Security Hub の各セキュリティ基準を検出するために Config で最低限記録を有効化する必要のあるリソースタイプを教えてください

Security Hub の各セキュリティ基準を検出するために Config で最低限記録を有効化する必要のあるリソースタイプを教えてください

Clock Icon2023.06.15

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

Security Hub 利用の前提条件として、Config の記録を有効化する必要がある認識です。
一方で、費用削減のため最低限のリソースタイプのみ記録を有効化したいです。
Security Hub の各セキュリティ基準(FSBP,CIS など)の利用時に、最低限 Config にて記録を有効化する必要のあるリソースタイプを教えてください。

どう対応すればいいの?

以下の AWS 公式ドキュメントをご確認ください。
Security Hub 全体、及び各セキュリティ基準の検出に必要となるリソースタイプの一覧が記載されています。
今後の新たなコントロールの追加などにより、検出に必要となるリソースタイプが増減する可能性がありますので、記載内容の更新を随時ご確認ください。

コントロール検出結果の生成に必要な AWS Config リソース - AWS Security Hub

AWS Security Hub は、コントロールに対するセキュリティチェックを実行することによりコントロール検出結果を生成します。一部のコントロールは AWS Config ルールを使用し、関連する AWS Config リソースを持ちます。スケジュールタイプが変更トリガーであるコントロールについて、Security Hub が正確に検出結果をレポートするためには、AWS Config で、以下のリソースの記録を有効にする必要があります。次のセクションでは、標準全体で必要なリソースのリストと、必要なリソースを標準ごとに分類したリストを示します。

なお、一部のリソースのみを記録するように設定した場合、AWS Config コントロール [Config.1]失敗する点にはご注意ください。

AWS Config コントロール - AWS Security Hub

[Config.1]AWS Config を有効にする必要があります
(中略)
このコントロールは、現在のリージョンのアカウントで AWS Config が有効になっているかどうか、またすべてのリソースを記録しているかどうかをチェックします。AWS Config が有効になっていない場合や、すべてのリソースを記録していない場合、コントロールは失敗します。

参考資料

コントロール検出結果の生成に必要な AWS Config リソース - AWS Security Hub
AWS Config コントロール - AWS Security Hub
【Security Hub修復手順】[Config.1] AWS Config を有効にする必要があります | DevelopersIO

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.