AWS Security Hubとは
「AWS Security Hub」とは、組織内の様々なセキュリティデータを集約して、一元的に可視化するサービスです。
「AWS Security Hub」を利用する場合、以下の内容を設定することを推奨します。
- 全リージョンと全AWSアカウントを監視すること。
- AWS Configが有効化し、全ての設定情報を記録すること。
「AWS Security Hub」を用いることで、以下の内容を行うことができるため運用を効率化できます。
- 大量のセキュリティデータ及び複数のAWSアカウントのセキュリティデータを一元管理する
- コンプライアンス/ルール準拠の自動確認する
また、「AWS Security Hub」は主に以下の構成で利用します。
次の章から、「データを送るセキュリティサービス」と「AWS Security Hubのセキュリティチェック」と「イベント実行するサービス」の3つの例を記載します。
AWS Security Hubへセキュリティデータを送るサービスの例
様々なリソースが「AWS Security Hub」にセキュリティデータを送ることができます。
例として一部のAWSサービスを以下の表に記載していますが、AWSサービス以外の製品からもセキュリティデータを送ることができます。
| AWSサービス名 | 概要 |
|---|---|
| Amazon GuardDuty | 脅威検知に関するデータを検出 |
| Amazon Inspector | セキュリティ評価によるデータを検出 |
| AWS IAM Access Analyzer | アカウント内のリソースに対して、外部からのアクセスを 許可するポリシーを検出 |
| AWS Firewall Manager | AWS WAFとAWS Shield Advancedで攻撃を検知した際などに検出 |
| AWS System Manager Patch Manager | Amazon EC2インスタンスにパッチベースラインを適用していないことを検出 |
AWS Security Hubでのセキュリティチェック
「AWS Security Hub」に受信したデータに対して、業界標準やベストプラクティスに基づいたセキュリティチェックを自動で行うことができます。
チェックできる内容は以下の通りです。
| セキュリティチェックの内容 | 概要 |
|---|---|
| AWS 基礎セキュリティのベストプラクティス v1.0.0 | AWSセキュリティ専門家による定義された統制項目です。 セキュリティベストプラクティスと異なるAWSアカウントやリソースを検知します。 |
| CIS AWS Foundations Benchmark v1.2.0 | Center for Internet Securityが定義した要件の一部に対してチェックします。 |
| PCI DSS v3.2.1 | クレジットカード情報を保存・処理・転送する組織が従うセキュリティ標準であるPCI DSS要件の一部に対してチェックします。 |
AWS Security Hubからイベント実行するAWS例
「AWS Security Hub」のカスタムアクションを用いて、以下のAWSリソースやSplunkなどセキュリティパートナーと連携することができます。
以下、連携できるAWSリソースの例です。
| AWSサービス名 | 概要 |
|---|---|
| Amazon Simple Notification Service (Amazon SNS) | メール通知などを行います。 |
| AWS Lambda | Lambda関数で作成したプログラムを実行します。 |
AWS Security Hubの料金
AWS Security Hubは以下の2つの料金が掛かります。
(1) セキュリティチェック
Security Hubでは、CIS AWS FoundationsベンチマークやPCI DSSなどの基準と比較(チェック)することができます。
そのセキュリティチェックする回数に応じて料金が掛かります。
(2) 検出結果の取り込みイベント
Security Hubに取り込むイベント数に応じて、料金が掛かります。
AWS Security Hubの料金については、以下のAWSの公式サイトをご確認ください。
AWSに関する記事
AWSについての関連記事は以下の通りです。
必要に応じて、ご確認ください。
