【2026年7月版】 増え続ける AWS Security Hub CSPM のセキュリティ基準を、目的別に選べるよう整理してみた
こんにちは!クラウド事業本部のおつまみです。
AWS Security Hub CSPM のセキュリティ基準、ここ数年でどんどん増えて「結局どれを有効化すればいいの?」と迷いませんか。
2026/7/16時点では、選べる基準は13個まで増えていました。CIS だけでも複数バージョンが並び、AI Security Best Practices や AWS リソースタグ付け標準、さらには Azure 向けの基準まで登場しています。

本記事では、現時点で選べるセキュリティ基準を整理し、目的別にどれを有効化すべきかをフローチャートで判断できるようにまとめます。
そもそもセキュリティ基準(Standard)とは
AWS Security Hub CSPM における「セキュリティ基準(Security Standard)」とは、規制フレームワーク・業界のベストプラクティス・社内ポリシーなどをもとにした要件のまとまりです。Security Hub CSPM はこの要件を**コントロール(個別のチェック項目)**にマッピングし、リソースが要件を満たしているかを自動でチェックします。
つまり「どの基準を有効化するか」を選ぶ = 「どのコントロール群でチェックするか」を選ぶ、ということです。
2026/7/16時点で選べるセキュリティ基準一覧(13個)
現在 Security Hub CSPM のコンソールで有効化できる基準は以下の13個です。
| # | 基準 | プロバイダー | 主な用途 |
|---|---|---|---|
| 1 | AWS 基礎セキュリティのベストプラクティス(FSBP)v1.0.0 | AWS | すべての利用者向けの基本ベースライン |
| 2 | AI Security Best Practices v1.0.0 | AWS | AI ワークロード向けのセキュリティチェック |
| 3 | AWS リソースタグ付け標準 v1.0.0 | AWS | リソースへのタグ付与状況の確認 |
| 4 | CIS AWS Foundations Benchmark v1.2.0 | AWS | 業界標準の設定ガイドライン(旧バージョン) |
| 5 | CIS AWS Foundations Benchmark v1.4.0 | AWS | 同上 |
| 6 | CIS AWS Foundations Benchmark v3.0.0 | AWS | 同上 |
| 7 | CIS AWS Foundations Benchmark v5.0.0 | AWS | 同上(最新) |
| 8 | NIST SP 800-53 Revision 5 | AWS | 米国連邦政府・関連組織向け |
| 9 | NIST SP 800-171 Revision 2 | AWS | CUI(管理された非機密情報)を扱う組織向け |
| 10 | PCI DSS v3.2.1 | AWS | クレジットカード情報を扱う組織向け(旧) |
| 11 | PCI DSS v4.0.1 | AWS | 同上(最新) |
| 12 | Azure Foundational Security Best Practices v1.0.0 | Azure | Azure リソース向けのベストプラクティス |
| 13 | CIS Azure Foundations Benchmark v4.0.0 | Azure | Azure 向けの CIS 基準 |
ポイント: 数年前は FSBP・CIS・PCI DSS の3つが主役でしたが、AI Security Best Practices やタグ付け標準、さらに Azure 向け基準まで加わり、選択肢が一気に増えています。
13個もありますが、よく見ると CIS が4バージョン・PCI DSS が2バージョン・NIST が2種類・Azure 系が2つという重複的な構成です。実際に選ぶ軸はもっとシンプルになります。
各基準の特徴と「選ぶべき人」
AWS 基礎セキュリティのベストプラクティス(FSBP)
AWS のセキュリティ専門家が策定した、業種・規模を問わず推奨される基本のベストプラクティスです。
AWS で最も人気の高い基礎的なサービスを網羅し、設定がベストプラクティスから逸脱したときに検出してくれます。
- 選ぶべき人: 全員。まず最初に有効化すべきベースライン。
CIS AWS Foundations Benchmark(v1.2.0 / v1.4.0 / v3.0.0 / v5.0.0)
非営利団体 CIS(Center for Internet Security)が公開する、業界標準の設定ガイドラインです。
IAM・ストレージ・ロギング・モニタリング・ネットワーキングといった基礎的で検証可能な項目に絞られています。
ここで迷いやすいのが4つのバージョンが並んでいる点です。古い v1.2.0 は2018年ベースで内容が古く、新しい v5.0.0 は RDS・S3・EFS など現代的なコントロールが追加されています。新規で有効化するなら最新の v5.0.0 を選べば問題ありません。
CIS のバージョン移行については、実際に v1.2.0 から v5.0.0 へ更新してみた検証記事が参考になります。
この記事のポイントは、基準を切り替えても既存リソースには影響しない(チェックのオン/オフが切り替わるだけ)こと、そして新バージョンを有効化してから旧バージョンを無効化するとチェックの空白期間が生まれないことです。
- 選ぶべき人: 業界標準(CIS)での準拠を示したい組織。新規なら v5.0.0 一択。
AI Security Best Practices v1.0.0
AWS のセキュリティ専門家が策定した、AI ワークロード向けの比較的新しい基準です。デプロイされた AI リソースがセキュリティのベストプラクティスから逸脱していないかを自動チェックし、人気の高い AI サービスのセキュリティ体制改善に役立ちます。
- 選ぶべき人: Bedrock や SageMaker など AI/ML リソースを本格的に運用している組織。
AWS リソースタグ付け標準 v1.0.0
Security Hub CSPM が独自に提供する基準で、リソースにタグが付いているかを確認します。
- 選ぶべき人: タグ運用ルールを組織的に整備・徹底したい場合。
PCI DSS(v3.2.1 / v4.0.1)
PCI SSC が定義する、クレジット/デビットカード情報を安全に扱うためのフレームワークに準拠しています。
CIS 同様に2バージョンありますが、新規なら最新の v4.0.1 を選びます。
- 選ぶべき人: カード会員データを保存・処理・伝送する組織(必須要件)。
NIST SP 800-53 Revision 5 / NIST SP 800-171 Revision 2
いずれも NIST(米国国立標準技術研究所)の要件に沿った基準です。
-
800-53 Rev.5: 情報システムおよび組織のセキュリティ・プライバシーコントロールのカタログ。米国連邦政府や関連組織向け。
-
800-171 Rev.2: CUI(管理された非機密情報)の機密性保護。連邦政府外の組織向け。
-
選ぶべき人: 米国政府関連の要件に対応する必要がある組織、または NIST フレームワークをガイドとしたい組織。
Azure Foundational Security Best Practices / CIS Azure Foundations Benchmark
Security Hub CSPM はマルチクラウド対応が進み、Azure リソース向けの基準も選べるようになりました。
Azure のベストプラクティスや CIS Azure Benchmark に沿ったチェックが可能です。
- 選ぶべき人: AWS だけでなく Azure も併用しており、Security Hub CSPM で横断的に可視化したい組織。
選択フローチャート
「結局どれを有効化すればいいのか」を判断するためのフローです。

基本方針はシンプルです。まず FSBP を有効化し、そこにコンプライアンス要件(CIS / PCI DSS / NIST)や運用ニーズ(AI / Azure / Tagging)を積み上げる、という考え方で選べば13個あっても迷いません。CIS や PCI DSS のように複数バージョンがある基準は、新規なら最新版を選べば OK です。
複数基準を有効化するときの注意点:統合されたコントロール結果
複数の基準を有効化すると、1つのコントロールが複数の基準にまたがることがあります。この場合に効いてくるのが「統合されたコントロール結果(Consolidated control findings)」の設定です。
- 有効の場合: 複数基準にまたがるコントロールでも、検出結果は1つにまとまる。
- 無効の場合: 有効化した基準ごとに別々の検出結果が生成される(例: 2基準に共通するコントロールなら2件)。
13個のうち複数を有効化するなら、ノイズを減らすために統合されたコントロール結果を有効化しておくのがおすすめです。
なお、2023年2月23日以降に Security Hub CSPM を有効化したアカウントでは、統合されたコントロール結果はデフォルトで有効になっています。それ以前から利用しているアカウントでは無効のままの可能性があるため、以下の手順で設定を確認・変更できます。
設定方法(コンソール)
統合されたコントロール結果の有効化・無効化は、管理者アカウントまたはスタンドアロンアカウントでサインインした状態で行います。
- Security Hub CSPM コンソールを開く
- ナビゲーションペインの Settings(設定) から General(一般) を選択
- Controls(コントロール) セクションで Edit(編集) を選択
- Consolidated control findings(統合されたコントロール結果) のスイッチで有効化・無効化を切り替える
- Save(保存) を選択


設定方法(AWS CLI)
CLI から設定する場合は update-security-hub-configuration コマンドを使い、--control-finding-generator に値を指定します。有効化は SECURITY_CONTROL、無効化は STANDARD_CONTROL です。
# 有効化
aws securityhub update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
# 無効化
aws securityhub update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
設定変更時の注意点
- 反映に最大24時間かかる: 有効化すると、標準に依存しない新しい検出結果が生成され、従来の基準ごとの検出結果はアーカイブされます。この処理に最大24時間かかり、その間は新旧の検出結果が混在して見えることがあります(無効化する場合も同様)。
- 検出結果のフィールドが変わる: 有効化すると検出結果が標準非依存の形式になり、一部のフィールドや値が変化します。既存の自動化ワークフローや連携している他社製品に影響する場合があるため、事前に確認しておきましょう。
- 組織 (Organizations) 構成では管理者アカウントの設定が優先: メンバーアカウントの統合されたコントロール結果は、管理者アカウントで有効な場合のみ有効になります。また、中央設定 (central configuration) を使っている場合、この設定は設定ポリシーでは管理できません。
有効化した後の運用について
基準を選んで有効化すると、既存環境では最初から大量の検出が出てセキュリティスコアが低くなりがちです。ここで挫折しないために、コントロールをカテゴライズして対応方針を決める運用のコツが役立ちます。
また、導入・運用全体の検討ポイントは以下の資料が参考になります。
まとめ
Security Hub CSPM のセキュリティ基準は13個まで増えましたが、以下のステップで考えると迷いません。
- まず FSBP を有効化(全員必須のベースライン)
- コンプライアンス要件で追加(CIS / PCI DSS / NIST)
- 運用ニーズで追加(AI Security / Azure / リソースタグ付け)
- 複数バージョンがある基準は新規なら最新版(CIS は v5.0.0、PCI DSS は v4.0.1)
- 複数有効化するなら統合されたコントロール結果をオンに
- 有効化後はコントロールのカテゴライズで運用
基準が増えても「ベースライン + 要件の積み上げ」という考え方は変わりません。自社に必要な基準だけを選んで、無理なく運用を始めていきましょう。
最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。
以上、おつまみ(@AWS11077)でした!








