今日を知り、明日を変えるシステム運用メディア

AWS SecurityHubで使用しているAWSクラウド内のセキュリティを確認してみよう!

AWS SecurityHubで使用しているAWSクラウド内のセキュリティを確認してみよう!

ノウハウ #AWS

はじめに

始めに

最近AWSを使い始めた人の中で「AWSクラウド内」のセキュリティ対策について、何から手を付けたら良いか分からず悩んでいる方も多くいらっしゃるのではないでしょうか。大切なのは、セキュリティ業務を効率的に行えて、ミスを最小限に減らして遂行できる環境の構築です。そこで今回は、簡潔にAWSクラウド内の脆弱性等を確認する、Security Hubについてご紹介します。

記事の前半では「利点」や「料金」などを、後半では「有効化する方法」や「使用方法」についてお伝え致しますので、是非ご覧ください。

AWS Security Hubとは?

AWS Security Hubとは?

Security Hubとは、セキュリティ基準に基づき、AWSクラウド内のセキュリティを定期的に確認してくれるサービスです。。既存のAWSリソースのセキュリティ設定が、必要な水準に達しているかどうかを確認することができます。このような機能を備えたサービスを、一般的にはCloud Security Posture Management(CSPM)と呼びますが、Security HubはAWS特化のCSPMと言えるでしょう。

通常、セキュリティ設定は手動で行うので、担当者のスキルに応じたセキュリティ環境に依存してしまうものです。この問題を解消できるのが、Security Hubです。AWSの設定するベストプラクティスに合わせたセキュリティ設定を実現できているか、国際的なセキュリティ規格に適合したものであるかなどを、自動的にチェックすることができます。

なお、Security Hubで設定可能なセキュリティ基準には、以下の3種類があります。

AWS 基礎セキュリティのベストプラクティス v1.0.0

CIS AWS Foundations Benchmark

Payment Card Industry Data Security Standard

自社で必要としている水準に合わせ、柔軟に設定を変更可能です。

責任共有モデルとAWS Security Hubの関係

AWS側と利用者側の間でセキュリティに対する責任範囲は異なりますが、これはAWSの責任共有モデルにより責任範囲が定義されています。責任共有モデルとは、クラウド事業者とサービス利用者の間で、サービス利用に伴うセキュリティ上の責任範囲を、どこまで設定するかということを定義したモデルです。

例えばオンプレミスでシステムを運用する場合、ユーザーがシステムの保有者と等しいため、責任の範囲は稼働させている企業が100%です。一方でクラウドサービスの場合、サービスを提供しているのはユーザーではなくベンダーであるため、責任の範囲が曖昧になります。そこでAWSではあらかじめ責任共有モデルを定義し、ここまでは当社が責任を負うが、それ以外は自前で担当して欲しいという部分を設定しているわけです。

Security Hubを用いると、利用者側で対応すべきセキュリティ対策を確認、実施することが可能です。

使用しているAWSサービスによってセキュリティの対策方法は異なりますが、全てのサービスを確認してくれますので、これを機に有効化してみては如何でしょうか。

AWS Security Hubで管理できるサービスの種類

Security Hubでは、主に以下のサービスをまとめて管理できることから、高い評価を受けています。

  • Amazon GuardDuty
  • Amazon Inspector
  • IAM Access Analyzer
  • Amazon Macie
  • AWS Firewall Manager

このほか、サードパーティの製品についてもAWSが認可しているものでは、合わせて管理の対象とできます。これを機会に、一度セキュリティ管理体制を見直してみると良いでしょう。

AWS Security Hubの利点

AWS Security Hubの利点

Security Hubの導入は、以下のようなメリットをもたらしてくれるため、積極的に活用することをおすすめします。

利点1. 使用している全AWSサービスのセキュリティを自動でチェックしてくれる

Security Hub では、12時間毎に自動でセキュリティチェックを行いますので、自ら脆弱性を探す手間を削減することができます。手動でのセキュリティチェック負担や、手動であるがゆえのヒューマンエラーを回避可能です。

何からセキュリティ対策をすれば良いか分からない時に、Security Hubを有効化することで対策すべき内容を把握することが出来ます。

利点2. 重要度毎に検出結果を分けて表示する

セキュリティチェックを実行すると、対策すべき内容が出力されます。通常のチェックであれば、対策内容について人力で評価しなければなりませんが、Security Hubでは、重要度毎に分かれて表示されるのが強みです。

重要度は「重要、高、中、低」の4つに分かれており、重要度が高い項目が何なのか一目で把握出来るようになっています。どの内容から対策すべきか困った時は、重要度が高い項目から対応していくと良いでしょう。。

利点3. 不要な項目を無効化、抑制することが可能

チェック項目に出力されたものの、何かしらの理由で現在の環境では対応出来ない項目もあるかも知れません。

その場合、Security Hubに設けられている「コントロールを無効化する」というチェック項目を抑制することで、次回のチェック時に出力されなくなります。出来る限り対応し、セキュリティを向上する必要もありますが、業務や運用等に影響がある場合は、無効化や抑制を実施して対処しましょう。

料金、無料トライアル期間について

料金、無料トライアル期間について

Security Hubを有効化する前に、料金について手短に説明します。Security Hubの料金プランは、従量課金制が採用されています。以下の項目をどれくらい使用したかによって、利用料金は変動するシステムです。セキュリティチェック数:チェックしたリソースの数

検出結果イベント数:出力された検出結果の数

なお、検出結果イベント数については「1アカウント、1リージョン、1か月あたり10,000件」の無料枠があります。セキュリティチェック数は無料枠がないものの、Security Hubを初めて有効化した際には「無料トライアル期間」が与えられ、はじめの30日間は無料で利用可能です。Security Hubの導入当社はこの無料期間中にチェックするリソースの数を減らしていくことが大切です。参照サイト:AWS Security Hub の料金(AWS公式)

Security Hubの有効化、使用方法

Security Hubの有効化、使用方法

Security Hubを有効化するには、まずAWS Configを有効化する必要がございます。

AWS Configは、AWS内に存在している全てのリソースの設定情報を取得、管理するサービスです。AWS Configを有効化するには、Security Hub有効化画面からCloudFormationテンプレートをダウンロードし、CloudFormationよりテンプレート(yml)を用いてスタックを作成します。

AWS Security Hubの有効化
AWS Security Hubスタックの作成

スタックが作成されると、AWS Configが有効化されるので、その後Security Hubを有効化します。Security Hubは「セキュリティ基準」がいくつか用意されており、それを基に結果を検出します。

AWS Security Hubセキュリティ基準

今回は、「AWS 基礎セキュリティのベストプラクティス v1.0.0」のみチェックし、有効化してみます。暫くすると、コンソール画面に検出結果が出力されます。概要画面は、4つの項目に分かれておりますが、その中の1つである「セキュリティチェックで最も失敗が多いリソース」を確認していきます。リソースをクリックすると、重要度やタイトルなどが表示されます。

AWS Security Hub最も失敗が多いリソース

タイトルをクリックすると、詳細情報を確認することができ、改善方法が記載されているリンクに遷移することが出来ます。

AWS Security Hub最も失敗が多いリソース

改善する必要がある場合は、リンクに遷移し対応する。何かしらの理由で対応出来ない場合、左側のチェックボックスにチェックし、ワークフローのステータスを抑制済みにします。

AWS Security Hub最も失敗が多いリソース

なるべく重要度が高い項目から対応し、改善していきましょう。もし、対応出来ない場合は抑制済みにし、チェック項目を減らしていきましょう。

最後に

最後に

今回は、Security Hubについて利点・料金・有効化、設定方法などを併せてご紹介しました。Security Hubの導入によって、世界有数の高度なセキュリティ環境を構築する足がかりが得られます。是非Security Hubを有効化し、AWSクラウド内のセキュリティを一度確認してみてください。

またAWSのセキュリティ対策ではSecurity Hubだけの利用ではなく、潜在的な脆弱性を洗い出すAmazon Inspector やセキュリティの脅威を監視するためのAmazon GuardDuty、IAM Access Analyzerなど他のサービスと組み合わせて総合的に対策していきたい、もしくはしているという企業様も多いと思います。

その場合、AWSのSecurity Hub、Inspector、GuardDuty、IAM Access Analyzerの機能をまとめて管理できるSaaSサービス 「Safing」 の活用がおすすめです。

AWS上のシステムの脆弱性診断をひとつのダッシュボードで管理できるようになるだけでなく、インシデントチケットが自動で起票できたり推奨される対応策が日本語化されたレポートで確認できるため、今まで対応策が英語で確認に時間がかかっていた方にもおすすめです。

本記事を読んで、便利なサービスなども活用しつつ、AWSのセキュリティ強化についてお役に立てれば嬉しいです。

Ops Today編集部
Ops Today編集部
このライターの記事をもっと読む

関連記事

AWS Lambda がアプリケーションシグナルを介して Java および .NET ランタイムのアプリケーションパフォーマンスモニタリング (APM) を追加
ニュース

AWS Lambda がアプリケーションシグナルを介して Java および .NET ランタイムのアプリケーションパフォーマンスモニタリング (APM) を追加

Amazon Connect Contact Lens がメールコンタクトのエージェントパフォーマンス評価を開始
ニュース

Amazon Connect Contact Lens がメールコンタクトのエージェントパフォーマンス評価を開始

Amazon Connect Contact Lens が新しいリアルタイムダッシュボードを発表
ニュース

Amazon Connect Contact Lens が新しいリアルタイムダッシュボードを発表

人気の記事

【Azure導入支援】信頼できる業者の選び方、注意すべき点は?
ノウハウ

[PR] 【Azure導入支援】信頼できる業者の選び方、注意すべき点は?

ノウハウ

[PR] Azure OpenAIでAIツールを構築しよう!導入方法や料金まとめ(利用料6%OFF、お得情報あり)

ノウハウ

[PR] 【事例】ゲーム企業にてAzure利用料が1000万→300万/月!実現方法とは?

最新情報をお届けします!

最新のITトレンドやセキュリティ対策の情報を、メルマガでいち早く受け取りませんか?ぜひご登録ください

メルマガ登録
TOP - ノウハウ - AWS SecurityHubで使用しているAWSクラウド内のセキュリティを確認してみよう!