投稿日: Jun 19, 2023
本日より、AWS Control Tower と AWS Security Hub の統合の一般提供を開始しました。今後は、関連する統制目標にマッピングされる 170 以上の Security Hub 検出コントロールを、AWS Control Tower から有効にすることができます。AWS Control Tower は、Security Hub からのコントロールを無効にした場合に、そのコントロールの状態が「ドリフト」になったことを検出するようになりました。このドリフト検出機能により、コントロールのデプロイ状態を簡単にモニタリングし、適切なアクションを実行して AWS Control Tower 環境のセキュリティ体制を管理できます。
AWS Control Tower で管理されている Security Hub コントロールのドリフト検出機能は、AWS Control Tower ランディングゾーン 3.2 の新バージョンに含まれています。この機能を使用するには、ランディングゾーンを更新してください。また、新バージョンでは、複数の AWS のサービスのリージョン拒否コントロールの更新も含まれています。許可されているアクションの一覧については、リージョン拒否コントロールポリシーを参照してください。
AWS Control Tower で Security Hub コントロールを使用するには、AWS Control Tower コントロールライブラリに移動します。Security Hub から発信されるいずれかのコントロールを選択したら、AWS Control Tower から直接有効化できます。AWS Control Tower がユーザーに代わって Security Hub を有効にし、Security Hub に新しいサービスマネージドスタンダードを作成します。AWS Control Tower から Security Hub コントロールを有効にすると、これらのコントロールとその評価を AWS Control Tower から管理できます。この統合は、AWS Control Tower が提供されているすべてのリージョンでご利用いただけます。