AWS Security Hub のよくある質問

ページトピック

全般
6
AWS Security Hub の開始方法
13
セキュリティハブでの作業
7

全般

AWS Security Hub で、AWS のアカウントとワークロードのセキュリティを容易に管理、改善できるようになり、労力が軽減されます。AWS Security Hub はあらゆるアカウントとリージョン内で数分のうちにサービスを有効化し、毎日のように発生するセキュリティに関する重要な疑問を解決する支援を行います。主な利点は次のとおりです:

  • セキュリティのベストプラクティスからの逸脱をワンクリックで検出します。 Security Hub は、AWS Foundational Security Best Practices 標準や、CIS AWS Foundations BenchmarkNational Institute of Standards and Technology (NIST)Payment Card Industry Data Security Standard (PCI DSS) などのサポートされている他の業界のベストプラクティスおよび標準のコントロールに照らして、継続的かつ自動的なアカウントレベルおよびリソースレベルの設定チェックを実行します。 Security Hub でサポートされている標準と管理の詳細をご覧ください
  • AWS およびパートナーサービスからのセキュリティ検出結果を、標準化されたデータ形式で自動的に集約します。 Security Hub は、Amazon GuardDuty からの侵入検出に関する検出結果、Amazon Inspector からの脆弱性スキャン、Amazon Macie からの機密データの識別に関する検出結果など、AWS アカウント全体で有効になっているセキュリティサービスからの検出結果を収集します。Security Hub は、標準化された AWS Security Finding Format を使用してパートナーのセキュリティ製品からの検出結果を収集するため、時間のかかるデータ解析と正規化の作業が不要になります。顧客は、自分のアカウントのすべての検出結果にアクセスできる管理者アカウントを指定できます。
  • 自動化された対応と修復アクションにより、解決までの平均時間を短縮します。 Amazon EventBridge と Security Hub の統合およびその他の統合を使用して、カスタムの自動応答、修復、および強化ワークフローを作成し、セキュリティオーケストレーションの自動化と対応 (SOAR) とセキュリティ情報とイベント管理 (SIEM) のワークフローを作成します。Security Hub 自動化ルールを使用して、ほぼリアルタイムで検出結果を自動的に更新または非表示にすることもできます。
  • AWS ベースのアプリケーションのセキュリティ態勢を視覚化します。特定の要件に応じて Security Hub ダッシュボードをカスタマイズすると、パターン、脆弱性、脅威をより簡単に識別できるようになり、迅速な対応が可能になります。表示したいウィジェットを選択して変更し、フィルターを適用して保存し、特定の条件に基づいてコンテキストビューを作成し、ニーズに合った組織のセキュリティ体制のデータとビューに優先順位を付けます。 

Security Hub の料金は、セキュリティチェックの量、取り込みイベントの検出結果の数量、1 か月あたりに処理されるオートメーションルール評価の数量という 3 つの観点に基づいて決まります。AWS Organizations のサポートにより、Security Hub では複数の AWS アカウントを接続し、それらのアカウント間の検出結果を統合して、組織全体のセキュリティチェック、検出結果インジェストイベント、自動化ルール評価を段階的な料金で利用できます。Security Hub では、1 か月あたり 10,000 件の検出結果データ取り込みイベントという無期限の無料利用枠も提供しています。最新の料金情報については、AWS Security Hub の料金ページをご覧ください。

AWS Security Hub のセキュリティチェックでは、AWS Config が記録した設定項目を利用します。これらのセキュリティチェックには AWS Config が必要です。設定項目は Security Hub とは別の料金が設定されています。詳細については、AWS Config の料金をご覧ください。Security Hub のお客様は、Security Hub によって有効になっているAWS Config ルールを無料でご利用いただけます。Security Hub によって有効化される AWS Config ルールは、サービスにリンクされたルールと言います。

はい。Security Hub が有効になっている各リージョンですべての AWS アカウントは、30日無料お試し版をご利用いただけます。試用期間中は、Security Hub のすべての機能とセキュリティチェックにアクセスできます。同じアカウントとリージョンで Security Hub を引き続き使用する場合は、毎月の請求額を見積もることができます。

AWS Security Hub はリージョンレベルのサービスですが、集約リージョンを指定することで検出結果のクロスリージョン集約をサポートしています。リージョンの検出結果を表示するには、各リージョンで Security Hub を有効にする必要があります。

AWS Security Hub が利用できるリージョンについては、AWS リージョン表をご覧ください。

標準化された検出結果の形式をサポートしていて、Security Hub と統合されているテクノロジーパートナーは多数あります。詳細については、 AWS Security Hub のパートナーページをご覧ください

AWS Security Hub の開始方法

CSPM は、クラウドのセキュリティ体制を維持するために、ワークロード、アカウント、リソース全体にわたる設定ミスの問題やコンプライアンスリスクを特定する手法です。Security Hub は CSPM 向けの AWS サービスで、セキュリティのベストプラクティスをチェックし、アラートを集約し、AWS アカウント、ワークロード、リソース全体の自動修復を可能にします。

初めて Security Hub コンソールを開いたときに、[開始] を選択し、次に [有効にする] をクリックします。AWS Security Hub は、サービスがリンクされたロールを使用します。このロールには Security Hub が必要とするアクセス許可と信頼ポリシーが含まれており、検出結果を検出して集約し、セキュリティチェックの実行に必要な前提条件となる AWS Config インフラストラクチャを設定します。Security Hub コントロールの多くは、アカウントのセキュリティチェックを実行するために AWS Config をアクティブ化する必要があります。また、最初に AWS Organizations を有効にして、組織全体で Security Hub を簡単に有効にできるようにすることをお勧めします。API を使用するか、AWS CloudFormation の AWS:: SecurityHub:: Hub リソースを使用してセキュリティハブを有効にすることもできます。

  • Security Hubでマルチアカウント階層を設定するか、Amazon GuardDutyなどのサービスから既存の階層をインポートすることで、リージョン内の複数のアカウントを管理し、それらのアカウント間で検出結果を統合することができます。管理者アカウントを指定すると、セキュリティチームがすべてのアカウントで統合された検出結果を表示します。個々のアカウント所有者は自分のアカウントに関連付けられた検出結果のみを表示できます。
  • AWS Organizations との統合により、Security Hub と AWS Foundation Security Best Practices 標準を使用して組織内の任意のアカウントを自動的に有効にすることができます。

検出結果は、潜在的なセキュリティの問題です。AWS Security Hub は、AWS およびサードパーティーのサービスから、セキュリティアラート、つまり検出結果を集約し、正規化して、優先順位を設定します。また、継続的で自動化された設定チェックの実行結果として、独自の検出結果を生成します。検出結果の取り込みイベントは、新しい検出結果が Security Hub に取り込まれたとき、または検出結果の更新が Security Hub に取り込まれたときに発生します。

インサイトは、関連する検出結果の集まりです。Security Hub には、お客様固有の環境に合わせてさらに調整できるフィルターを使用した、管理型のインサイトが用意されています。たとえば、インサイトは、重要な脆弱性に対するセキュリティパッチが欠けている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや、パブリックな読み取りまたは書き込み権限を持つ Amazon Simple Storage Service (Amazon S3) バケットを特定するのに役立ちます。管理型カスタマイズした Security Hub の分析情報は、AWS 環境におけるセキュリティの問題を追跡する助けとなります。

セキュリティ標準は、規制フレームワークや業界のベストプラクティスに基づいたコントロールの集まりです。Security Hub は、コントロールに対する自動コンプライアンスチェックを行います。各セキュリティチェックは、単一のリソースに対するルールの評価で構成されています。単一のコントロールが複数のリソース (IAM ユーザーなど) を含み、各リソースに対してセキュリティチェックを実行します。Security Hub が有効になると、各コントロールとそのコントロールに関する各関連リソースに対して、継続的な自動化セキュリティチェックを即座に実行します。サポートされている標準と関連コントロールの詳細については、Security Hub 標準リファレンスにアクセスしてください。

AWS Foundational Security Best Practices 標準は、特定の AWS 製品に関する知識を備えた関連サービスチームと AWS Security が共同で開発した一連のコントロールです。これらのコントロールは、AWS アカウントとリソースがセキュリティのベストプラクティスから逸脱しているかどうかを検出します。この標準により、すべての AWS アカウントとワークロードを継続的に評価して、ベストプラクティスから逸脱している領域をすばやく特定できます。組織のセキュリティ体制を改善および維持する方法について、実践的で規範的なガイダンスを提供します。コントロールには複数の AWS サービスのリソースに対するセキュリティのベストプラクティスが含まれ、各コントロールには適用されるセキュリティ機能を反映したカテゴリが割り当てられます。

セキュリティハブは、AWS Config、Amazon GuardDuty、AWS Health、Amazon Inspector、AWS Firewall Manager、AWS IAM Access Analyzer、AWS IoT Device Defender、Amazon Macie など、複数の AWS サービスからのセキュリティアラートまたは検出結果を分析します。さらに、AWS Security Hub と統合され、標準化された検出結果形式をサポートする、利用可能なサードパーティパートナー製品統合のリストを参照してください

PCI DSS などのコンプライアンス標準が既に Security Hub に存在する場合、それを運用するための最も簡単な方法として、フルマネージド型の Security Hub サービスを挙げることができます。Security Hub の Amazon Detective との統合を介して検出結果を調査できるほか、Security Hub の Amazon EventBridge との統合を使用して、自動または半自動の修正アクションを構築できます。ただし、セキュリティ、運用、およびコスト最適化チェックが含まれる場合がある独自のコンプライアンスまたはセキュリティ標準を組み合わせるには、AWS Config コンフォーマンスパックが最適です。

AWS Config コンフォーマンスパックは、AWS Config ルールと関連する是正アクションのグループを 1 つのエンティティにまとめることで、AWS Config ルールの管理を簡素化するために使用できる推奨テンプレートです。このパッケージ化により、組織全体でのルールのデプロイと修正アクションが簡素化されます。また、コンプライアンスの概要をパッケージレベルで報告できるため、集約された報告も可能になります。AWS Config コンフォーマンスのサンプルから始めて、必要に応じてカスタマイズできます。

はい、セキュリティハブとAWS Configコンフォーマンスパックはどちらもコンプライアンスの継続的な監視をサポートしています。基盤となる AWS Config ルールは、定期的に、またはリソースの設定に対する変更を検知したときにトリガーできます。AWS Config を使用すると、お客様の AWS リソースの設定と企業ポリシーおよびガイドラインとの全体的なコンプライアンスが継続的に監査および評価されます。

それらは互いに補完し合うので、両方を使うべきです。AWS Audit Manager は、規制および業界標準へのコンプライアンスを継続的に評価するために、監査およびコンプライアンスの専門家によって使用されます。AWS Security Hub は、セキュリティとコンプライアンスの専門家および DevOps エンジニアが、AWS アカウントとリソースのセキュリティ体制を継続的にモニタリングおよび改善するために使用します。Security Hub は、さまざまな業界および規制のフレームワークに合わせて自動化されたセキュリティチェックを実施します。Audit Manager は、これらの Security Hub チェックによって生成された検出結果を証拠とすることができるような形式で自動的に収集し、AWS CloudTrail ログなどの他の証拠と組み合わせて、お客様が評価レポートを生成できるようにします。

Audit Manager は、サポートされている各フレームワークのコントロールの完全なセットをカバーします。これには、自動化された証拠が関連付けられているコントロールや、インシデント対応計画の存在など、手動で証拠をアップロードする必要があるコントロールが含まれます。

Security Hub は、Audit Manager でサポートされている各フレームワークのコントロールのサブセットのセキュリティチェックを介して自動化された証拠を生成することに重点を置いています。CloudTrail などの他の AWS のサービスからの証拠、またはユーザーによってアップロードされる、人間が用意する証拠を必要とするコントロールは、Security Hub の対象外です。

AWS Systems Manager は AWS の運用ハブであり、インフラストラクチャを簡単に管理できるようにします。AWS Systems Manager OpsCenter は、IT オペレータや DevOps エンジニアが AWS リソースに関連する運用上の問題を一元的に診断および解決できます。また、AWS Systems Manager Explorer は、AWS アカウントやリージョン全体の運用データを表示する運用ダッシュボードです。セキュリティとコンプライアンスの専門家とDevOpsエンジニアは、Security Hubを使用して、AWSアカウントとリソースのセキュリティ体制を継続的に監視し、改善しています。

ほとんどのお客様は、セキュリティの問題 (例えば、Amazon S3 バケットが公開されている、Amazon EC2 インスタンスでクリプトマイニングが検出された) と運用上の問題 (例えば、Amazon Redshift インスタンスが十分に活用されていない、または Amazon EC2 インスタンスが過剰に利用されている) を切り分けています。これは、セキュリティの問題の機密性が他かっく、通常はアクセス要件が異なるためです。そのため、これらのお客様は、Security Hub を使用してセキュリティの問題を理解、管理、および是正し、Systems Manager を使用して運用上の問題を理解、管理、および是正しています。また、セキュリティ体制に関するより詳しい情報を得るために Security Hub を使用することをお勧めします。

同じエンジニアがセキュリティの問題と運用上の問題の両方に取り組む場合、それらを 1 か所に統合すると便利です。これを行うには、検出結果が OpsCenter および Explorer に送信されるようにオプトインします。エンジニアは、AWS Systems Manager Automation ランブックを使用して、運用上の問題とともにセキュリティの問題を調査および是正できます。

AWS Control Tower と AWS Security Hub は補完的なサービスです。AWS Security Hub は、セキュリティチームとコンプライアンスの専門家および DevOps エンジニアが、AWS アカウントとリソースのセキュリティ体制を継続的にモニタリングおよび改善するために使用します。セキュリティに関する検出結果を集約し、自動化された修復を実現するだけでなく、Security Hub は、 AWS Foundational Security ベストプラクティススタンダードやその他の業界および規制スタンダードに照らして、セキュリティベストプラクティスチェックも行います。AWS Control Tower は、セキュアなマルチアカウントの AWS 環境を、AWS ベストプラクティスに基づいてセットアップおよび管理するために、クラウド管理者やアーキテクトによって使用されます。
 
AWS Control Tower はガードレールと呼ばれる必須の、強く推奨されている高レベルルールを適用し、これがサービスコントロールポリシー (SCP) を使用して貴社のポリシーの適用を確かなものとし、また AWS Config ルールの使用でポリシー違反を検出します。AWS Control Tower は、デフォルトのアカウント設定が Security Hub の AWS Foundational Security ベストプラクティスに沿っているかどうかを確認するのにも役立ちます。
 
お客様は AWS Control Tower の予防的ガードレールと Security Hub のセキュリティベストプラクティスコントロールを組み合わせて使用する必要があります。これらは相互に強化され、お客様のアカウントとリソースが安全な状態であることを確認するのに役立ちます。セキュリティハブと AWS Control Tower は完全に統合されているため、関連する統制目標に対応する 170 を超えるセキュリティハブの検出制御を AWS コントロールタワーから直接有効にできます。

セキュリティハブでの作業

最も重要なセキュリティの問題を確認する方法は複数あります。Security Hub ダッシュボードには、最も多くの検出結果を含んでいるリソース、時間の経過とともに大量のセキュリティ検出結果が変化する様、最も多くの検出結果を生成しているインサイトが表示されます。ダッシュボードをカスタマイズして、組織にとって最も関連性の高いセキュリティデータをフィルタリングして表示することができます。インサイトのページに移動し、マネージドインサイトを使用して、優先度の高い問題を特定することができます。固有のカスタマイズしたインサイトを作成することもできます。

はい。Security Hub では、セキュリティ標準に対してどのようにセキュリティを実践しているかを示すスコアが作成されます。このスコアは、Security Hub のメインダッシュボードに表示されます。セキュリティ標準までクリックを続けると、注意を要する制御のまとめが表示されます。その制御がどのように評価されたか、そして問題を緩和する方法に関する参考情報としてのベストプラクティスが表示されます。

いいえ。Security Hub は自動セキュリティチェックに重点を置いています。ほとんどのセキュリティ標準には、自動での方法では確認できないさまざまなコントロールがあります。しかし、これらは Security Hub の範囲外です。Security Hub のセキュリティチェックは監査の準備に役立ちます。しかし、セキュリティ標準に関する監査に合格することを意味するものではありません。

はい。Security Hub を使用すると、Security Hub を使用して組織の特定のニーズに合わせてセキュリティチェックを行うことができます。これはパラメータをカスタマイズすることで実現できます。たとえば、強力な IAM パスワードの意味や、未使用の認証情報を削除したり、未使用のインスタンスを停止したりするための最大期間を定義できます。

Security Hub では、検出結果の優先順位付けに役立つインサイトとセキュリティ標準という 2 つのメカニズムが使用されています。インサイトは、グループ化または相互の関連付けが行われた検出結果で、より優先順位の高い検出結果をより迅速に識別する助けになります。インサイトの例としては、”マルウェアに感染している可能性のある Amazon EC2 インスタンスをすべて表示してください” や ”Amazon EC2 インスタンスでのデータ漏えいの可能性があれば教えてください” などがあります。
 
セキュリティ標準は、規制要件またはベストプラクティスに基づく一連のコントロールです。AWS には、標準内のコントロールに対応する、特定の定義済みのセキュリティチェックが用意されています。セキュリティハブがサポートする標準の詳細は、 セキュリティハブのドキュメントに記載されています

いいえ。Security Hub は AWS が提供するセキュリティサービスに追加される補完的なものです。実際には、追加のコンテキストが得られるように、Security Hub に他のコンソールに戻るリンクが設けられます。Security Hub では、各セキュリティサービス内で提供される設定、構成、特殊な機能は再現されません。

Security Hub の Payment Card Industry Data Security Standard (PCI DSS) は、一連の AWS セキュリティベストプラクティスコントロールで構成されています。各コントロールは特定の AWS リソースに適用され、1 つ以上の PCI DSS 要件に関連しています。Security Hub は、PCI DSS バージョン 3.2.1 とバージョン 4.0.1 の両方をサポートするようになりました。Security Hub のドキュメントには、Security Hub の PCI DSS チェックが特定の PCI DSS 要件にどのようにマッピングされるかについての詳細な記載があります。