セキュリティチェックとセキュリティスコアについて

有効にするコントロールごとに、 はセキュリティチェック AWS Security Hub を実行します。セキュリティチェックでは、特定の AWS リソースがコントロールに含まれるルールに準拠しているかどうかを示す検出結果が生成されます。

一部のチェックは定期的なスケジュールで実行されます。その他のチェックは、リソースの状態が変更された場合にのみ実行されます。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

多くのセキュリティチェックでは、 AWS Config マネージドルールまたはカスタムルールを使用してコンプライアンス要件を確立します。これらのチェックを実行するには、必要なリソースのリソース記録を設定 AWS Config して有効にする必要があります。設定の詳細については AWS Config、「」を参照してくださいSecurity Hub AWS Config の有効化と設定。標準ごとに記録する必要がある AWS Config リソースのリストについては、「」を参照してくださいSecurity Hub コントロールの検出結果に必要な AWS Config リソース。他のコントロールは、Security Hub によって管理され、前提条件を必要としないカスタム Lambda 関数を使用します。

Security Hub はセキュリティチェックを実行すると、検出結果を生成してコンプライアンスステータスを割り当てます。コンプライアンスステータスの詳細については、「Security Hub の検出結果のコンプライアンスステータスの評価」を参照してください。

Security Hub は、コントロール検出結果のコンプライアンス状況を使用して、全体的なコントロールステータスを決定します。コントロールステータスに基づいて、Security Hub は、有効になっているすべてのコントロールと特定の標準のセキュリティスコアも計算します。詳細については、Security Hub でのコンプライアンスステータスとコントロールステータスの評価およびセキュリティスコアの計算を参照してください。

[統合されたコントロールの検出結果] を有効にしている場合、コントロールが複数の標準に関連付けられていても、Security Hub は単一の検出結果を生成します。詳細については、「統合されたコントロールの検出結果」を参照してください。