翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub CSPM での中央設定について
中央設定は、複数の AWS アカウント と にまたがる AWS Security Hub CSPM のセットアップと管理に役立つ Security Hub CSPM 機能です AWS リージョン。中央設定を使用するには、まず Security Hub CSPM と を統合する必要があります AWS Organizations。組織を作成し、組織に対して Security Hub CSPM の委任管理者アカウントを指定することで、サービスを統合できます。
Security Hub CSPM の委任管理者アカウントから、リージョン間で組織のアカウントと組織単位 (OUs) に対して Security Hub CSPM を有効にできます。また、リージョン間でアカウントと OUs の個々のセキュリティ標準とセキュリティコントロールを有効、設定、無効にすることもできます。これらの設定は、*ホームリージョン*と呼ばれる 1 つのプライマリリージョンから、わずか数ステップで設定できます。
中央設定を使用する場合、委任された管理者が設定するアカウントと OU を選択できます。委任された管理者がメンバーアカウントまたは OU をセルフマネージド型に指定した場合、メンバーは各リージョンで独自の設定を個別に構成できます。委任された管理者がメンバーアカウントまたは OU を一元管理型に指定した場合、委任された管理者のみが複数のリージョンにわたってメンバーアカウントまたは OU を設定できます。組織内のすべてのアカウントと OU を、一元管理型、すべてセルフマネージド型、または両方の組み合わせとして指定できます。
一元管理型アカウントを設定するには、委任管理者が Security Hub CSPM の設定ポリシーを使用します。設定ポリシーにより、委任管理者は Security Hub CSPM を有効にするか無効にするか、またどの標準とコントロールを有効または無効にするかを指定できます。またこのポリシーを使用して、特定のコントロールのパラメータをカスタマイズすることもできます。
設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。委任された管理者は、中央設定の使用を開始する前に、組織のホームリージョンとリンクされたリージョンを指定します。リンクされたリージョンの指定はオプションです。委任された管理者は、組織全体に単一の設定ポリシーを作成することも、複数の設定ポリシーを作成してさまざまなアカウントや OU の変数設定を行うこともできます。
**ヒント**
中央設定を使用しない場合は、原則的に各アカウントとリージョンについて個別に Security Hub を設定する必要があります。これは*ローカル設定*と呼ばれます。ローカル設定の場合、委任管理者は、現在のリージョンの新しい組織アカウントで、Security Hub CSPM および限定された一連のセキュリティ標準を自動的に有効にできます。ローカル設定は、既存の組織アカウントや、現在のリージョン以外のリージョンには適用されません。また、ローカル設定では設定ポリシーの使用もサポートされていません。
このセクションでは、中央設定の概要について説明します。
## 中央設定を使用する利点
中央設定には、次のような利点があります。
**Security Hub CSPM サービスと機能の設定を簡素化する**
中央設定を使用する場合、Security Hub CSPM によって組織のセキュリティ上のベストプラクティスを設定するプロセスに誘導されます。また、作成された設定ポリシーは、指定したアカウントと OU に自動的にデプロイされます。新しいセキュリティコントロールを自動的に有効にするなど、Security Hub CSPM の既存の設定がある場合は、それらの設定を設定ポリシーの開始点として使用できます。さらに、Security Hub CSPM コンソールの **[設定]** ページには、設定ポリシーの概要と、各ポリシーを使用するアカウントおよび OU がリアルタイムで表示されます。
**複数のアカウントやリージョンにまたがる設定**
中央設定を使用すると、Security Hub CSPM を複数のアカウントとリージョンにまたがって設定を行うことができます。これにより、組織の各部署で一貫した設定と適切なセキュリティ対策が確保されます。
**さまざまなアカウントや OU で異なる設定に対応**
中央設定により、組織のアカウントと OU をさまざまな方法で設定できます。例えば、テストアカウントと本稼働アカウントでは異なる設定が必要になる場合があります。組織に追加する際に新しいアカウントを対象とする設定ポリシーを作成することもできます。
**設定のずれを防ぐ**
設定のずれは、サービスや機能に対してユーザーが行った変更が、委任された管理者が行った選択と競合する場合に発生します。中央設定によりこのずれを防止します。アカウントまたは OU を一元管理型として指定する場合に設定できるのは、組織の委任管理者のみです。特定のアカウントや OU で独自の設定を行う場合は、セルフマネージド型に指定できます。
## 中央設定をいつ使用するのか?
中央設定は、複数の Security Hub CSPM アカウントを含む AWS 環境に最も有益です。複数のアカウントに対して Security Hub CSPM を一元管理できるように設計されています。
中央設定を使用して、Security Hub CSPM サービス、セキュリティ標準、およびセキュリティコントロールを設定できます。また、この設定を使用して特定のコントロールのパラメータをカスタマイズすることもできます。セキュリティ標準の詳細については、「[Security Hub CSPM のセキュリティ標準を理解する](standards-view-manage.md)」を参照してください。セキュリティコントロールの詳細については、「[Security Hub CSPM のセキュリティコントロールを理解する](controls-view-manage.md)」を参照してください。
## 中央設定に関する用語と概念
以下の主要な用語と概念を理解しておくと、Security Hub CSPM の中央設定を使用する際に役立ちます。
**中央設定**
組織に対してSecurity Hub CSPM の委任管理者アカウントが、複数のアカウントとリージョンにわたって Security Hub CSPM サービス、セキュリティ標準、およびセキュリティコントロールを設定する際に役立つ、Security Hub CSPM の機能。これらの設定を行うには、委任管理者が組織内の一元管理型アカウントに対して Security Hub CSPM 設定ポリシーを作成し、管理します。セルフマネージド型アカウントは、リージョンごとに独自の設定を個別に行うことができます。中央設定を使用するには、Security Hub CSPM と を統合する必要があります AWS Organizations。
**ホームリージョン**
設定ポリシーを作成および管理することで、委任管理者が Security Hub CSPM を一元的に設定 AWS リージョン する 。設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。
ホームリージョンは、リンクされたリージョンから検出結果、インサイト、その他のデータを受け取る Security Hub CSPM 集約リージョンとしても機能します。
2019 年 3 月 20 日以降に AWS 導入されたリージョンは、オプトインリージョンと呼ばれます。オプトインリージョンをホームリージョンにすることはできませんが、リンクされたリージョンにすることはできます。オプトインリージョンのリストについては、「*AWS アカウント管理リファレンスガイド*」の「[Considerations before enabling and disabling Regions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)」を参照してください。
**リンクされたリージョン**
ホームリージョンから設定 AWS リージョン 可能な 。設定ポリシーは、ホームリージョンの委任管理者によって作成されます。ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。リンクされたリージョンの指定はオプションです。
また、リンクされたリージョンによって、検出結果、インサイト、その他のデータがホームリージョンに送信されます。
2019 年 3 月 20 日以降に AWS 導入されたリージョンは、オプトインリージョンと呼ばれます。設定ポリシーを適用する前に、そのようなリージョンをアカウントで有効にする必要があります。Organizations 管理アカウントでは、メンバーアカウントのオプトインリージョンを有効にできます。詳細については、「 [アカウント管理リファレンスガイド」の AWS リージョン 「アカウントで使用できる を指定する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)」を参照してください。 *AWS *
**ターゲット**
AWS アカウント、組織単位 (OU)、または組織ルート。
**Security Hub CSPM の設定ポリシー**
委任管理者が一元管理型ターゲットに設定できる Security Hub CSPM 設定のコレクション。これには、以下が含まれます。
+ Security Hub CSPM を有効または無効にするかどうか。
+ 1 つ以上の[セキュリティ標準](standards-reference.md)を有効にするかどうか。
+ 有効になっている標準でどの[セキュリティコントロール](securityhub-controls-reference.md)を有効にするか。委任管理者は、有効にする必要のある特定のコントロールのリストを指定することでこれを実行できます。Security Hub CSPM によって、リリース時の新しいコントロールを含め、他のすべてのコントロールが無効になります。または、委任管理者が無効にする必要のある特定のコントロールのリストを指定し、Security Hub CSPM でリリース時の新しいコントロールを含め、他のすべてのコントロールを有効にすることもできます。
+ オプションで、有効な複数の標準で有効になっているコントロールを選択して[パラメータをカスタマイズ](custom-control-parameters.md)できます。
設定ポリシーは、少なくとも 1 つのアカウント、組織単位 (OU)、またはルートに関連付けられると、ホームリージョンとリンクされたすべてのリージョンで有効になります。
Security Hub CSPM コンソールでは、委任管理者が Security Hub CSPM 推奨設定ポリシーを選択するか、カスタム設定ポリシーを作成できます。Security Hub CSPM API と を使用すると AWS CLI、委任管理者はカスタム設定ポリシーのみを作成できます。委任された管理者は、最大 20 のカスタム設定ポリシーを作成できます。
推奨される設定ポリシーでは、Security Hub CSPM、 AWS の基本的なセキュリティのベストプラクティス (FSBP) 標準、すべての既存および新規の FSBP コントロールが有効になっています。パラメータを受け入れるコントロールは、デフォルト値を使用します。推奨される設定ポリシーは、組織全体に適用されます。
組織に異なる設定を適用したり、異なるアカウントや OU に異なる設定ポリシーを適用したりするには、カスタム設定ポリシーを作成します。
**ローカル設定**
Security Hub CSPM と を統合した後の、組織のデフォルトの設定タイプ AWS Organizations。ローカル設定では、委任管理者が、現在のリージョンの*新しい*組織アカウントで Security Hub CSPM と[デフォルトのセキュリティ標準](securityhub-auto-enabled-standards.md)を自動的に有効にするよう選択できます。委任された管理者がデフォルトの標準を自動的に有効にすると、これらの標準に含まれるすべてのコントロールも、新しい組織アカウントのデフォルトパラメータを使用して自動的に有効になります。これらの設定は既存のアカウントには適用されないため、アカウントを組織に追加した後に設定のずれが生じる可能性があります。デフォルトの標準に含まれる特定のコントロールの無効化、および追加の標準とコントロールの設定は、アカウントやリージョンごとに個別に行う必要があります。
ローカル設定では、設定ポリシーの使用がサポートされていません。設定ポリシーを使用するには、中央設定に切り替える必要があります。
**手動アカウント管理**
Security Hub CSPM を と統合しない場合、 AWS Organizations またはスタンドアロンアカウントがある場合は、各リージョンで各アカウントの設定を個別に指定する必要があります。手動によるアカウント管理では、設定ポリシーの使用がサポートされていません。
**中央設定 API**
一元管理型アカウントの設定ポリシーを管理するために Security Hub CSPM の委任管理者のみがホームリージョンで使用する Security Hub CSPM オペレーション。オペレーションは次のとおりです。
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`
**アカウント固有の API**
Security Hub CSPM 、標準、コントロールをアカウントごとに有効または無効にできる、Security Hub CSPM のオペレーション。これらのオペレーションは、個々のリージョンで使用されます。
セルフマネージド型アカウントは、アカウント固有のオペレーションを使用して独自の設定を行うことができます。一元管理型アカウントは、ホームリージョンとリンクされたリージョンでは以下のアカウント固有のオペレーションを使用することができません。これらのリージョンで中央設定オペレーションと設定ポリシーによって一元管理型アカウントを設定できるのは、委任された管理者のみです。
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
アカウントのステータスを確認するために、一元管理型アカウントの所有者が Security Hub CSPM API の `Get` または `Describe` オペレーションを使用することは*可能です*。
中央設定の代わりにローカル設定または手動アカウント管理を使用する場合は、これらのアカウント固有のオペレーションを使用できます。
セルフマネージドアカウントは、 `*Invitations` および `*Members` オペレーションを使用することもできます。ただし、セルフマネージド型アカウントではこれらのオペレーションを使用しないことをお勧めします。メンバーアカウントに、委任管理者とは異なる組織に属する独自のメンバーがある場合、ポリシーの関連付けが失敗する可能性があります。
**組織単位 (OU)**
AWS Organizations および Security Hub CSPM では、 グループのコンテナ AWS アカウント。また、組織単位 (OU) は他の OU に含めることもでき、上下反転したツリーのような階層を作成できます。最上部には親 OU があり、下に向かって OU の枝が広がり、先端にはツリーの葉であるアカウントがあります。OU は、厳密に親を 1 つ持つことができ、各組織アカウントを厳密に 1 つの OU のメンバーにすることができます。
OUs は AWS Organizations または で管理できます AWS Control Tower。詳細については、「*AWS Organizations ユーザーガイド*」の「[Managing organizational units](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html)」または「*AWS Control Tower ユーザーガイド*」の「[Govern organizations and accounts with AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html)」を参照してください。
委任された管理者は、設定ポリシーを特定のアカウントや OU に関連付けたり、組織内のすべてのアカウントや OU を対象とするルートに関連付けたりできます。
**一元管理型**
委任管理者のみが設定ポリシーを使用して複数のリージョンにわたり設定できるターゲット。
委任管理者アカウントで、ターゲットが一元管理型かどうかを指定します。委任された管理者は、ターゲットのステータスを一元管理型からセルフマネージド型に、またはその逆に変更することもできます。
**セルフマネージド型**
独自の Security Hub CSPM 設定を管理するターゲット。セルフマネージド型ターゲットは、アカウント固有のオペレーションを使用して、各リージョンで個別に Security Hub CSPM を設定します。これとは対照的に、一元管理型ターゲットは、設定ポリシーによって複数のリージョンにわたり委任された管理者のみが設定できます。
委任管理者アカウントで、ターゲットがセルフマネージド型かどうかを指定します。委任管理者は、ターゲットにセルフマネージド型の動作を適用できます。また、アカウントや OU は親からセルフマネージド型の動作を継承することもできます。
委任管理者アカウントは、それ自体がセルフマネージド型アカウントである可能性があります。委任管理者アカウントは、ターゲットのステータスをセルフマネージド型から一元管理型、または逆に変更できます。
**設定ポリシーの関連付け**
設定ポリシーとアカウント、組織単位 (OU)、またはルートとの間のリンク。ポリシーが関連付けられている場合、アカウント、OU、またはルートでは設定ポリシーで定義された設定を使用します。関連付けは次のいずれかの場合に発生します。
+ 委任された管理者が設定ポリシーをアカウント、OU、またはルートに直接適用する場合
+ アカウントまたは OU が親 OU またはルートから設定ポリシーを継承する場合
関連付けは、別の設定が適用または継承されるまで発生します。
**適用された設定ポリシー**
委任された管理者が設定ポリシーをターゲットアカウント、OU、またはルートに直接適用する、設定ポリシーの関連付けタイプ。ターゲットは設定ポリシーで定義されている方法で設定され、委任された管理者のみが設定を変更できます。ルートに適用した場合、設定ポリシーは、アプリケーションまたは最も近い親からの継承によって異なる設定を使用していない、組織内のすべてのアカウントと OU に影響します。
委任された管理者は、特定のアカウント、OU、またはルートにセルフマネージド型の設定を適用することもできます。
**継承された設定ポリシー**
アカウントまたは OU が最も近い親 OU またはルートの設定を採用する、設定ポリシーの関連付けタイプ。設定ポリシーがアカウントや OU に直接適用されない場合、最も近い親 OU の設定が継承されます。ポリシーのすべての要素は継承されます。つまり、アカウントや OU はポリシーの一部だけを選択的に継承することはできません。最も近い親がセルフマネージド型の場合、子アカウントまたは OU は親のセルフマネージド型の動作を継承します。
継承によって適用された設定を上書きすることはできません。つまり、設定ポリシーまたはセルフマネージド型の設定がアカウントまたは OU に直接適用された場合、その設定が使用され、親の設定は継承されません。
**ルート**
AWS Organizations および Security Hub CSPM では、組織内の最上位の親ノード。委任された管理者が設定ポリシーをルートに適用すると、そのポリシーは組織内のすべてのアカウントと OU に関連付けられます。ただし、アプリケーションまたは継承によって別のポリシーが使用されている場合や、セルフマネージド型として指定されている場合は除きます。管理者がルートをセルフマネージド型として指定した場合、アプリケーションまたは継承で設定ポリシーを使用する場合を除き、組織内のすべてのアカウントと OU はセルフマネージド型になります。ルートがセルフマネージド型で、現在設定ポリシーが存在しない場合、組織内のすべての新規アカウントで現在の設定が保持されます。
組織に追加した新しいアカウントは、特定の OU に割り当てられるまではルートに属します。新しいアカウントが OU に割り当てられない場合、委任された管理者がセルフマネージド型アカウントとして指定しない限り、そのアカウントはルート設定を継承します。