AWS Security Hubとは?
AWS Security Hub では、AWS のセキュリティ状態を包括的に把握することが可能で、セキュリティ業界標準およびベストプラクティスに照らした AWS 環境評価を行うのに有効です。
Security Hub は、複数の AWS アカウント、AWS のサービス、およびサポートされているサードパーティパートナー、製品からセキュリティデータを収集して、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。
組織のセキュリティ状態を管理しやすくするために、Security Hub は複数のセキュリティ標準をサポートしています。これらには、AWS の策定した AWS 基礎セキュリティのベストプラクティス (FSBP) 基準、Center for Internet Security Industry (CIS)、Payment Center for Internet Security Industry Data Security Standard (PCI DSS)、および米国標準技術研究所 (NIST) などの外部コンプライアンスフレームワークなどがあります。セキュリティ標準ごとに複数のセキュリティ管理が含まれており、それぞれがセキュリティのベストプラクティスを表しています。Security Hub はセキュリティコントロールに対するチェックを実行し、コントロールの検出結果を生成して、セキュリティのベストプラクティスに対するコンプライアンス評価をサポートします。
Security Hub は、コントロールの検出結果を生成するだけでなく、他の AWS のサービス (Amazon GuardDuty、Amazon Inspector、Amazon Macie など)、およびサポートされているサードパーティ製品からの検出結果結果も受け取ります。こうして、セキュリティ関連のさまざまな問題を一元的に把握できます。Security Hub の結果を他の AWS のサービス およびサポートされているサードパーティ製品に送信することもできます。
Security Hub には、セキュリティ問題の分類と修正に役立つ自動化機能が備わっています。たとえば、自動化ルールを使用して、セキュリティチェックが失敗した場合に重要な結果を自動的に更新できます。Amazon EventBridge との統合を活用して、特定の結果に対する自動応答をトリガーすることもできます。
Security Hub の利点
Security Hub が複数の AWS 環境にまたがってお客様のコンプライアンスとセキュリティ体制を監視する際に役立つ主な方法をいくつか紹介します。
- 検出結果の収集と優先順位付けの労力削減
Security Hub は、統合された AWS のサービス および AWS パートナー製品からセキュリティ結果を収集し、複数のアカウント間で優先順位付けする労力を軽減します。Security Hub は、AWS Security Finding 形式 (ASFF) と呼ばれる標準検出結果形式を使用して検出結果を取得します。これにより、無数の情報源からの検出結果を複数の形式で管理する必要がなくなります。また、Security Hub はプロバイダー全体にわたり結果を関連付け、結果を優先順位付けします。
- ベストプラクティスと標準に対する自動セキュリティチェック
Security Hub は、AWS のベストプラクティスと業界標準に基づいて、継続的なアカウントレベルの設定とセキュリティチェックを自動的に実行します。Security Hub は、これらのチェックの結果からセキュリティスコアを算出し、注意の必要なアカウントとリソースを特定します。
- アカウントとプロバイダーでの結果の統合ビュー
Security Hub は複数のアカウントとプロバイダーの製品間のセキュリティ結果を統合して、Security Hub コンソールに結果を表示します。Security Hub API、AWS CLI、または SDK を通じて結果を取得することもできます。現在のセキュリティ状態を全体的に把握して傾向をとらえ、潜在的な問題を特定し、必要な修復手順を実行することができます。
- 検出結果の更新と修復を自動化する機能
定義した基準に基づいて結果を変更または抑制する自動化ルールを作成できます。Security Hub は Amazon EventBridge との統合もサポートしています。特定の検出結果の修復を自動化するために、検出結果を生成したときに実行するカスタムアクションを定義できます。たとえば、チケット発行システムや自動修復システムに結果を送信するなどのカスタムアクションを設定できます。
Security Hub へのアクセス
Security Hub はほとんどの AWS リージョン で利用可能です。Security Hub を現在利用できるリージョンのリストについては、「AWS 全般のリファレンス」の「AWS Security Hub エンドポイントとクォータ」を参照してください。AWS アカウント での AWS リージョン の管理について詳しくは、「AWS Account Management リファレンスガイド」の「アカウントで使用できる AWS リージョン を指定する」を参照してください。
各リージョンでは、次のいずれかの方法で Security Hub にアクセスして使用できます。
- Security Hub コンソール
AWS Management Console は、AWS リソースの作成と管理に使用できるブラウザベースのインターフェイスです。そのコンソールの一部として、Security Hub コンソールは Security Hub アカウント、データ、およびリソースへのアクセスを提供します。Security Hub コンソールを使用して、結果の表示、自動化ルールの作成、集約リージョンの作成といった Security Hub のタスクを実行できます。
- Security Hub API
-
Security Hub API では、Security Hub のアカウント、データ、およびリソースに対し、プログラムによるアクセスが可能になります。この API を使用すると、HTTPS リクエストを Security Hub に直接送信できます。API の詳細については、「AWS Security Hub API リファレンス」を参照してください。
- AWS CLI
-
AWS CLI を使用すると、システムのコマンドラインでコマンドを実行して Security Hub のタスクを実行できます。場合によっては、コマンドラインを使用した方が、コンソールを使用するよりも高速で便利になります。コマンドラインは、タスクを実行するスクリプトを作成する場合にも便利です。AWS CLI のインストールおよび使用の方法については、AWS Command Line Interface ユーザーガイドを参照してください。
- AWS SDK
-
AWS は、さまざまなプログラミング言語とプラットフォーム (Java、Go、Python、C++、.NETなど) のライブラリとサンプルコードで設定される SDK を提供します。SDK を使用すると、優先言語で Security Hub や他の AWS のサービス に対し、便利なプログラムによるアクセスが可能になります。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。AWS SDK のインストールと使用の詳細については、AWS での構築ツール
を参照してください。
重要
Security Hub は、有効にした後に生成された結果のみを検出して統合します。Security Hub を有効化する前に生成されたセキュリティ結果までさかのぼって、検出したり統合したりすることはありません。
Security Hub は、アカウントで有効にしたリージョンでの検出結果のみを受信し、処理します。
CIS AWS Foundations Benchmark セキュリティチェックに完全に準拠するには、サポートされるすべての AWS リージョンで Security Hub を有効にする必要があります。
関連サービス
ご使用の AWS 環境をさらに安全に保護するには、他の AWS のサービス も Security Hub と組み合わせて使用することをお勧めします。検出結果を Security Hub AWS のサービス に送信し、Security Hub が検出結果を標準形式に正規化する場合もあります。また、一部の AWS のサービス は、Security Hub から検出結果を受信することもできます。
Security Hub の検出結果を送受信するその他の AWS のサービス のリストについては、「AWS のサービス と Security Hub との統合」を参照してください。
Security Hub は、ほとんどのコントロールのセキュリティチェックの実行に、AWS Config からのサービスリンクのルールを使用します。コントロールは、特定の AWS のサービス および AWS リソースを参照します。Security Hub コントロールのリストについては、「Security Hub コントロールのリファレンス」を参照してください。Security Hub がコントロールの検出結果のほとんどを生成するには、AWS Config を有効にして、AWS Config にリソースを記録する必要があります。詳細については、「Security Hub の AWS Config の設定」を参照してください。
Security Hub の無料トライアルと料金
AWS アカウント で初めて Security Hub を有効にすると、そのアカウントは自動的に 30 日間の Security Hub 無料トライアルに登録されます。
無料トライアル期間中に Security Hub を使用する場合、AWS Config アイテムなどの Security Hub がやり取りする他のサービスについては使用量に応じて課金されます。Security Hub セキュリティ標準によってアクティブ化されている AWS Config ルールに対して課金されることはありません。
無料トライアルが終了するまで、Security Hub の使用に対して課金されることはありません。
使用状況の詳細と見積もりコストの表示
Security Hub は、Security Hub を 30 日間使用した場合の推定コストなどを含んだ、使用状況に関する情報を提供します。使用状況の詳細には、無料トライアルの残り時間が含まれます。使用状況に関する情報から、無料トライアル終了後の Security Hub のコストを容易に理解することができます。使用状況に関する情報は、無料トライアルの終了後にも確認できます。
使用状況に関する情報を (コンソール) に表示するには、以下の手順を実行します。
AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/
) を開きます。 -
ナビゲーションペインの [設定] で [使用状況] を選択します。
予想される月額コストは、30 日間で推定された、アカウントの Security Hub による結果とセキュリティチェックの使用状況に基づいています。
使用状況情報と推定コストは、現在のアカウントと現在のリージョンについてのみ発生します。集約リージョンでは、使用情報と見積コストには、リンクされたリージョンは含まれません。リンクされたリージョンの詳細については、「集計されるデータのタイプ」を参照してください。
料金詳細
取得した結果とセキュリティチェックに関する Security Hub の課金方法については、「Security Hub の料金