翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub CSPM AWS Organizations を使用して でパブリック Amazon S3 バケットを特定する
*Amazon Web Services、Mourad Cherfaoui、Arun Chandapillai、Parag Nagwekar*
## 概要
このパターンは、 AWS Organizations アカウント内のパブリック Amazon Simple Storage Service (Amazon S3) バケットを識別するメカニズムを構築する方法を示しています。このメカニズムは、 [AWS の Foundational Security Best Practices (FSBP) 標準の](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)コントロールを使用して Amazon S3 バケット AWS Security Hub CSPM をモニタリングすることで機能します。Amazon EventBridge を使用して Security Hub CSPM [の検出結果](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html)を処理し、これらの検出結果を Amazon Simple Notification Service (Amazon SNS) トピックに投稿できます。組織内の利害関係者はトピックを購読して、検出結果に関する電子メール通知をすぐに受け取ることができます。
新しい Amazon S3 バケット、およびオブジェクトはパブリックアクセスを許可しません。このパターンは、組織の要件に基づいてデフォルトの Amazon S3 設定を変更する必要があるシナリオで使用できます。例えば、一般公開のウェブサイトやファイルをホストする Amazon S3 バケットがあって、その Amazon S3 バケットからインターネット上のすべての人が読み取れるようにする必要がある場合です。
Security Hub CSPM は、多くの場合、セキュリティ標準やコンプライアンス要件に関連するものを含め、すべてのセキュリティ検出結果を統合するための中央サービスとしてデプロイされます。パブリック Amazon S3 バケットを検出するために AWS のサービス 使用できる他のものもありますが、このパターンでは、最小限の設定で既存の Security Hub CSPM デプロイを使用します。
## 前提条件と制限
**前提条件**
+ 専用の Security Hub CSPM 管理者アカウントを使用した AWS マルチアカウント設定 [https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)
+ Security Hub CSPM と AWS Config、モニタリング AWS リージョン する で有効になっている
**注記**
1 つの[集約リージョンから複数のリージョンをモニタリングする場合は、Security Hub CSPM ](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation-enable.html)でクロスリージョン集約を有効にする必要があります。
+ Security Hub CSPM 管理者アカウントにアクセスして更新するためのユーザーアクセス許可、組織内のすべての Amazon S3 バケットへの読み取りアクセス許可、およびパブリックアクセスを無効にするためのアクセス許可 (必要な場合)
## アーキテクチャ
次の図は、Security Hub CSPM を使用してパブリック Amazon S3 バケットを識別するためのアーキテクチャを示しています。
この図は、次のワークフローを示しています。
1. Security Hub CSPM は、FSBP セキュリティ標準の S3.2 および S3.3 コントロールを使用して、すべてのアカウント (管理者アカウントを含む) の Amazon S3 バケットの設定をモニタリングし、バケットがパブリックとして設定されている場合は検出結果を検出します。 AWS Organizations S3
1. Security Hub CSPM 管理者アカウントは、すべてのメンバーアカウントから結果 (S3.2 および S3.3 の結果を含む) にアクセスします。
1. Security Hub CSPM は、すべての新しい検出結果と既存の検出結果へのすべての更新を、Security Hub CSPM 検出結果 - インポートされたイベントとして EventBridge に自動的に送信します。 ****これには、管理者アカウントとメンバーアカウントの両方からの検出検出結果のイベントが含まれます。
1. EventBridge ルールは、S3.2 と S3.3 の調査検出結果のうち、`ComplianceStatus`が`FAILED`で、ワークフローステータスが`NEW`で、`RecordState`が`ACTIVE`であるものをフィルタリングする。
1. ルールはイベントパターンを使用してイベントを識別し、一致すると Amazon SNS トピックに送信します。
1. Amazon SNS トピックはイベントをサブスクライバーに (E メールなどで) 送信します。
1. E メール通知を受信するように指定されたセキュリティアナリストは、問題の Amazon S3 バケットを審査します。
1. バケットのパブリックアクセスが承認された場合、セキュリティアナリストは Security Hub CSPM の対応する検出結果のワークフローステータスを に設定します`SUPPRESSED`。それ以外の場合、アナリストはステータスを`NOTIFIED`に設定します。これにより、Amazon S3 バケットへの今後の通知がなくなり、通知ノイズが減少します。
1. ワークフローのステータスが`NOTIFIED`に設定されている場合、セキュリティアナリストは検出結果をバケット所有者と確認して、パブリックアクセスが正当であり、プライバシーとデータ保護の要件を満たしているかどうかを判断します。調査の結果、バケットへのパブリックアクセスを削除するか、パブリックアクセスを承認するかのどちらかになります。後者の場合、セキュリティアナリストはワークフローのステータスを`SUPPRESSED`に設定します。
**注記**
このアーキテクチャ図は、単一リージョンとクロスリージョン集約の両方のデプロイに適用されます。図のアカウント A、B、C では、Security Hub CSPM は管理者アカウントと同じリージョンに属したり、クロスリージョン集約が有効になっている場合は異なるリージョンに属したりできます。
## ツール
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) は、アプリケーションをさまざまなソースのリアルタイムデータに接続できるようにするサーバーレスイベントバスサービスです。EventBridge は、独自のアプリケーション、Software as a Service (SaaS) アプリケーション、および からリアルタイムデータのストリームを提供します AWS のサービス。EventBridge は、データがユーザー定義ルールと一致する場合、そのデータを Amazon SNS トピックや AWS Lambda 関数などのターゲットにルーティングします。
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) は、ウェブサーバーやメールアドレスなど、パブリッシャーとクライアント間のメッセージの交換を調整および管理するのに役立ちます。サブスクライバーは、サブスクライブしているトピックに対して発行されたすべてのメッセージを受信します。また、同じトピックのサブスクライバーはすべて同じメッセージを受信します。
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) は、あらゆる量のデータを保存、保護、取得できるクラウドベースのオブジェクトストレージサービスです。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) は、 のセキュリティ状態の包括的なビューを提供します AWS。Security Hub CSPM は、セキュリティ業界標準とベストプラクティスに照らして AWS 環境をチェックするのに役立ちます。Security Hub CSPM は AWS アカウント、、 のサービス、およびサポートされているサードパーティーパートナー製品全体からセキュリティデータを収集し、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。
## エピック
### Security Hub CSPM アカウントを設定する
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| AWS Organizations アカウントで Security Hub CSPM を有効にします。 | Amazon S3 バケットをモニタリングする組織アカウントで Security Hub CSPM を有効にするには、Security Hub CSPM ドキュメントの[「Security Hub CSPM 管理者アカウント (コンソール) の指定](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#:~:text=AWSSecurityHubOrganizationsAccess-,Designating%20a%20Security%20Hub%20administrator%20account%20(console),-The%20organization%20management)」と[「組織に属するメンバーアカウントの管理](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html)」のガイドラインを参照してください。 | AWS 管理者 |
| (オプション) クロスリージョン集約を有効にします。 | 1 つのリージョンから複数のリージョンの Amazon S3 バケットを監視する場合は、[クロスリージョン集約](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)を設定します。 | AWS 管理者 |
| FSBP セキュリティ標準の S3.2 と S3.3 のコントロールを有効にします。 | FSBP セキュリティ標準の S3.2 と S3.3 のコントロールを有効にする必要があります。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/identify-public-s3-buckets-in-aws-organizations-using-security-hub.html) | AWS 管理者 |
### 環境をセットアップする
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| Amazon SNS トピックと E メールのサブスクリプションを設定します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/identify-public-s3-buckets-in-aws-organizations-using-security-hub.html) | AWS 管理者 |
| EventBridge ルールを設定します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/identify-public-s3-buckets-in-aws-organizations-using-security-hub.html) | AWS 管理者 |
## トラブルシューティング
| 問題 | ソリューション |
| --- | --- |
| パブリックアクセスが有効になっている Amazon S3 バケットがありますが、そのバケットに関する E メール通知が届きません。 | これは、バケットが別のリージョンで作成され、Security Hub CSPM 管理者アカウントでクロスリージョン集約が有効になっていないためである可能性があります。この問題を解決するには、クロスリージョン集約を有効にするか、現在 Amazon S3 バケットが存在するリージョンにこのパターンのソリューションを実装してください。 |
## 関連リソース
+ [とは AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) (Security Hub CSPM ドキュメント)
+ [AWS Foundational Security Best Practices (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) (Security Hub CSPM ドキュメント)
+ [AWS Security Hub CSPM マルチアカウント有効化スクリプト](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/tree/master/multiaccount-enable) (AWS Labs)
+ [Amazon S3 のセキュリティのベストプラクティス](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) (Amazon S3 ドキュメント)
## 追加情報
*パブリック Amazon S3 バケットを監視するためのワークフロー*
以下のワークフローは、組織内のパブリック Amazon S3 バケットを監視する方法を示しています。このワークフローは、このパターンの「*Amazon SNS トピックと E メールサブスクリプションの設定*」のストーリーの手順を完了していることを前提としています*。*
1. Amazon S3 バケットにパブリックアクセスが設定されると、E メール通知が届きます。
+ バケットにパブリックアクセスが承認されている場合は、Security Hub CSPM 管理者アカウントの対応する検出結果のワークフローステータス`SUPPRESSED`を に設定します。これにより、Security Hub CSPM がこのバケットに対してそれ以上通知を発行するのを防ぎ、重複するアラートを排除できます。
+ バケットにパブリックアクセスが承認されていない場合は、Security Hub CSPM 管理者アカウントの対応する検出結果のワークフローステータスを に設定します`NOTIFIED`。これにより、Security Hub CSPM が Security Hub CSPM からこのバケットに対して追加の通知を発行するのを防ぎ、ノイズを排除できます。
1. バケットに機密データが含まれている可能性がある場合は、レビューが完了するまですぐにパブリックアクセスをオフにしてください。パブリックアクセスをオフにすると、Security Hub CSPM はワークフローステータスを に変更します`RESOLVED`。その後、バケットのメール通知は停止します。
1. バケットをパブリックとして (たとえば、 を使用して AWS CloudTrail) 設定したユーザーを検索し、レビューを開始します。レビューの結果、バケットへのパブリックアクセスが削除されるか、パブリックアクセスが承認されます。パブリックアクセスが承認されたら、該当する検出結果のワークフローステータスを`SUPPRESSED`に設定します。