目次

AWS Security Hubとは?

AWS Security Hubは、AWSの対象サービスのアラートを一元管理する仕組みを持つサービスです。

複数のサービスで発生したセキュリティアラートの集約や整理、優先順位付けを行い、一つの管理画面でわかりやすく見ることができます。

AWS Security Hubを導入することで、複数のサービスにまたがって届く膨大な数のアラートをひとつひとつ確認して処理する手間を減らすことが期待できます。

AWS Security Hubの仕組み

AWS Security Hubの仕組みは以下の画像がわかりやすいかと思います。

複数のAWSのサービスで検知された優先度の高いセキュリティアラートやコンプライアンスにおける状態を、1つの集約された管理画面でわかりやすく提示してくれます。

[引用元:AWS Security Hub (https://aws.amazon.com/jp/security-hub/)]

AWS Security Hubの一元管理の対象にできるAWSのサービスは以下のとおりです。

  • Amazon GuardDuty
  • Amazon Inspector
  • IAM Access Analyzer
  • Amazon Macie
  • AWS Firewall Manager

また、AWS アカウントやサポートされているサードパーティーパートナー製品も対象となります。

さらに、分析結果をもとに一般的なコンプライアンスに基づいたAWS環境になっているかどうかのチェックもしてくれます。

定期的に必要なモニタリングをより簡単に分かりやすく行うことができる点がうれしいですね。

ただし、AWS Security Hubで統合されたアラートによる自動修復の機能はありませんので、セキュリティ上の問題が発生したときは管理者自身が対応する必要がある点には注意が必要です。

AWS Security Hubの導入メリット

AWS Security Hubを導入することで得られるメリットは主に以下の3つです。

検出された結果を集約された画面で見ることで時間を節約

まずは、複数にわたるサービスで発生したアラートを1つの画面でまとめてみることができる点が挙げられます。それぞれのサービスで発生したアラートをチェックし、それぞれの関連性を調査したうえで優先順位や対処法を決定するには膨大な時間が必要です。

AWS Security Hubの場合、1つの画面でアラートを集約し、それぞれの検出結果の関連付けを行ったうえで優先度の高い検出や推奨される対処法を提示できるのは大幅な工数削減につながります。

また、AWS Security Hubは、標準的なフォーマットを使用してデータを取り込むため、データ変換に工数をかける必要もありません。

コンプライアンスを向上する

AWS Security Hubは、自動化されたチェックでコンプライアンスチェックも可能です。たとえば、Center for Internet Security (CIS) AWS Foundations Benchmark といった、AWSにおける業界標準のベストプラクティスに基づいて注意が必要なアカウントを分析することもできます。

検出結果にすばやく対応する

AWS Security Hubでセキュリティ検出結果を集約し、セキュリティおよびコンプライアンス状況を確認できることで、簡単に検知と問題個所の特定、そして対処法を導き出すことができます。たとえばAmazon CloudWatch Events と統合することで、メールなどで検出結果を送信できます。

それにより、対処の必要があるセキュリティ上の問題が発生してもすぐに担当者が知ることができ、すばやく次の対応が可能になるというわけです。

セキュリティの問題は時間との勝負である場合も多いですので、問題がすぐに判明できるのは大きなメリットです。

AWS Security Hubの導入方法

AWS Security Hubを導入するには、AWSのサインインとAWS Security Hubの有効化が必要です。

いずれも難しい手順はなく、簡単に始めることができるのがポイントです。

なお、30日の無料トライアル期間もありますので、使用感を確認してみたいという方でも気軽に使ってみることができます。

AWS Security Hubの開始方法

AWSにサインインしたら、AWS Security Hubを開始します。AWS Security Hubを開始するには、まずIAM セキュリティユーザーおよびグループなどにアクセス許可を設定する必要があります。

AWS Security Hubの有効化に必要なアクセス許可を設定する

AWS Security Hubを有効化するには、まずIAMユーザー、ロール、またはグループ) に必須のアクセス許可が必要です。

アクセス許可は、以下のポリシーを IAM ユーザー、グループ、またはロールにアタッチします。

ポリシーのアタッチ方法は、こちら(https://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/api-gateway-create-and-attach-iam-policy.html)を参照してください。

{
	"Version": "2012-10-17",
   "Statement": [
    	{
        	"Effect": "Allow",
        	"Action": "securityhub:*",
            "Resource": "*"
    	},
    	{
            "Effect": "Allow",
        	"Action": "iam:CreateServiceLinkedRole",
        	"Resource": "*",
        	"Condition": {
            	"StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
            	}
        	}
    	}
	]
}

[引用元:AWS Security Hub(https://aws.amazon.com/jp/security-hub/)]

AWS Security Hubを有効化する

上で得られたIAMアイデンティティの認証情報を使用して、Security Hubコンソールにサインインし、「開始方法」→「Enable Security Hub (セキュリティハブの有効化)」を選択します。

これで有効化は完了です。

ちなみに、Security HubがCIS AWS Foundations標準のルールに対してコンプライアンスチェックを正常に実行するには、Security Hubが有効なアカウントでAWS Config(https://aws.amazon.com/jp/config/)を有効にする必要がありますので注意してください。

AWS Security Hubの料金は?

Amazon Security Hubは、以下 2種類の料金体系の合算で計算します。
・コンプライアンスチェックの数
・検出結果取り込みイベントの数

アジアパシフィック(東京)の場合は以下の料金体系です。

◆コンプライアンスチェックの数(ひと月当たり)
1リージョン、1アカウント当たり最初の100,000件分のコンプライアンスチェック:1件のチェック当たり0.0010USD
1リージョン、1アカウント当たり次の400,000件分のコンプライアンスチェック:1件のチェック当たり0.0008USD
1リージョン、1アカウント当たり500,000件以上のコンプライアンスチェック:1件のチェック当たり0.0005USD

◆検出結果取り込みイベントの数(ひと月当たり)
1リージョン、1アカウント当たり最初の10,000件の検出結果取り込みイベント:無料
1リージョン、1アカウント当たり10,000件以上の検出結果取り込みイベント:1件のイベント当たり0.00003USD

※AWS Security Hubには無料期間もあります。無料期間は30日で、この期間で料金が発生することなく検証することが可能です。

なお、無料期間中は想定料金がコンソール上に表示されるので、実際にいくらの費用が発生するのか知りたい場合にも便利ですね。

まとめ

AWS Security Hubは統合されたアラート管理画面で、セキュリティ上の問題やコンプライアンスチェックができるサービスです。

複数のサービスで発生したアラートをそれぞれ分析して整理し、関連付けることができるので、それぞれのサービスを別々の管理コンソールでチェックし分析する場合に比べて大幅な工数削減ができます。

また、それぞれのサービスで発生したことが何かをいち早く突き止めることができ、対応にあたる初動をより速くすることが期待できます。

実際の使用感や想定コストを知りたい方は、30日間の無料期間を活用しましょう。