Security Hub のセキュリティスコアが空または「0%」、または「データなし」のコンプライアンスステータスを解決する方法を教えてください？

簡単な説明

Security Hub で標準のセキュリティスコアや全体のスコアを確認できない理由は複数あります。このような場合、次の指標のいずれかまたは両方が表示されます:

• 少なくとも 1 つのセキュリティスコアにはハイフン (-) または 0% が表示されます。
• この基準に基づいて有効になっているコントロールの一部またはすべてについて、コンプライアンスステータスは「データなし」です。この場合、セキュリティスコアの生成に失敗する可能性があります。

Security Hub は、以下のいずれかの理由により、標準のコントロールとスコアのデータを生成できない場合があります:

• Security Hub が初めてコントロール評価を実行している。
• 初めて標準を確認している。
• AWS アカウントが新しく移行されたか、集約リージョンが新しく設定された。
• 標準が INCOMPLETE (未完了) 状態にある。
• Security Hub に、コントロールに関する有効な結果がない。
• AWS Config 設定レコーダーが正しく設定されていない。
• AWS Config サービスロールに必要な権限がない。
• コントロールが新しくリリースされた。
• AWS リージョンごとに動作に違いがある。

解決方法

**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、最新バージョンの AWS CLI を使用していることを確認してください。

Security Hub が初めてコントロール評価を実行している

Security Hub または特定のセキュリティ標準を有効にすると、Security Hub は 2 時間以内にすべての初期チェックを実行します。ほとんどのチェックは 25 分以内に実行を開始します。コントロールの最初のチェックが完了するまで、そのコンプライアンスステータスは「データなし」です。

初めて標準を確認している

Security Hub コンソールの [Summary] (概要) または [Security standards] (セキュリティ標準) ページを初めて表示する場合、Security Hub は標準の初期セキュリティスコアを計算します。通常、完了するまでに 30 分かかります。この間、標準にはスコアがなく、コントロールのコンプライアンスステータスは「データなし」です。

アカウントが新しく移行されたか、集約リージョンが新しく設定された

以前にセキュリティスコアとコンプライアンスステータスを表示していたのにデータが表示されない場合は、新しい設定が原因と考えられます。Security Hub は、集約リージョン内のリンクされたすべての AWS リージョンの組織の管理者アカウントのスコアを生成します。

そのため、Security Hub コンソールは、新しく設定された集約リージョンまたは新しく移行されたアカウントを、新しく作成されたアカウントと同様に扱います。これには、スタンドアロンアカウントと管理者アカウントの間で移行するアカウントが含まれます。この場合、同じ待機期間が適用され、30分以内に新しい総合スコアとコンプライアンスステータスが表示されます。

標準は INCOMPLETE (未完了) 状態です

特定の標準のすべてのコントロールで「データなし」になった場合は、get-enabled-standard AWS CLI コマンドを実行して、その標準の状態が INCOMPLETE (未完了) かどうかを確認してください:

aws securityhub get-enabled-standards –standards-subscription-arn STANDARDS_SUBSCRIPTION_ARN

**注:**STANDARDS_SUBSCRIPTION_ARN を標準サブスクリプションの ARN に置き換えます。

この状態は、Security Hub が標準で有効になっているコントロールをすべて作成できない場合に発生します。Security Hub は、ステータスが READY (準備完了) になるまで、INCOMPLETE (未完了) 状態の標準を約 12 時間ごとに再試行します。Security Hub は、次のいずれかの理由により試行を続けます:

• 設定レコーダーがアカウントで有効になっていない。
• コントロールを作成するときに、スロットリングや API 障害などの一時的な問題により、標準が INCOMPLETE (未完了) 状態になることがある。

この問題をトラブルシューティングするには、まず [設定レコーダー] をチェックし、有効化され、正しく設定されていることを確認します。次に、セキュリティ標準サブスクリプションを無効化し、再度有効化します。

Security Hub に、コントロールに関する有効な結果がない

Security Hub が 2 時間以上稼動していて、コントロールのコンプライアンスステータスが 「データなし」の場合、そのコントロールには何も検出されません。検出されない一般的な理由として、次のシナリオが挙げられます:

• 新しいコントロールは、結果の生成を開始するまで「データなし」の状態になります。
  **注:**新しく有効化されたコントロールは、通常、結果の生成に 2 時間かかりますが、最大 18 時間かかる場合があります。コントロールが結果を生成してからスコアが更新されるまでに最大 24 時間かかる場合があります。
• すべてのコントロールの結果は SUPPRESSED (非表示) になっています。
• コントロールは結果を生成していません。
  **注:**これは、コントロール用のリソースがない場合に発生します。

設定レコーダーが正しく設定されていない

Security Hub は、サービスにリンクされた AWS Config ルールを使用して、コントロールのセキュリティチェックのほとんどを実行します。これらのコントロールをサポートするには、すべてのアカウントで AWS Config を有効化する必要があります。これには、Security Hub が有効になっている各リージョンの管理者アカウントとメンバーアカウントの両方が含まれます。

有効にしたコントロールで結果が得られない場合は、同じリージョンにある設定レコーダーが正しく設定されているかどうかを確認してください。必要な結果を生成するには、Security Hub に必要なリソースコンプライアンスを取得するように設定レコーダーを設定します:

1. AWS Config と設定レコーダーをオンにします。Security Hub を有効化した各リージョンについて、正しく設定された配信チャネルで必要なリソースタイプを記録するように設定レコーダーを設定します。
   **注:**ステップ 2 に進む前に、設定レコーダーがすべてのインベントリを取得するまでしばらくお待ちください。ステータスを確認するには、AWS Config コンソールの [Settings] (設定) ページにアクセスしてください。設定レコーダーがまだ「Taking inventory (インベントリ作成中)」状態の場合、配信チャネルは正しく設定されていません。この場合は、配信チャネルを再作成してください。
2. Security Hub コンソールを開き、スコアのない (0% または - と表示される) 標準をオフにします。一時的な問題を防ぐために 20 ～ 30 分待ってから、セキュリティ標準を再び有効にします。これにより、Security Hub は必要なすべての AWS Config ルールを作成するよう求められます。
   **注:**Security Hub は、標準をアクティブ化してから 31 日以内に AWS Config ルールを作成します。

AWS Config サービスロールに必要な権限がない

Security Hub のほとんどのコントロールは AWS Config ルールに関連付けられています。コントロールが「データなし」を返す場合、AWS Config は (サービスにリンクされたロールではなく) 必要な権限を持たないサービスロールを使用する可能性があります。AWS Config が関連するルールを正しく評価しているかどうかを確認するには、describe-config-rule-valuation-status AWS CLI コマンドを実行します。サービスロールにルールを評価するのに必要な権限がない場合は、追加情報を含むエラーメッセージが出力されます。たとえば、「追加の権限が必要です」などのメッセージが表示されます。

コントロールが新しくリリースされた

AWS が最近一連のコントロールを開始した場合、そのスコアは一定期間利用できなくなります。コントロールがリリースされたときにスコア評価が開始された場合、次回のスコア評価が完了するまでに最大 24 時間かかることがあります。

Security Hub の最新の更新については、AWS セキュリティハブユーザーガイドの「ドキュメント履歴」を参照してください。

リージョンごとに動作に違いがある

リージョン間の不一致が原因で、標準に「データなし」と表示される場合があります:

• CIS 2.3 や CIS 2.6 などの一部の標準では、「データなし」と表示さる場合があります。これは、AWS CloudTrail がログを 1 つの集中型の Amazon Simple Storage Service (Amazon S3) バケットに集約して保存する場合に発生します。この場合、Security Hub は、一元化された Amazon S3 バケットが置かれているアカウントとリージョンに対してのみチェックを実行します。そのため、データは中央の S3 バケットがある場所でのみ利用でき、コントロールでは他のリージョンには「データなし」と表示されます。
• CIS 3.1-3.14 と CIS 1.1 のほぼすべてのコントロールについて、Security Hub のチェックでは、次の場合にコントロールの状態が「データなし」になります:
  マルチリージョントレイルが別のリージョンを拠点としています。Security Hub が調査結果を生成できるのは、トレイルの拠点となるリージョンだけです。
  マルチリージョントレイルは別のアカウントに属しています。Security Hub は、トレイルを所有するアカウントについてのみ結果を生成できます。
• Security Hub は特定のリージョンのコントロールをサポートしていません。これらのコントロールは、集約リージョン (クロスリージョンまたはクロスアカウント) を有効にした場合にのみ、サポートされていないリージョンに一覧表示されます。特定のリージョンでコントロールがサポートされているかどうかを確認するには、「リージョン別のコントロールの可用性」を参照してください。