はじめに
今回はSecuirty HubでNIST SP 800-53 Rev.5(以降 NIST SP)を有効化してみたので、NIST SPの概要や有効化する際の注意事項を紹介したいと思います。
Security HUb セキュリティ基準
Security Hub のセキュリティ基準には、規制のフレームワーク、業界のベストプラクティス、企業ポリシーのコンプライアンスを判断するための一連の要件が含まれています。
Security Hubは要件をコントロールにマッピングし、各項目のセキュリティチェックを実行します。
有効なチェックの項目数を分母として合格しているチェックの項目数を分子とした割合から、セキュリティスコアが算出されます。
NIST SPは2023年3月にセキュリティ標準として追加されたもので、米国商務省の一部である国立標準技術研究所 (NIST) によって開発された、サイバーセキュリティ及びコンプライアンスのフレームワークです。
NIST SPを有効化することで、情報システムの重要なリソースの可用性、機密性、完全性を保護するのに役立ちます。
NIST SPの有効化手順
Security Hub>セキュリティ標準から、NIST Special Publication 800-53 Revision 5の標準を有効化します。
※有効化には数分かかる場合があります。
以上で有効化は完了です。
NIST SPの有効化時の注意事項
既存のセキュリティ標準との差分を確認する
NIST SPを有効化する必要性があるのか、既存のセキュリティ標準と比較しましょう。
私は、AWSベストプラクティス標準とCIS Benchmark v1.4.0を有効化していたので、チェック項目の差分を調査しました。
2024年1月時点で、NIST SPにあって上記の2つにない項目は20個ありました。
この中で、Security Hubを利用してチェックしたい項目がある場合には、NIST SPを有効化するという形で導入前の検討を行いましょう。
既存の検知項目の無効化・抑制設定を確認
Security Hubにて検知する項目はあくまで推奨設定であるため、全ての項目に準拠する必要はありません。システムの特性に合わせ、設定が必要な項目を設定することが推奨されます。
システムの特性に合わあない場合は、以下の2つの対応を取ることができます。
- 無効化:検知項目自体を無効化する
- 抑制:検知があったとしてもアラートが発行されないよう抑制する
※抑制の場合はリソースごとに設定を変更できます。
既存のセキュリティ標準にて無効化・抑制している項目がNIST SPに含まれている場合は、NIST SPでも同様の対応を取りましょう。
システムの特性に合うようパラメータを変更
2023年11月のアップデートで、Security Hubのチェック項目のパラメータの値を変更できるようになりました。
これまでは、チェック項目がシステムの特性に合わない場合、その項目を無用化または抑制する必要がありましたが、パラメータを変更することで自社のポリシーに合わせることができるようになりました。
※Organizationなしでマルチアカウントを管理している場合、コントロールの制御は各アカウントに委任することとなるため、Security Hub管理者が意図しない形でセキュリティの基準を緩くすることができるため、注意しましょう。
チェック項目の内容を確認し、必要に応じてパラメータを変更しましょう。
Security HUbの運用方法
セキュリティスコアの改善活動
Security Hubのセキュリティスコアを100%にするよう、運用の中で改善活動を行いましょう。
いきなり100%にするのは負荷が高いため、定期的にコツコツと運用することを推奨します。
アラートの重要度による運用方法の確立
Security Hubのチェック項目には、Criticul、High、Medium、Lowの4つの重要度が設定されています。
重要度が高いほど、即時の対応が求められるようなリスクのある設定状況になっています。
そのため、アラートをうけたら、すぐに対応するような運用をあらかじめチームで決めておくことをお勧めします。
重要度が低い項目については即時の対応は必要なく、日々の改善活動での対応で問題ありません。
おわりに
Security HUbは利用することも多いと思いますので、是非NIST SP 800-53 Rev.5の有効化を検証してみてください。