
PDF
RSS
フォーカスモード
このページの内容
1. Security Hub と AWS Organizations の統合
2. 中央設定の使用
3. Security Hub の AWS Config の設定
このページは役に立ちましたか?
はい
いいえ
フィードバックを送信
Security Hub を設定するためのベストプラクティス - AWS Security Hub
AWSドキュメントAWS Security Hubユーザーガイド
Security Hub と AWS Organizations の統合中央設定の使用Security Hub の AWS Config の設定
以下のベストプラクティスは AWS Security Hub を最大限活用するのに役立ちます。
SECURITY HUB と AWS ORGANIZATIONS の統合
AWS Organizations はグローバルアカウント管理サービスであり、AWS 管理者は複数の AWS アカウントや組織単位(OUs)
を統合して集中管理することが可能になります。予算、セキュリティ、コンプライアンスのニーズをサポートするように設計されたアカウント管理および一括請求
(コンソリデーティッドビリング) 機能が備わっています。追加料金なしで提供され、Security Hub や Amazon GuardDuty、Amazon
Macie を含む、複数の AWS のサービスと統合されています。
アカウントの管理を自動化および合理化するために、Security Hub と AWS Organizations
を統合することを強く推奨しています。Security Hubを使用する AWS アカウントが複数ある場合は、Organizations と統合できます。
統合を有効にする手順については、「Security Hub と AWS Organizations の統合」をご参照ください。
中央設定の使用
Security Hub と Organizations を統合すると、中央設定と呼ばれる機能を使用して組織の Security Hub
を設定および管理できます。管理者が組織のセキュリティ範囲をカスタマイズできるため、中央設定を使用することを強くお勧めします。必要に応じて、委任管理者はメンバーアカウントによる独自のセキュリティカバレッジの設定を許可できます。
中央設定により、委任管理者は複数のアカウント、OU、および AWS リージョン で Security Hub
を設定できます。委任管理者は、設定ポリシーを作成して Security Hub を設定します。設定ポリシー内では、以下の設定を指定できます。
* Security Hub が有効か無効か
* どのセキュリティ基準を有効または無効にするか
* どのセキュリティコントロールを有効または無効にするか
* コントロール選択用のパラメータをカスタマイズするかどうか
委任管理者は、組織全体を対象とする単一の設定ポリシーを作成することも、さまざまなアカウントや OU
に異なる設定ポリシーを作成することもできます。例えば、テストアカウントと本稼働アカウントでは異なる設定ポリシーを使用できます。
設定ポリシーを使用するメンバーアカウントと OU は一元管理され、委任管理者のみが設定できます。委任管理者は、特定のメンバーアカウントと OU
をセルフマネージド型として指定して、メンバーがリージョン単位で独自の設定を行えるようにすることができます。
中央設定を使用しない場合は、各アカウントとリージョンで大幅に Security Hub
を設定する必要があります。これはローカル設定と呼ばれます。ローカル設定では、委任管理者は、現在のリージョンの新しい組織アカウントで Security Hub
と限定された一連のセキュリティ標準を自動的に有効にできます。ローカル設定は、既存の組織アカウントや、現在のリージョン以外のリージョンには適用されません。また、ローカル設定では設定ポリシーの使用もサポートされていません。
中央設定の詳細については、「Security Hub の中央設定について」を参照してください。
SECURITY HUB の AWS CONFIG の設定
AWS Security Hub は、サービスにリンクされた AWS Config
ルールを使用して、セキュリティチェックを実行し、ほとんどのコントロールの検出結果を生成します。その結果、コントロールの検出結果を受信するには、Security
Hub が有効になっている各 AWS リージョン のアカウントで AWS Config を有効にする必要があります。アカウントが組織の一部である場合、AWS
Config
は管理者アカウントとすべてのメンバーアカウントの各リージョンで有効にする必要があります。また、セキュリティ標準を有効にする場合、標準の一部分である有効なコントロールに必要なリソースを記録するように、AWS
Config を設定する必要があります。
Security Hub 標準を有効にする前に AWS Config でリソース記録を有効にすることを強く推奨しています。リソース記録が有効になっていないときに
Security Hub がセキュリティチェックを実行しようとすると、チェックは AWS Config
を有効にしてリソース記録をオンにするまでエラーを返します。
Security Hub がユーザーに代わって AWS Config を管理することはありません。既に AWS Config が有効になっている場合は、AWS
Config コンソールまたは API を介して設定します。
標準を有効にしても AWS Config を有効にしていない場合、Security Hub は、次のスケジュールに従って AWS Config
ルールを作成しようとします。
* 標準を有効にした当日
* 標準を有効にした翌日
* 標準を有効にしてから 3 日後
* 標準を有効にしてから 7 日後 (その後は 7 日ごとに継続的に)
中央設定を使用する場合、Security Hub は、アカウント、組織単位 (OU)、またはルートで 1 つ以上の標準を有効にする設定ポリシーを適用するたびに
AWS Config ルールを作成しようとします。
AWS CONFIG の有効化
まだ AWS Config を有効化していない場合は、次のいずれかの方法で設定できます。
* コンソールまたは AWS CLI — AWS Config コンソールまたは AWS CLI を使用して AWS Config
を手動で有効にできます。「AWS Config 開発者ガイド」の「AWS Config の開始方法」を参照してください。
* AWS CloudFormation テンプレート — 大量のアカウントで AWS Config を有効にしたい場合は、CloudFormation
テンプレートの EnableAWS Config を使って AWS Config
を簡単に有効にできます。このテンプレートにアクセスする方法については、「AWS CloudFormation ユーザーガイド」の「AWS
CloudFormation StackSets サンプルテンプレート」を参照してください。
* Github スクリプト - Security Hub には、複数のリージョンで複数のアカウントを有効にできる GitHub
のスクリプトが用意されています。このスクリプトは、Organizations
と統合していない場合、あるいは、自分の組織に属さないアカウントがある場合などに有用です。このスクリプトを使用して Security Hub
を有効にすると、それらのアカウントの AWS Config も自動的に有効になります。
AWS Config で Security Hub のセキュリティチェックを実行できるようにする方法については、「Optimize AWS Config for
AWS Security Hub to effectively manage your cloud security posture」を参照してください。
AWS CONFIG でリソース記録を有効にする
デフォルト設定を使用してリソース記録を有効にすると、AWS Config は実行中の AWS リージョン
で検出されたサポートされているすべてのタイプのリージョンリソースを記録します。AWS Config
を設定して、グローバルリソースのサポートされているタイプを記録することもできます。グローバルリソースは 1 つのリージョンに記録するだけで済みます
(中央設定を使用する場合は、これをホームリージョンにすることをお勧めします)。
CloudFormation StackSets を使用して AWS Config を有効化している場合、2 つの異なる StackSets
を実行することが推奨されます。1 つの StackSet を実行して、グローバルリソースを含むすべてのリソースを 1 つのリージョンに記録します。2 番目の
StackSet を実行して、他のリージョンのグローバルリソース以外の、すべてのリソースを記録します。
また、AWS Systems Manager の一機能である Quick Setup を使用して、アカウントとリージョンを横断して、リソースレコードを AWS
Config ですばやく構成することもできます。Quick Setup の最中に、グローバルリソースを記録するリージョンを選択できます。詳細については、AWS
Systems Manager ユーザーガイドの「AWS Config 設定レコーダー」を参照してください。
セキュリティコントロール Config.1 は、アグリゲーター内のリンクされたリージョン以外のリージョン
(ホームリージョンと、検出結果アグリゲーターにまったく存在しないリージョン) に対して失敗した検出結果を生成します。これは、そのリージョンが AWS
Identity and Access Management (IAM) グローバルリソースを記録せず、IAM
グローバルリソースの記録を必要とするコントロールを有効にしている場合です。リンクされたリージョンでは、Config.1 は IAM
グローバルリソースが記録されているかどうかをチェックしません。各コントロールに必要なリソースのリストについては、「Security Hub
コントロール検出結果に必要な AWS Config リソース」を参照してください。
なお、マルチアカウントスクリプトを使用して Security Hub
を有効にした場合、グローバルリソースを含むすべてのリソースのリソース記録が、すべてのリージョンで自動的に有効になることにご注意ください。その後、単一のリージョンのみでグローバルリソースを記録するように設定を更新できます。詳細については、「AWS
Config デベロッパーガイド」の「AWS Config が記録するリソースを選択する」を参照してください。
Security Hub が AWS Config
ルールに依存するすべてのコントロールの検出結果を正確にレポートするには、関連するリソースの記録を有効にする必要があります。コントロールと関連する AWS
Config リソースのリストについては、「Security Hub コントロール検出結果に必要な AWS Config リソース」を参照してください。AWS
Config を使用すると、リソース状態の変更を継続的に記録するか、日単位で記録するかを選択できます。毎日記録することを選択した場合、AWS Config
は、リソースの状態に変化があったとき、各 24
時間の最後にリソース設定データを配信します。変化がなければ、データは配信されません。そのため、変更によってトリガーされるコントロールに関する Security
Hub の検出結果の生成が 24 時間周期の終了まで遅れる可能性があります。
注記
セキュリティチェック後に新しい結果を生成して古い結果にならないようにするには、構成レコーダーにアタッチされた IAM
ロールに基盤となるリソースを評価するための十分な許可が必要です。
コストに関する考慮事項
リソースの記録に関連するコストの詳細については、「AWS Security Hub の料金」と「AWS Config の料金」を参照してください。
Security Hub では、AWS::Config::ResourceCompliance 設定項目を更新すると AWS Config
設定レコーダーのコストに影響する可能性があります。AWS Config ルールに関連付けられた Security Hub
コントロールがコンプライアンス状態を変更したり、有効化/無効化されたり、パラメータを更新するたびに記録の更新が発生します。AWS Config 設定レコーダーを
Security Hub のみに使用し、この設定項目を他の目的には使用しない場合は、AWS Config コンソールまたは AWS CLI
で記録をオフにすることをお勧めします。これにより、AWS Config コストを削減できます。Security Hub でセキュリティチェックを行うために
AWS::Config::ResourceCompliance を記録する必要はありません。
ブラウザで JavaScript が無効になっているか、使用できません。
AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。
ドキュメントの表記規則
Security Hub を有効化して設定する
ローカル設定
このページは役に立ちましたか? - はい
ページが役に立ったことをお知らせいただき、ありがとうございます。
お時間がある場合は、何が良かったかお知らせください。今後の参考にさせていただきます。
このページは役に立ちましたか? - いいえ
このページは修正が必要なことをお知らせいただき、ありがとうございます。ご期待に沿うことができず申し訳ありません。
お時間がある場合は、ドキュメントを改善する方法についてお知らせください。
次のトピック
ローカル設定
前のトピック:
Security Hub を有効化して設定する
ヘルプが必要ですか?
* AWS Re:Postをお試しください
* AWS IQ のエキスパートにご連絡ください
プライバシーサイト規約Cookie の設定
© 2024, Amazon Web Services, Inc. or its affiliates.All rights reserved.