AWS Security Hub は、AWS 全体のセキュリティ状態の包括的なビューを提供します。これは、セキュリティ業界の標準とベストプラクティスに対してお使いの環境をチェックする上で役立ちます。Security Hub は、AWS アカウント、サービス、サポートされているサードパーティ パートナー製品全体からセキュリティ データを収集します。次に、セキュリティの傾向を分析し、特に優先度の高いセキュリティ問題を特定します。
IAM Access Analyzer を Security Hub と統合すると、IAM Access Analyzer から Security Hub に検出結果を送信できるようになります。Security Hub では、このような検出結果を全体的なセキュリティ体制の分析に含めることができます。
目次
IAM Access Analyzer が Security Hub に検出結果を送信する方法
Security Hub では、セキュリティの問題が調査結果として追跡されます。結果の中には、他の AWS のサービスやサードパーティーのパートナーが検出した問題に由来するものもあります。Security Hub には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。
Security Hub には、これらすべてのソースからの結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、各検出結果に関する詳細情報を表示できます。詳細については、AWS Security Hub ユーザーガイドの「検出結果の表示」を参照してください。調査結果の調査状況を追跡することもできます。詳細については、AWS Security Hub ユーザーガイドの「検出結果に対するアクションの実行」を参照してください。
Security Hub のすべての検出結果で、AWS Security Finding Format (ASFF) と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。詳細については、AWS Security Hub ユーザーガイドの AWS Security Finding Format (ASFF)を参照してください。
AWS のサービス は 結果を Security Hub に送信する AWS Identity and Access Management Access Analyzer の 1 つです。未使用のアクセスの場合、IAM Access Analyzer は、IAM ユーザーまたはロールに付与されているが使用されていないアクセス権限を検出し、それぞれの検出結果を生成します。その後、IAM Access Analyzer は検出結果を Security Hub に送信します。
外部アクセスの場合、IAM Access Analyzer は、組織またはアカウント内のサポートされているリソース上の外部プリンシパルへのパブリックアクセスまたはクロスアカウントアクセスを許可するポリシーステートメントを検出します。IAM Access Analyzer はパブリックアクセスに関する検出結果を生成し、それを Security Hub に送信します。クロスアカウントアクセスの場合、IAM Access Analyzer は、一度に 1 つの外部プリンシパルに対して 1 つの検出結果を Security Hub に送信します。IAM Access Analyzer に複数のクロスアカウント検出結果がある場合、IAM Access Analyzer が次のクロスアカウント検出結果を提供する前に、単一の外部プリンシパルに対する Security Hub 検出結果を解決する必要があります。アナライザーの信頼ゾーン外のクロスアカウントアクセスを持つ外部プリンシパルの完全なリストについては、IAM Access Analyzer で検出結果を表示する必要があります。リソースコントロールポリシー (RCP) の詳細については、リソースの詳細セクションを参照してください。
IAM Access Analyzer が送信する検出結果のタイプ
IAM Access Analyzer は、AWS Security Finding Format (ASFF) を使用して検出結果を Security Hub に送信します。ASFF では、Types フィールドが検出結果タイプを提供します。IAM Access Analyzer からの検出結果では、Types に対して次の値が示される可能性があります。
-
外部アクセスの検出結果 – 影響/データ漏えい/外部アクセスの許可
-
外部アクセスの検出結果 – ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/外部アクセスの許可
-
未使用のアクセスの検出結果 – ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用のアクセス許可
-
未使用のアクセスの検出結果 – ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用の IAM ロール
-
未使用のアクセスの検出結果 – ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用の IAM ユーザーパスワード
-
未使用のアクセスの検出結果 – ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用の IAM ユーザーアクセスキー
結果が送信されるまでのレイテンシー
IAM Access Analyzer が新しい結果を作成すると、通常は 30 分以内に Security Hub に送信されます。ただし、まれに IAM Access Analyzer がポリシーの変更について通知されない場合があります。例:
-
Amazon S3 アカウントレベルのブロックパブリックアクセス設定の変更が IAM Access Analyzer に反映されるまでに最大 12 時間かかる場合があります。
-
リソースベースのポリシーを変更せずにリソースコントロールポリシー (RCP) を変更しても、検出結果で報告されたリソースの再スキャンはトリガーされません。IAM Access Analyzer は、次の定期スキャン時 (24 時間以内) に新しいポリシーまたは更新されたポリシーを分析します。
-
AWS CloudTrail ログ配信で配信エラーがある場合、ポリシーを変更しても、調査結果で報告されたリソースの再スキャンがトリガーされない可能性があります。
このような状況では、IAM Access Analyzer は、次の定期スキャン中に新しいポリシーまたは更新されたポリシーを分析します。
Security Hub が使用できない場合の再試行
Security Hub を使用できない場合、IAM Access Analyzer は定期的に検出結果の送信を再試行します。
Security Hub の既存の結果を更新する
IAM Access Analyzer は、検出結果を Security Hub に送信した後も、その検出結果のアクティビティに関する追加の観測結果を反映するために、Security Hub への更新を継続します。これらの更新は同じ検出結果に反映されます。
外部アクセスの検出結果の場合、IAM Access Analyzer がリソースごとにグループ化します。Security Hub では、IAM Access Analyzer でそのリソースの検出結果の少なくとも 1 つがアクティブであれば、そのリソースの検出結果はアクティブなままになります。リソースに関する IAM Access Analyzer のすべての検出結果がアーカイブまたは解決されると、Security Hub の検出結果もアーカイブされます。Security Hub の検出結果は、ポリシーアクセスがパブリックアクセスとクロスアカウントアクセスの間で変更されると更新されます。この更新には、検出結果の種類、タイトル、説明、および重大度の変更を含めることができます。
未使用のアクセス検出結果の場合、IAM Access Analyzer はリソースごとにグループ化しません。代わりに、未使用のアクセス検出結果が IAM Access Analyzer で解決された場合、対応する Security Hub の検出結果も解決されます。未使用のアクセスの結果を生成した IAM ユーザーまたはロールを更新すると、Security Hub の結果が更新されます。
Security Hub での IAM Access Analyzer の検出結果の表示
Security Hub で IAM Access Analyzer の検出結果を表示するには、概要ページの [AWS: IAM Access Analyzer] セクションの [結果を参照] を選択します。または、ナビゲーションパネルから [検出結果] を選択することもできます。次に、値が IAM Access Analyzer である [Product name:] フィールドを選択して、AWS Identity and Access Management Access Analyzer の検出結果のみを表示するようにフィルタリングすることができます。
Security Hub での IAM Access Analyzer の結果名の解釈
AWS Identity and Access Management Access Analyzer は、AWS Security Finding Format (ASFF) を使用して検出結果を Security Hub に送信します。ASFF では、[Types] フィールドに検出結果タイプが表示されます。ASFF タイプは、AWS Identity and Access Management Access Analyzer とは異なる命名規則を使用します。次の表は、Security Hub に表示される AWS Identity and Access Management Access Analyzer の検出結果に関連付けられたすべての ASFF タイプの詳細を示しています。
| ASFF 結果タイプ | Security Hub 検出結果のタイトル | 説明 |
|---|---|---|
| エフェクト/データエクスポサ/外部アクセス許可 | <resource ARN> パブリックアクセスを許可 | リソースにアタッチされたリソースベースのポリシーは、リソースに対するすべての外部プリンシパルへのパブリックアクセスを許可します。 |
| ソフトウェアと構成のチェック/AWS セキュリティのベストプラクティス/外部アクセスの許可 | <resource ARN> クロスアカウントアクセスを許可 | リソースにアタッチされたリソースベースのポリシーは、アナライザーの信頼ゾーン外の外部プリンシパルへのクロスアカウントアクセスを許可します。 |
| ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用のアクセス許可 | <リソース ARN> には、未使用のアクセス許可が含まれます | ユーザーまたはロールには、未使用のサービスおよびアクションのアクセス許可が含まれます。 |
| ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用の IAM ロール | <リソース ARN> には、未使用の IAM ロールが含まれます | ユーザーまたはロールには、未使用の IAM ロールが含まれます。 |
| ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用の IAM ユーザーパスワード | <リソース ARN> には、未使用の IAM ユーザーパスワードが含まれます | ユーザーまたはロールには、未使用の IAM ユーザーパスワードが含まれます。 |
| ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/未使用の IAM ユーザーアクセスキー | <リソース ARN> には、未使用の IAM ユーザーアクセスキーが含まれます | ユーザーまたはロールには、未使用の IAM ユーザーアクセスキーが含まれます。 |
IAM Access Analyzer からの一般的な検出結果
IAM Access Analyzer は、AWS Security Finding Format (ASFF) を使用して検出結果を Security Hub に送信します。
以下に、外部アクセスの検出結果に関する IAM Access Analyzer からの一般的な検出結果の例を示します。
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket",
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
"GeneratorId": "aws/access-analyzer",
"AwsAccountId": "111122223333",
"Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"],
"CreatedAt": "2020-11-10T16:17:47Z",
"UpdatedAt": "2020-11-10T16:43:49Z",
"Severity": {
"Product": 1,
"Label": "LOW",
"Normalized": 1
},
"Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access",
"Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666",
"Remediation": {
"Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
},
"SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Details": {
"Other": {
"External Principal Type": "AWS",
"Condition": "none",
"Action Granted": "s3:GetObject,s3:GetObjectVersion",
"External Principal": "444455556666"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {"Status": "NEW"},
"RecordState": "ACTIVE"
}以下に、未使用のアクセスの検出結果に関する IAM Access Analyzer からの一般的な検出結果の例を示します。
{
"Findings": [
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
"ProductName": "IAM Access Analyzer",
"CompanyName": "AWS",
"Region": "us-west-2",
"GeneratorId": "aws/access-analyzer",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
],
"CreatedAt": "2023-09-18T16:29:09.657Z",
"UpdatedAt": "2023-09-21T20:39:16.651Z",
"Severity": {
"Product": 1,
"Label": "LOW",
"Normalized": 1
},
"Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions",
"Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions",
"Remediation": {
"Recommendation": {
"Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved."
}
},
"SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole",
"ProductFields": {
"numberOfUnusedActions": "256",
"numberOfUnusedServices": "15",
"resourceOwnerAccount": "111122223333",
"findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7",
"findingType": "UnusedPermission",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
"aws/securityhub/ProductName": "AM Access Analyzer",
"aws/securityhub/CompanyName": "AWS"
},
"Resources": [
{
"Type": "AwsIamRole",
"Id": "arn:aws:iam::111122223333:role/TestRole"
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ARCHIVED",
"FindingProviderFields": {
"Severity": {
"Label": "LOW"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
]
}
}
]
}統合の有効化と構成
Security Hub との統合を利用するには、Security Hub を有効にする必要があります。Security Hub を有効にする方法については、 AWS Security Hub ユーザーガイドの「Security Hub の設定」を参照してください。
IAM Access Analyzer と Security Hub の両方を有効にすると、自動的に統合が有効になります。IAM Access Analyzer は、Security Hub への検出結果の送信を即時に開始します。
検出結果の送信を停止する方法
Security Hub への結果の送信を停止するには、Security Hub コンソールまたは API を使用できます。
「統合からの検出結果のフローの無効化と有効化 (コンソール)」またはAWS Security Hubユーザーガイドの「統合からの検出結果のフローの無効化 (Security Hub API、AWS CLI)」を参照してください 。
