# AWS Security Hub で事前定義された対応と修復アクションにより、セキュリティの脅威に自動的に対処する
この実装ガイドでは、AWS での自動化されたセキュリティ対応ソリューションの概要、そのリファレンスアーキテクチャとコンポーネント、デプロイを計画する際の考慮事項、AWS での自動化されたセキュリティ対応ソリューションを Amazon Web Services (AWS) クラウドにデプロイするための設定手順について説明します。
このナビゲーションテーブルを使用すると、次の質問に対する回答をすばやく見つけることができます。
| 質問内容 | 参照先 |
| --- | --- |
| このソリューションの実行に必要なコストが知りたい場合。 | [Cost](cost.md) |
| このソリューションのセキュリティ上の考慮事項を理解する。 | [セキュリティ](security.md) |
| このソリューションのクォータを計画する方法が知りたい場合。 | [クォータ](quotas.md) |
| どの AWS リージョンでこのソリューションをサポートしているか知りたい場合。 | [サポートしている AWS リージョン](plan-your-deployment.md#supported-aws-regions) |
| このソリューションに含まれている AWS CloudFormation テンプレートを表示またはダウンロードして、このソリューションのインフラストラクチャリソース ("スタック") を自動的にデプロイする。 | [AWS CloudFormation テンプレート](aws-cloudformation-template.md) |
| ソースコードにアクセスし、オプションで AWS Cloud Development Kit (AWS CDK) を使用してソリューションをデプロイする。 | [ GitHub リポジトリ](https://github.com/aws-solutions/automated-security-response-on-aws)。 |
セキュリティは進化し続けるため、データを保護するための積極的な対策が必要であり、セキュリティチームが対応するのが難しく、費用と時間がかかることがあります。AWS での自動化されたセキュリティ対応ソリューションは、業界のコンプライアンス標準とベストプラクティスに基づいて事前定義された対応と修復アクションを提供することにより、セキュリティ問題に迅速に対応するのに役立ちます。
AWS での自動化されたセキュリティ対応は、[AWS Security Hub](https://aws.amazon.com/security-hub/) と連携してセキュリティを強化し、ワークロードを Well-Architected セキュリティの柱のベストプラクティス ([SEC10](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-10.html)) に合わせて調整するのに役立つ AWS ソリューションです。このソリューションにより、AWS Security Hub のユーザーは一般的なセキュリティ上の検出結果を解決し、AWS でのセキュリティ体制を改善することが容易になります。
特定のプレイブックを選択して、Security Hub のプライマリアカウントにデプロイできます。各プレイブックには、単一の AWS アカウント内または複数の AWS アカウント間で修復ワークフローを開始するために必要なカスタムアクション、[Identity and Access Management](https://aws.amazon.com/iam/) (IAM) ロール、[Amazon EventBridge ルール](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)、[AWS Systems Manager](https://aws.amazon.com/systems-manager/) Automation ドキュメント、[AWS Lambda](https://aws.amazon.com/lambda/) 関数、[AWS Step Functions](https://aws.amazon.com/step-functions/) が含まれています。修復は AWS Security Hub の [アクション] メニューから実行します。承認されたユーザーは AWS Security Hub が管理するすべてのアカウントの検出結果を 1 回のアクションで修復できます。例えば、AWS リソースを保護するためのコンプライアンス基準である Center for Internet Security (CIS) AWS Foundations Benchmark の推奨事項を適用して、パスワードの有効期限を 90 日以内にしたり、AWS に保存されたイベントログの暗号化を強制したりすることができます。
**注記**
修復は、早急な対処が必要な緊急事態を対象としています。このソリューションが検出結果を修復するための変更を行うのは、AWS Security Hub マネジメントコンソールから開始した場合、または修復設定 DynamoDB テーブルを使用して自動修復を有効にしている場合のみです。これらの変更を元に戻すには、リソースを手動で元の状態に戻す必要があります。
CloudFormation スタックの一部としてデプロイした AWS リソースを修復する場合は、ドリフトが発生する可能性があることに注意してください。可能な場合は、スタックのリソースを定義するコードを変更し、スタックを更新して、スタックのリソースを修復してください。詳細については、「*AWS CloudFormation ユーザーガイド*」の「[ドリフトとは](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#what-is-drift)」を参照してください。
AWS での自動化されたセキュリティ対応には、
+ [「Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard)」、
+ [「CIS AWS Foundations Benchmark v1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)」、
+ [「CIS AWS Foundations Benchmark v3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard)」、
+ [「AWS Foundational Security Best Practices (FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)」、
+ [「Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)」、
+ 「[米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)」の一部として定義されているセキュリティ標準のプレイブックによる修復が含まれています。
このソリューションには、AWS Security Hub の[統合されたコントロールの検出結果機能](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)用のセキュリティコントロール (SC) プレイブックも含まれています。詳細については、「[プレイブック](playbooks.md)」セクションを参照してください。SC プレイブックを Security Hub の統合されたコントロールの検出結果とともに使用することをお勧めします。
この実装ガイドでは、AWS クラウドに AWS での自動化されたセキュリティ対応ソリューションをデプロイするためのアーキテクチャ上の考慮事項と設定手順について説明します。セキュリティと可用性に関する AWS のベストプラクティスを使用して、このソリューションを AWS にデプロイするために必要な AWS のコンピューティング、ネットワーク、ストレージ、その他さまざまなサービスを起動、設定、実行する [AWS CloudFormation](https://aws.amazon.com/cloudformation/) テンプレートへのリンクが含まれています。
このガイドは、AWS クラウドにおけるアーキテクチャの設計の実務経験がある IT インフラストラクチャアーキテクト、管理者、DevOps プロフェッショナルを対象としています。
# 機能とメリット
AWS での自動化されたセキュリティ対応では次の機能を提供しています。
**特定のコントロールの検出結果を自動的に修復する**
管理者アカウントにデプロイされた修復設定 DynamoDB テーブルを変更して、特定のコントロールの検出結果を自動的に修復するようにソリューションを設定します。
**複数のアカウントとリージョンの修復を 1 か所から管理する**
組織のアカウントとリージョンの集約先として設定している AWS Security Hub の管理者アカウントから、ソリューションがデプロイされている任意のアカウントとリージョンで検出結果の修復を開始します。
**修復アクションと結果の通知を受け取る**
ソリューションによってデプロイされた Amazon SNS トピックをサブスクライブすると、修正が開始されたときや、修復が成功したかどうかが通知されます。
**ウェブユーザーインターフェイスを使用して修復を開始、表示、管理する**
管理者スタックをデプロイするときにソリューションのウェブ UI を有効にするオプションが用意されています。これを使用すると、修復を実行したり、ソリューションによって実行された過去の修復をすべて表示したりするための包括的でユーザーフレンドリーなビューを表示できます。
**Jira や ServiceNow などのチケットシステムとの統合**
組織が修復 (インフラストラクチャコードの更新など) に対応できるように、このソリューションはチケットを外部のチケットシステムにプッシュできます。
**GovCloud および中国パーティションで AWSConfigRemediations を使用する**
このソリューションに含まれる修復には、AWS が所有する AWSConifgRemediation ドキュメントの再パッケージ化がありますが、商用パーティションでは利用できますが、GovCloud や中国では利用できません。このソリューションをデプロイして、これらのパーティションでこれらのドキュメントを利用してください。
**カスタム修復とプレイブック実装により、この AWS ソリューションを拡張する**
このソリューションは、拡張可能でカスタマイズ可能なように設計されています。代替の修復実装を指定するには、カスタマイズされた AWS Systems Manager オートメーションドキュメントと AWS IAM ロールをデプロイします。ソリューションに実装されていない新しいコントロールセット全体をサポートするには、カスタムプレイブックをデプロイしてください。
# ユースケース
**組織のアカウントとリージョン全体で基準への準拠を強制する**
プレイブックを基準 (AWS 基本セキュリティベストプラクティス、など) にデプロイして、提供されている修復を利用できるようにします。ソリューションがデプロイされているアカウントやリージョンのリソースの修復を自動または手動で開始して、コンプライアンス違反のリソースを修正します。
**組織のコンプライアンスニーズに合わせて、カスタム修復やプレイブックをデプロイする**
提供されているたオーケストレーターコンポーネントをフレームワークとして使用します。組織の特定のニーズに応じて、コンプライアンス違反のリソースに対処するためのカスタム修復を構築します。
# 概念と定義
このセクションでは、主要な概念について説明し、このソリューション固有の用語を定義します。
**修復、修復ランブック**
検出結果を解決するための一連の手順の実施。例えば、Security Control (SC) Lambda.1 「Lambda 関数ポリシーはパブリックアクセスを禁止する必要があります」というコントロールの修復では、関連する AWS Lambda 関数のポリシーが修正され、パブリックアクセスを許可するステートメントが削除されます。
**コントロールランブック**
オーケストレータが特定の統制に対して開始された修復を正しい修正ランブックにルーティングするために使用する一連の AWS Systems Manager (SSM) オートメーションドキュメントの 1 つ。例えば、SC の Lambda.1 と AWS の基本的なセキュリティのベストプラクティス (FSBP) の Lambda.1 の修復は、同じ修復ランブックを使用して実装されます。オーケストレータは、各コントロールのコントロールランブックを起動します。コントロールランブックには、それぞれ ASR-AFSBP\$1Lambda.1 と ASR-SC\$12.0.0\$1Lambda.1 という名前が付けられています。各コントロールのランブックは同じ修復ランブック (この場合は ASR-RemoveLambdaPublicAccess) を起動します。
**オーケストレーター**
ソリューションによってデプロイされた Step Functions は、AWS Security Hub から検出されたオブジェクトを入力として受け取り、ターゲットアカウントとリージョンで正しいコントロールランブックを起動します。また、オーケストレーターは、修復が開始されたときと修復が成功または失敗したときに、ソリューションの SNS トピックに通知します。
**規格**
コンプライアンスフレームワークの一部として組織によって定義されるコントロールのグループ。例えば、AWS Security Hub とこのソリューションでサポートされている基準の 1 つが AWS FSBP です。
**コントロール**
準拠するためにリソースに必要な、または持ってはいけないプロパティの説明。例えば、AWS FSBP Lambda.1というコントロールでは、AWS Lambda 関数はパブリックアクセスを禁止すべきであると記載されています。パブリックアクセスを許可する関数はこのコントロールに失敗します。
**統合されたコントロールの検出結果、セキュリティコントロール、セキュリティコントロールビュー**
AWS Security Hub の機能の 1 つで、有効にすると、特定の標準に対応する ID ではなく、統合されたコントロール ID で検出結果が表示されます。例えば、AWS FSBP S3.2、CIS v1.2.0 2.3、CIS v1.4.0 2.1.5.2、PCI-DSS v3.2.1 S3.1 のコントロールはすべて、統合 (SC) コントロール S3.2 「S3 バケットはパブリック読み取りアクセスを禁止する必要があります」にマッピングされます。この機能を有効にすると、SC ランブックが使用されます。
**[ソリューションのウェブ UI] 委任管理者**
ソリューションのウェブ UI のコンテキストにおいて、委任管理者とは、管理者によって招待され、修復を実行したり修復履歴を表示したりできるフルアクセスを持つユーザーです。このユーザーは、他のアカウントオペレーターユーザーを表示および管理することもできます。
**[ソリューションのウェブ UI] アカウントオペレーター**
ソリューションのウェブ UI のコンテキストにおいて、アカウントオペレーターとは、管理者または委任管理者によってソリューションのウェブ UI にアクセスするために招待されたユーザーです。このユーザーは招待に記載されている AWS アカウント ID のリストに関連付けられており、これらのアカウント内のリソースに関連する修復の実行および修復履歴の表示のみできます。
AWS 用語の全般リファレンスについては、「[AWS 用語集](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html)」を参照してください。