AWS Security Hub で一元管理するセキュリティ態勢 - 検出結果の集約と自動対応
GuardDuty・Inspector・Macie の検出結果を ASFF で集約し、セキュリティ標準の自動評価でスコアを定量化する。EventBridge 連携の自動修復も紹介します。
Security Hub の概要
Security Hub は AWS 環境のセキュリティ検出結果を集約し、セキュリティ態勢を一元管理するサービスです。GuardDuty の脅威検出、Inspector の脆弱性スキャン、Macie の機密データ検出、Config のコンプライアンス評価など、複数のセキュリティサービスの結果を AWS Security Finding Format (ASFF) で統一的に管理します。ASFF は約 50 のフィールドで検出結果を構造化する JSON 形式であり、サービスごとに異なるアラート形式を正規化することで、優先度付け・フィルタリング・トレンド分析を横断的に実行できます。
セキュリティ標準と自動対応
セキュリティ標準を有効化すると、Config ルールベースの自動チェックが実行されます。AWS Foundational Security Best Practices (FSBP) は AWS が推奨するセキュリティ設定を網羅し、S3 バケットのパブリックアクセス、RDS の暗号化、IAM のパスワードポリシー、CloudTrail の有効化状態などを自動評価します。CIS AWS Foundations Benchmark v1.4.0/v3.0.0 や NIST 800-53 Rev.5、PCI DSS v3.2.1 も選択可能で、コンプライアンス要件に合わせて複数の標準を並行稼働できます。セキュリティスコアは全チェック項目に対する準拠率をパーセンテージで表示し、改善の進捗を定量的に追跡できます。自動化ルールで特定の検出結果に対してステータスの自動変更、重要度の上書き、EventBridge 経由の通知を設定でき、ノイズの多い低リスク検出結果を自動的に SUPPRESSED に遷移させることも可能です。
自動修復と統合
Security Hub の自動修復は、検出結果に対してカスタムアクションを定義し、EventBridge 経由で Lambda や Systems Manager Automation を実行します。例えば「パブリックアクセス可能な S3 バケット」の検出結果に対して、自動的にパブリックアクセスブロックを有効化するアクションを設定します。AWS は Automated Security Response on AWS (ASR) ソリューションとしてテンプレートを公開しており、CIS/FSBP の主要コントロールに対応した修復 Runbook を CloudFormation 一発でデプロイできます。サードパーティのセキュリティツール (Splunk、PagerDuty、Jira) との統合で、検出結果をインシデント管理ワークフローに自動連携します。Organizations の委任管理者で全アカウントの検出結果を集約し、セキュリティスコアを組織レベルで追跡します。リージョン集約で複数リージョンの検出結果を 1 つのリージョンに集約し、管理を簡素化します。 セキュリティ管理の理解をさらに深めたい場合はAmazon の専門書も活用できます。
設計のベストプラクティスと落とし穴
Security Hub を効果的に運用するには、まず委任管理者アカウントを組織のセキュリティ専用アカウントに設定し、メンバーアカウントの自動有効化を ON にします。新規アカウント作成時に手動で有効化する運用では漏れが発生するためです。セキュリティ標準は FSBP を基本とし、規制要件がある場合のみ CIS や PCI DSS を追加する構成が管理負荷とコストのバランスに優れます。全標準を一律に有効化すると重複するコントロールが存在し、同一リソースに複数の FAILED が表示されて優先順位の判断を妨げます。検出結果のワークフローステータス (NEW/NOTIFIED/RESOLVED/SUPPRESSED) を組織内で統一運用し、SLA を定義することで「見て終わり」の形骸化を防ぎます。よくある落とし穴として、Config レコーダーが無効なリージョンではチェックが走らずスコアが 100% に見える偽陽性があります。全リージョンで Config を有効化するか、使用しないリージョンは SCP でリソース作成を禁止する設計が必要です。
他サービスとの比較
Security Hub は検出結果の集約と態勢管理に特化しており、GuardDuty (脅威検出)、Inspector (脆弱性管理)、Config (構成コンプライアンス) とは補完関係にあります。GuardDuty は VPC Flow Logs/DNS ログ/CloudTrail をリアルタイム分析して異常を検出しますが、態勢スコアリングは行いません。Config は個々のリソースの構成変更を追跡し、ルール違反を検出しますが、複数サービスの検出結果を横断集約する機能はありません。Security Hub はこれらの検出結果を ASFF に正規化して集約し、組織全体のスコアリングとワークフロー管理を提供する「中央司令塔」の役割を果たします。サードパーティの CSPM (Cloud Security Posture Management) ツールと比較すると、Security Hub は AWS ネイティブであるため追加エージェント不要、AWS サービスとの統合が深い、料金がイベント量ベースで少額から開始できるという利点がある一方、マルチクラウド対応や独自のポリシー言語による高度なカスタムルール作成には制約があります。
Security Hub の料金
Security Hub の料金はセキュリティチェック数 (Config ルール評価) と検出結果の取り込み数で構成されます。セキュリティチェックは最初の 100,000 チェック/月が 1 チェックあたり約 0.001 ドル、以降はボリュームディスカウントが適用されます。検出結果の取り込みは最初の 10,000 件/月が無料で、以降は 1 件あたり約 0.00003 ドルです。コスト管理の実践的なポイントとして、有効化するセキュリティ標準を必要なものに限定すること、Config ルール評価は Security Hub チェックとは別に Config 側でも課金が発生するため二重計上に注意すること、不要なリージョンでは Security Hub を無効化することが重要です。30 日間の無料トライアルで実際のコストを確認してから本番導入します。Organizations 全アカウントで FSBP のみを有効化した場合、アカウントあたり月額数ドル程度に収まるケースが一般的です。
まとめ
Security Hub はセキュリティ検出結果の集約とセキュリティ標準の自動評価を提供する中央管理サービスです。AWS Foundational Security Best Practices や CIS Benchmark のチェックでセキュリティスコアを定量化し、EventBridge 連携の自動修復アクションと ASR ソリューションで運用負荷を削減します。リージョン集約と Organizations 連携で複数アカウント・複数リージョンの検出結果を一元管理し、サードパーティ SIEM との統合でインシデント対応を効率化します。