目次
AWS Security Hubとは?
AWS Security Hubは、様々なAWSリソース(Amazon GuardDuty, Amazon Inspector, AWS Firewall manager 等)などから監視データを集約し、一元的に可視化するサービスです。セキュリティという観点でAWS製品及びサードパーティー製品のログやデータを集め、監視する事が可能です。また、業界標準を利用し業界共通のコンプライアンス及びベストプラクティスを参照し、コンプライアンスチェックを自動でチェックを行います。
監視データの一元的な監査という観点では、CloudWatchと重複する点もあります。両者の違いとしては、Security HubはAWS GuardDutyやAmazon Inspectorなどのセキュリティにまつわる検出結果を一元的に収集するのに適している事に対し、CloudWatchはより広範囲で、パフォーマンスやヘルスチェック、イベントドリブンアクションを実施する際に利用されます。
Security Hubを利用する事で、集約した監視データ・コンプライアンスチェックに基づき、セキュリティ強化の効果的なアクションを実施する事が可能となります。
Security Hubでは、組織に所属するアカウント全てにおいてSecurity Hubを有効化する事で、抜け漏れなく、組織全体の監視を可能とします。
また、また、CloudWatchEventsやEventBridgeを利用して対応をセキュリティイベントに対するアクションを自動化する事も可能です。
料金
Security Hubの料金は、毎月のセキュリティチェック実行数と、取り込まれた検出結果の数量によって決定されます。
セキュリティチェック: CIS AWS Foundations Benchmark、AWS Foundational Security Best Practicesなどによって実行されるチェックの事を指します。チェック数に基づいて課金されます。0~100,000回までのチェックは、0.0010USD/イベント、100,000回~500,000回までは0.0008USD/イベント、500,000回を超える場合0.0005USD/イベントが課金されます。
検出結果の取り込みイベント: Security Hub が取り込んだ検出結果の数に応じて課金されます。1 アカウント、1 リージョン、1 か月あたり 10,000 件の無料利用枠が存在します。10,000件を超えると、1イベントあたり0.00003USD課金されます。また、Security Hub のセキュリティチェックに関連する検出結果取り込みは無料です。
AWS Security Hub のセキュリティチェックでは、AWS Config が記録した設定項目を利用するため、 Security Hubのセキュリティチェックを利用する際は、暗黙的にAWS Configの利用料も課金される事を理解する必要があります。
また、Security Hubには30日間の無料期間が存在します。
ユースケース
AWS Security Hubの主なユースケースは以下となります。
- AWSセキュリティ関連リソースからの監視データの取得:AWS Security Hubを利用する事でAWSセキュリティ関連リソースにからの監視データを容易に取得する事が出来ます。以下が主な対象サービス以下となります。
- Amazon GuarDuty:VPCフローログなどの脅威を調査し、検出結果をSecurity Hubへ連携する事が可能です。
- Amazon Inspector:EC2、ECR、Labmdaのセキュリティ評価を行い、検出結果をSecurity Hubへ連携する事が可能です。
- AWS Firewall Manager:AWS WAFポリシーやWeb ACLルールがコンプライアンスに準拠時していない場合、AWS Shield Advancedによりリソース保護されていないまたは攻撃を検知した場合に、該当の情報をSecurity Hubへ連携する事が可能です。
- Amazon Macie:S3バケットのデータにまつわるセキュリティリスクの検出し、Security Hubへ連携する事が可能です。
- AWS Configカスタムルール:カスタマイズされたConfigルールの判定結果をSecurity Hubへ連携する事が可能です。
- パートナー製品からの監視データの取得:Security Hubを利用する事で、パートナー製品からの監視データを容易に取得する事が出来ます。”AWS Security Finidng Format”というSecurity Hubがデータを取り込める形式にデータを正規化する事で、Security Hubへの連携が可能となります。
- コンプライアンスチェック:業界標準やベストプラクティスに基づいた自動コンプライアンスチェックが可能です。以下が主な自動チェック可能項目となります。
- AWS Foundational Security Best Practices v1.0.0:AWSにより定義されたチェック項目です。AWSのセキュリティベストプラクティスに従わないAWSアカウントやリソースを検知する事が可能です。
- CIS AWS Foundations Benchmark v1.2.0:CIS(Center for Internet Security)が定義したセキュリティチェック項目に則っているかを自動で確認する事が可能です。
- PCI DSS v3.2.1:クレジットカード情報を保存・処理・転送する組織が従う必要のあるセキュリティ標準であるPCI DSS要件の一部に対して自動チェックを行う事が可能です。
ハンズオン概要
以下で実際にSecurity Hubを実際に構築していきます。
今回は、AWS Foundational Security Best Practices v1.0.0の自動チェックを実施します。
利用手順
※当ページでは2023年3月現在のEventBridgeについて解説します。クラウドサービスは頻繁にアップデートが施されるため、仕様が異なる可能性があります。
ログイン
まずは、AWS公式ページからAzureにログインしましょう。
AWS Configの有効化
AWS Security Hubを作成する前にAWS Configを有効化する必要があります。AWS Configをしなければ一部のSecurity Hubの機能(AWS Foundational Best Practices, CIS AWS Foundations Benchmarkなどに沿ったリソースチェックなど)が利用できなくなってしまいます。
AWS Configを有効化する手順は、【AWS】AWS Configとは?徹底解説!を参照下さい。
AWS Security Hubの作成
Security Hubを作成します。検索バーに”Security Hub”と入力し、”Security Hub”を選択します。
“Security Hubに移動”を押下します。また、本番運用の場合、全てのアカウントにてSecurity Hubを有効にし、監査の抜け漏れが無い様にします。
“セキュリティ基準”にて”AWS基礎セキュリティのベストプラクティスv1.0.0を有効にする”を選択します。
上記を設定したら、”Security Hubの有効化”を押下します。
有効化すると、Security Hubのダッシュボードタブへ遷移します。
ダッシュボードタブでは、セキュリティ基準の追加や、セキュリティに関する検出を確認する事が出来ます。
セキュリティ基準タブでは、新たなセキュリティ基準を有効化する事が可能です。
検出結果タブでは、設定したセキュリティ基準に反したリソースの設定が重要度と合わせてリストアップされます。重要度やIDなどでフィルターして結果を確認する事も可能です。
同画面の”タイトル”列のリンクをクリックし、”改善”配下のリンクをクリックすると、どのように修復を行うかを確認する事が出来ます。
統合タブでは、AWSのセキュリティ関連リソース及びサードパーティーのセキュリティ製品とAWS Security Hubの統合を行う事が可能です。
複数アカウントでSecurity Hubを一元管理する場合、マスターアカウントより設定タブを開き、メンバーアカウントを追加する必要があります。
関連記事
