スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

Security Hub のセキュリティスコアが空または "0%"、または "No Data" のコンプライアンスステータスを解決する方法を教えてください。

所要時間3分
0

AWS Security Hub CSPM で標準のセキュリティスコアを確認したいのですが、"0%" または "-" と表示されます。または、一部またはすべてのコントロールのコンプライアンスステータスが "No Data" と表示されます。

簡単な説明

Security Hub CSPM で標準のセキュリティスコアや全体のスコアを確認できない理由は複数あります。このような場合、次のメトリクスのいずれかまたは両方が表示されます。

  • 少なくとも 1 つのセキュリティスコアにはハイフン (-) または 0% が表示されます。
  • この標準に基づいて有効になっているコントロールの一部またはすべてについて、コンプライアンスステータスは No data です。この場合、セキュリティスコアの生成に失敗する可能性があります。

Security Hub CSPM は、以下のいずれかの理由により、コントロールのデータと標準のスコアを生成できない場合があります。

  • Security Hub CSPM が初めてコントロール評価を実行している。
  • 初めて標準をチェックする。
  • AWS アカウントが新しく移行されたか、集約リージョンが新しく設定された。
  • 標準が INCOMPLETE 状態にある。
  • Security Hub CSPM に、コントロールに関する有効な検出結果がない。
  • AWS Config 設定レコーダーが正しく設定されていない。
  • AWS Config サービスロールに必要なアクセス許可がない。
  • コントロールが新しくリリースされた。
  • AWS リージョンごとに動作に違いがある。

解決策

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI のエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

初期コントロール評価が完了するまで待機する

Security Hub CSPM または特定のセキュリティ標準を有効にすると、Security Hub CSPM は 2 時間以内にすべての初期チェックを実行します。大半のチェックは 25 分以内に実行を開始します。コントロールの最初のチェックが完了するまで、そのコンプライアンスステータスは No data です。

セキュリティスコアの初期計算のために時間を確保する

Security Hub CSPM コンソールの [概要] または [セキュリティ標準] ページを初めて表示する場合、Security Hub CSPM は標準の初期セキュリティスコアを計算します。通常、完了するまでに 30 分かかります。この間は、標準にはスコアがなく、コントロールのコンプライアンスステータスは No data です。

アカウント移行または集約リージョンの設定を確認する

以前にセキュリティスコアとコンプライアンスステータスを表示していたのにデータが表示されない場合は、新しい設定が原因と考えられます。Security Hub CSPM は、集約リージョン内のリンクされたすべての AWS リージョンにおける、組織の管理者アカウントのスコアを生成します。

そのため、Security Hub CSPM コンソールは、新しく設定された集約リージョンまたは新しく移行されたアカウントを、新しく作成されたアカウントと同様に扱います。これには、スタンドアロンアカウントと管理者アカウントの間で移行するアカウントが含まれます。この場合、同じ待機期間が適用され、30 分以内に新しい総合スコアとコンプライアンスステータスが表示されます。

標準が INCOMPLETE 状態にあるか確認する

特定の標準のすべてのコントロールで No data になった場合は、get-enabled-standards AWS CLI コマンドを実行して、その標準の状態が INCOMPLETE かどうかを確認してください。

aws securityhub get-enabled-standards --standards-subscription-arn STANDARDS_SUBSCRIPTION_ARN

注: STANDARDS_SUBSCRIPTION_ARN を標準サブスクリプションの ARN に置き換えます。

INCOMPLETE 状態は、Security Hub CSPM が標準で有効になっているコントロールをすべて作成できない場合に発生します。Security Hub CSPM は、ステータスが READY になるまで、INCOMPLETE 状態の標準を約 12 時間ごとに再試行します。Security Hub CSPM は、次のいずれかの理由により試行を続けます。

  • 設定レコーダーがアカウントで有効になっていない。
  • コントロールを作成するときに、スロットリングや API 障害などの一時的な問題により、標準が INCOMPLETE 状態になることがある。

この問題をトラブルシューティングするには、まず 設定レコーダー をチェックし、有効化され、正しく設定されていることを確認します。次に、セキュリティ標準サブスクリプションを無効化し、再度有効化します。

コントロールに検出結果があることを確認する

Security Hub CSPM が 2 時間以上稼動していて、コントロールのコンプライアンスステータスが No data の場合、そのコントロールには検出結果がありません。検出結果がない理由として、次のシナリオが挙げられます。

  • 新しいコントロールは、検出結果の生成を開始するまで No data の状態になります。新しく有効化されたコントロールは、通常、検出結果の生成に 2 時間かかりますが、最大 18 時間かかる場合があります。コントロールが検出結果を生成してからスコアが更新されるまでに最大 24 時間かかる場合があります。
  • すべてのコントロールの検出結果は SUPPRESSED になっています。
  • コントロールは検出結果を生成していません。これは、コントロール用のリソースがない場合に発生します。

AWS Config 設定レコーダーを設定する

Security Hub CSPM は、サービスにリンクされた AWS Config ルールを使用して、コントロールのセキュリティチェックの大半を実行します。これらのコントロールをサポートするには、すべてのアカウントで AWS Config を有効化する必要があります。これには、Security Hub CSPM が有効になっている各 AWS リージョンの管理者アカウントとメンバーアカウントの両方が含まれます。

有効にしたコントロールで検出結果が得られない場合は、同じ AWS リージョンにある設定レコーダーが正しく設定されているかどうかを確認してください。必要な検出結果を生成するには、Security Hub CSPM に必要なリソースコンプライアンスを取得するように設定レコーダーを設定します。

次の手順を実行します。

  1. AWS Config と設定レコーダーをオンにします。Security Hub CSPM を有効化した各 AWS リージョンについて、正しく設定された配信チャネルで必要なリソースタイプを記録するように設定レコーダーを設定します。
    注: ステップ 2 に進む前に、設定レコーダーがすべてのインベントリを取得するまでの時間を確保してください。ステータスを確認するには、AWS Config コンソールの [設定] ページに移動してください。設定レコーダーがまだ Taking inventory 状態の場合、配信チャネルは正しく設定されていません。この場合は、配信チャネルを再作成してください
  2. Security Hub CSPM コンソールを開きます。
  3. 0% または - と表示されているスコアのない標準をオフにしてください
  4. 一時的な問題を防ぐために 20~30 分待ってから、セキュリティ標準を再び有効にします。これにより、Security Hub CSPM が必要なすべての AWS Config ルールを作成します。
    注: Security Hub CSPM は、標準を有効にしてから 31 日以内に AWS Config ルールを作成します。

AWS Config サービスロールのアクセス許可を確認する

Security Hub CSPM の大半のコントロールは AWS Config ルールに関連付けられています。コントロールが No data を返す場合、AWS Config は サービスにリンクされたロールではなく、必要なアクセス許可を持たないサービスロールを使用する可能性があります。

AWS Config が関連するルールを評価しているかどうかを確認するには、次の describe-config-rule-evaluation-status AWS CLI コマンドを実行します。

aws configservice describe-config-rule-evaluation-status --config-rule-names my-config-rule

サービスロールにルールを評価するのに必要なアクセス許可がない場合は、追加情報を含むエラーメッセージが出力されます。例えば、additional permissions needed (追加のアクセス許可が必要です) などのメッセージが表示されます。

コントロールが最近リリースされたかどうかを確認する

AWS が最近一連のコントロールをリリースした場合、そのスコアは一定期間利用できなくなります。コントロールがリリースされたときにスコア評価が開始した場合、次回のスコア評価が完了するまでに最大 24 時間かかることがあります。

Security Hub CSPM の最新の更新については、「Document history for the AWS Security Hub User Guide」(AWS Security Hub ユーザーガイドのドキュメント履歴) を参照してください。

コントロールのリージョン別の動作を確認する

リージョン間の不一致が原因で、標準に No data と表示される場合があります。

CIS 2.3 や CIS 2.6 などの一部の標準では、No data と表示される場合があります。これは、AWS CloudTrail がログを 1 つの一元化された Amazon Simple Storage Service (Amazon S3) バケットに集約して保存する場合に発生します。この場合、Security Hub CSPM は、一元化された Amazon S3 バケットが置かれているアカウントとリージョンに対してのみチェックを実行します。そのため、データは一元化された S3 バケットがある場所でのみ利用でき、コントロールでは他のリージョンには No data と表示されます。

CIS 3.1-3.14CIS 1.1 のほぼすべてのコントロールについて、Security Hub CSPM のチェックの結果として、次の場合にコントロールの状態が No data になります。マルチリージョンの証跡が別のリージョンに基づいている場合、Security Hub CSPM は証跡のベースとなっているリージョンでのみ検出結果を生成できます。マルチリージョンの証跡が別のアカウントに属している場合、Security Hub CSPM は証跡を所有するアカウントに対してのみ検出結果を生成できます。Security Hub CSPM は特定のリージョンのコントロールをサポートしていません。これらのコントロールは、集約リージョン (クロスリージョンまたはクロスアカウント) を有効にした場合に限り、サポートされていないリージョンに一覧表示されます。特定のリージョンでコントロールがサポートされているかどうかを確認するには、「Availability of controls by Region」(リージョン別のコントロールの可用性) を参照してください。

トピック
Security, Identity, & Compliance
タグ
AWS Security Hub
言語
日本語
AWS公式更新しました 6ヶ月前
コメントはありません

関連するコンテンツ