セキュリティ

AWS Security Hub で一元管理するセキュリティ態勢 - 検出結果の集約と自動対応

GuardDuty・Inspector・Macie の検出結果を ASFF で集約し、セキュリティ標準の自動評価でスコアを定量化する。EventBridge 連携の自動修復も紹介します。

約 1 分で読めます

Security Hub の概要

Security Hub は AWS 環境のセキュリティ検出結果を集約し、セキュリティ態勢を一元管理するサービスです。GuardDuty の脅威検出、Inspector の脆弱性スキャン、Macie の機密データ検出、Config のコンプライアンス評価など、複数のセキュリティサービスの結果を AWS Security Finding Format (ASFF) で統一的に管理します。

セキュリティ標準と自動対応

セキュリティ標準を有効化すると、Config ルールベースの自動チェックが実行されます。AWS Foundational Security Best Practices は AWS が推奨するセキュリティ設定を網羅し、S3 バケットのパブリックアクセス、RDS の暗号化、IAM のパスワードポリシーなどを自動評価します。セキュリティスコアは全チェック項目に対する準拠率をパーセンテージで表示し、改善の進捗を定量的に追跡できます。自動化ルールで特定の検出結果に対してステータスの自動変更や EventBridge 経由の通知を設定できます。

自動修復と統合

Security Hub の自動修復は、検出結果に対してカスタムアクションを定義し、 EventBridge 経由で LambdaSystems Manager Automation を実行します。例えば「パブリックアクセス可能な S3 バケット」の検出結果に対して、自動的にパブリックアクセスブロックを有効化するアクションを設定します。サードパーティのセキュリティツール (Splunk 、 PagerDuty 、 Jira) との統合で、検出結果をインシデント管理ワークフローに自動連携します。 Organizations の委任管理者で全アカウントの検出結果を集約し、セキュリティスコアを組織レベルで追跡します。リージョン集約で複数リージョンの検出結果を 1 つのリージョンに集約し、管理を簡素化します。 セキュリティ管理の理解をさらに深めたい場合はAmazon の専門書も活用できます。

Security Hub の料金

Security Hub の料金はセキュリティチェック数 (Config ルール評価) と検出結果の取り込み数で構成されます。セキュリティチェックは最初の 100,000 チェック/月が 1 チェックあたり約 0.001 ドルです。検出結果の取り込みは最初の 10,000 件/月が無料で、以降は 1 件あたり約 0.00003 ドルです。有効化するセキュリティ標準を必要なものに限定し、全標準を一律に有効化しないことでチェック数を管理します。30 日間の無料トライアルで実際のコストを確認してから本番導入します。

まとめ

Security Hub はセキュリティ検出結果の集約とセキュリティ標準の自動評価を提供するサービスです。AWS Foundational Security Best Practices や CIS Benchmark のチェックでセキュリティスコアを定量化し、EventBridge 連携で自動修復アクションを構築します。リージョン集約で複数リージョンの検出結果を一元管理し、サードパーティ SIEM との統合でインシデント対応を効率化します。

関連するサービス

AWS Security HubAWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービスAmazon GuardDuty機械学習を活用した脅威検出サービスAWS ConfigAWS リソースの構成変更を記録・評価し、コンプライアンスを継続的に監視するサービス

関連する記事

Amazon GuardDuty で実現する脅威検出 - ML ベースの異常検知とインシデント対応GuardDuty による脅威検出の仕組み、検出結果の分類、Security Hub との統合によるインシデント対応を解説します。IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Control Tower でマルチアカウント環境を構築 - ランディングゾーンとガードレールベストプラクティスに基づくマルチアカウント環境を自動構築し、400 以上のガードレールでコンプライアンスを継続的に維持する。Account Factory と Customizations for Control Tower による拡張手法を解説します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

セキュリティポスチャー管理 - AWS Security Hub で実現する統合セキュリティ監視基盤AWS Security Hub による統合セキュリティ監視と、GuardDuty との連携による脅威検知の自動化を解説します。セキュリティベストプラクティスへの準拠状況の可視化とマルチアカウント環境のセキュリティガバナンスを紹介します。AWS Security HubAWS 環境全体のセキュリティ態勢を一元的に可視化し、業界標準のセキュリティ基準に照らした自動評価と検出結果の集約を行うサービスである。AWS セキュリティサービスの統合力 - GuardDuty から Detective まで SIEM 不要のネイティブ脅威検出GuardDuty、Security Hub、Detective、Macie の連携によるネイティブ脅威検出の仕組みを解説し、Azure Sentinel との設計思想の違いを比較します。Amazon GuardDuty で実現する脅威検出 - ML ベースの異常検知とインシデント対応GuardDuty による脅威検出の仕組み、検出結果の分類、Security Hub との統合によるインシデント対応を解説します。