翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS セキュリティサービスを設定する
<a name="configure-aws-security-services"></a>

AWS は、 AWS 環境の保護に役立つように設計されたさまざまなセキュリティサービスを提供します。脆弱性管理プログラムでは、各アカウント AWS のサービス で以下を有効にすることをお勧めします。
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) は、環境内のアクティブな脅威を検出するのに役立ちます。GuardDuty の検出結果は、環境で悪用された未知の脆弱性を特定するのに役立つ可能性があります。また、パッチが適用されていない脆弱性の影響を理解するのに役立ちます。
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) は、リソースのパフォーマンスと AWS のサービス および アカウントの可用性を継続的に可視化します。
+ [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) は、 AWS 環境内のリソースベースのポリシーを分析して、外部エンティティと共有されているリソースを特定します。これにより、リソースやデータへの意図しないアクセスに関連する脆弱性を特定できます。アカウントの外部で共有されているリソースのインスタンスごとに、IAM Access Analyzer は結果を生成します。
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) は、ソフトウェアの脆弱性と意図しないネットワークへの露出について AWS ワークロードを継続的にスキャンする脆弱性管理サービスです。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) は、セキュリティ業界標準に照らして AWS 環境をチェックし、クラウド設定リスクを特定するのに役立ちます。また、他の AWS セキュリティサービスやサードパーティーのセキュリティツールから結果を集約することで AWS 、セキュリティ状態を包括的に把握できます。

このセクションでは、スケーラブルな脆弱性管理プログラムを確立するために Amazon Inspector と Security Hub CSPM を有効にして設定する方法について説明します。

# 脆弱性管理プログラムでの Amazon Inspector の使用
<a name="amazon-inspector"></a>

[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Elastic Container Registry (Amazon ECR) コンテナイメージ、 AWS Lambda 機能を継続的にスキャンし、ソフトウェアの脆弱性や意図しないネットワークの露出を検出する脆弱性管理サービスです。Amazon Inspector を使用すると、 AWS 環境全体のソフトウェアの脆弱性を可視化し、解決に優先順位を付けることができます。

Amazon Inspector は、リソースのライフサイクルを通じて環境を継続的に評価します。新しい脆弱性を引き起こす可能性のある変更に応じて、リソースを自動的に再スキャンします。例えば、EC2 インスタンスに新しいパッケージをインストールしたとき、パッチを適用したとき、またはリソースに影響を与える新しい共通脆弱性識別子 (CVE) が公開されたときに再スキャンします。Amazon Inspector により、脆弱性またはオープンネットワークパスが特定されると、調査可能な検出結果が生成されます。この検出結果は、以下を含む脆弱性に関する包括的な情報を提供します。
+ [Amazon Inspector リスクスコア](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [共通脆弱性評価システム (CVSS) のスコア](https://www.first.org/cvss/calculator/3.1)
+ 影響を受けるリソース
+ Amazon、[https://www.recordedfuture.com/](https://www.recordedfuture.com/)、および [https://www.cisa.gov/](https://www.cisa.gov/) からの CVE に関する脆弱性インテリジェンスデータ
+ 修復のレコメンデーション

Amazon Inspector のセットアップ手順については、「[Getting started with Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html)」を参照してください。このチュートリアルの「*Activate Amazon Inspector*」ステップでは、スタンドアロンアカウント環境とマルチアカウント環境の 2 つの設定オプションが用意されています。組織のメンバー AWS アカウント である複数の をモニタリングする場合は、マルチアカウント環境オプションを使用することをお勧めします AWS Organizations。

マルチアカウント環境に Amazon Inspector を設定するときは、組織内のアカウントを Amazon Inspector の委任管理者に指定します。委任管理者は、組織のメンバーの検出結果と一部の設定を管理できます。例えば、委任管理者は、すべてのメンバーアカウントの集計された検出結果の詳細を表示したり、メンバーアカウントのスキャンを有効または無効にしたり、スキャンされたリソースを確認したりできます。SRA では、Security Tooling AWS アカウントを作成し、Amazon Inspector の委任管理者として使用することをお勧めします。 [https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)

# 脆弱性管理プログラム AWS Security Hub CSPM での の使用
<a name="aws-security-hub"></a>

でスケーラブルな脆弱性管理プログラムを構築する AWS には、クラウド設定リスクに加えて、従来のソフトウェアとネットワークの脆弱性を管理する必要があります。 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) は、セキュリティ業界標準に照らして AWS 環境をチェックし、クラウド設定リスクを特定するのに役立ちます。Security Hub CSPM は、他のセキュリティサービスやサードパーティーのセキュリティツールからセキュリティ検出結果を集約 AWS することで、 AWS のセキュリティ状態を包括的に把握することもできます。

以下のセクションでは、脆弱性管理プログラムをサポートするために Security Hub CSPM を設定するためのベストプラクティスと推奨事項を示します。
+  [Security Hub CSPM のセットアップ](#setting-up-security-hub)
+  [Security Hub CSPM 標準を有効にする](#enabling-security-hub-standards)
+  [Security Hub CSPM の検出結果の管理](#managing-security-hub-findings)
+  [他のセキュリティサービスやツールからの検出結果の集約](#aggregating-findings-from-other-security-services-and-tools)

## Security Hub CSPM のセットアップ
<a name="setting-up-security-hub"></a>

セットアップの手順については、「[AWS Security Hub CSPMのセットアップ](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)」を参照してください。Security Hub CSPM を使用するには、 を有効にする必要があります[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。詳細については、Security Hub CSPM ドキュメントの[「有効化と設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)」を参照してください。

と統合されている場合は AWS Organizations、組織管理アカウントから、Security Hub CSPM 委任管理者となるアカウントを指定します。手順については、[「Security Hub CSPM 委任管理者の指定](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview)」を参照してください。SRA では、Security Tooling AWS アカウントを作成し、Security Hub CSPM 委任管理者として使用することをお勧めします。 [https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)

委任管理者は、組織内のすべてのメンバーアカウントに対して Security Hub CSPM を設定し、それらのアカウントに関連付けられた検出結果を表示するために自動的にアクセスできます。すべての で AWS Config Security Hub CSPM を有効にすることをお勧めします AWS リージョン AWS アカウント。新しい組織アカウントを Security Hub CSPM メンバーアカウントとして自動的に処理するように Security Hub CSPM を設定できます。手順については、「[組織に属するメンバーアカウントの管理](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html)」を参照してください。

## Security Hub CSPM 標準を有効にする
<a name="enabling-security-hub-standards"></a>

Security Hub CSPM は、*セキュリティコントロール*に対して自動的かつ継続的なセキュリティチェックを実行して検出結果を生成します。コントロールは 1 つ以上の*セキュリティ標準*に関連付けられています。コントロールは、標準の要件が満たされているかどうかの判断に役立ちます。

Security Hub CSPM で標準を有効にすると、Security Hub CSPM は標準に適用されるコントロールを自動的に有効にします。Security Hub CSPM は AWS Config [ルール](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)を使用して、コントロールのセキュリティチェックのほとんどを実行します。Security Hub CSPM 標準はいつでも有効または無効にできます。詳細については、[「 のセキュリティコントロールと標準 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html)」を参照してください。標準の完全なリストについては、[「Security Hub CSPM 標準リファレンス](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html)」を参照してください。

推奨されるセキュリティ標準が組織にまだない場合は、[AWS Foundational Security Best Practices (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)を使用することをお勧めします。この標準は、 AWS アカウント および リソースがセキュリティのベストプラクティスから逸脱するタイミングを検出するように設計されています。 は、この標準を AWS キュレートし、新機能とサービスをカバーするように定期的に更新します。FSBP の検出結果をトリアージしたら、他の標準を有効にすることを検討してください。

## Security Hub CSPM の検出結果の管理
<a name="managing-security-hub-findings"></a>

Security Hub CSPM には、組織全体からの大量の検出結果に対処し、 AWS 環境のセキュリティ状態を理解するのに役立ついくつかの機能が用意されています。検出結果の管理に役立つように、次の 2 つの Security Hub CSPM 機能を有効にすることをお勧めします。
+ [クロスリージョン集約](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)を使用して、複数の から単一の集約リージョンに検出結果、検出結果の更新、インサイト、コントロールコンプライアンスステータス、セキュリティスコア AWS リージョン を集約します。
+ [統合されたコントロールの検出結果](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)を使用して、重複した検出結果を削除することで検出結果のノイズを減らします。アカウントで統合コントロールの検出結果を有効にすると、コントロールが複数の有効な標準に適用されていても、Security Hub CSPM はコントロールのセキュリティチェックごとに 1 つの新しい検出結果または検出結果の更新を生成します。

## 他のセキュリティサービスやツールからの検出結果の集約
<a name="aggregating-findings-from-other-security-services-and-tools"></a>

セキュリティ検出結果の生成に加えて、Security Hub CSPM を使用して、複数の AWS のサービス サポートされているサードパーティーのセキュリティソリューションから検出結果を集約できます。このセクションでは、Security Hub CSPM へのセキュリティ検出結果の送信に焦点を当てます。次のセクション では[セキュリティ検出結果を割り当てる準備をする](prepare-finding-assignments.md)、Security Hub CSPM から検出結果を受け取ることができる製品と Security Hub CSPM を統合する方法について説明します。

Security Hub CSPM と統合できる AWS のサービスサードパーティー製品やオープンソースソリューションが多数あります。使い始めたばかりの場合は、以下を実行することをお勧めします。

1. **統合を有効にする AWS のサービス** – Security Hub CSPM に結果を送信するほとんどの AWS のサービス 統合は、Security Hub CSPM と統合サービスの両方を有効にすると自動的にアクティブ化されます。脆弱性管理プログラムでは、各アカウントで Amazon Inspector、Amazon GuardDuty AWS Health、IAM Access Analyzer を有効にすることをお勧めします。これらのサービスは、検出結果を Security Hub CSPM に自動的に送信します。サポートされている AWS のサービス 統合の完全なリストについては、[AWS のサービス Security Hub CSPM に結果を送信する ](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html)を参照してください。
**注記**  
AWS Health は、次のいずれかの条件が満たされた場合、結果を Security Hub CSPM に送信します。  
検出結果が AWS セキュリティサービスに関連付けられている
検出結果の **typecode** に `security`、`abuse`、`certificate` という言葉が含まれている
検出結果 AWS Health サービスは `risk`または です。 `abuse`

1. **サードパーティー統合のセットアップ** – 現在サポートされている統合のリストについては、「[Available third-party partner product integrations](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)」を参照してください。Security Hub CSPM に結果を送受信できる追加のツールを選択します。これらのサードパーティーツールの一部は、既に導入済みである可能性があります。製品の手順に従って、Security Hub CSPM との統合を設定します。