セキュリティ

セキュリティポスチャー管理 - AWS Security Hub で実現する統合セキュリティ監視基盤

AWS Security Hub による統合セキュリティ監視と、GuardDuty との連携による脅威検知の自動化を解説します。セキュリティベストプラクティスへの準拠状況の可視化とマルチアカウント環境のセキュリティガバナンスを紹介します。

約 3 分で読めます

セキュリティポスチャー管理の重要性と Security Hub

クラウド環境のセキュリティ管理では、複数のセキュリティサービスからの検出結果を統合し、組織全体のセキュリティ状態を包括的に把握することが重要です。AWS Security Hub は、AWS 環境全体のセキュリティアラートとコンプライアンス状況を一元的に集約・管理するサービスです。GuardDutyInspectorMacieFirewall ManagerIAM Access Analyzer など複数の AWS セキュリティサービスの検出結果を AWS Security Finding Format (ASFF) で標準化し、統一されたダッシュボードで可視化します。セキュリティ標準 (AWS Foundational Security Best Practices、CIS AWS Foundations Benchmark、PCI DSS) に基づく自動チェックにより、設定の不備やベストプラクティスからの逸脱を継続的に検出します。

セキュリティ標準と自動コンプライアンスチェック

Security Hub は複数のセキュリティ標準に基づく自動チェックを提供します。AWS Foundational Security Best Practices (FSBP) は AWS が推奨するセキュリティ設定を網羅し、S3 バケットのパブリックアクセス、EBS ボリュームの暗号化、IAM パスワードポリシー、VPC フローログの有効化など数百のチェック項目を自動的に評価します。CIS AWS Foundations Benchmark は Center for Internet Security が策定した業界標準のベンチマークで、AWS 環境のセキュリティ設定を体系的に評価します。各チェック項目にはセキュリティスコアが付与され、組織全体のセキュリティポスチャーを数値で把握できます。AWS Config ルールと連携して、リソースの設定変更をリアルタイムで評価し、非準拠の設定を即座に検出します。以下は AWS CLI で Security Hub のセキュリティスコアを確認する例です。 ```bash aws securityhub get-findings \ --filters '{"ComplianceStatus": [{"Value": "FAILED", "Comparison": "EQUALS"}]}' \ --max-items 10 \ --region ap-northeast-1 ``` カスタムアクションにより、特定の検出結果に対する自動修復ワークフローを構築することも可能です。

GuardDuty との連携による脅威検知の統合

GuardDuty の脅威検知結果は自動的に Security Hub に集約され、他のセキュリティサービスの検出結果と統合して分析できます。 GuardDuty が検出した不正な API 呼び出し、暗号通貨マイニング、 C&C サーバーとの通信などの脅威情報を、 Security Hub のダッシュボードで重大度別に分類し、優先順位を付けて対応できます。 EventBridge との連携により、特定の重大度以上の検出結果を自動的に Lambda 関数にルーティングし、侵害された IAM クレデンシャルの無効化、セキュリティグループの修正、 SNS によるセキュリティチームへの通知などの自動対応を実行します。 Security Hub のインサイト機能により、検出結果のトレンド分析、最も影響を受けているリソースの特定、攻撃パターンの可視化が可能です。サードパーティのセキュリティツール (Splunk 、 PagerDuty 、 Jira) との統合により、既存のインシデント管理ワークフローにセキュリティアラートを組み込むこともできます。 セキュリティ監視入門の全体像を把握するうえで関連書籍 (Amazon)が参考になります。

マルチアカウント環境のセキュリティガバナンス

Security Hub は AWS Organizations と統合し、マルチアカウント環境全体のセキュリティポスチャーを一元管理できます。管理者アカウントから全メンバーアカウントの Security Hub を有効化し、検出結果を集約します。クロスリージョン集約により、複数リージョンの検出結果を単一のリージョンに統合し、グローバルなセキュリティ状況を把握できます。組織全体のセキュリティスコアにより、どのアカウントやリージョンにセキュリティリスクが集中しているかを即座に特定できます。AWS Firewall Manager と連携して、WAF ルール、セキュリティグループ、Network Firewall ポリシーを組織全体に一括適用し、セキュリティベースラインを強制できます。以下は Organizations 統合で Security Hub を全メンバーアカウントに有効化する CLI 例です。 ```bash aws securityhub create-members \ --account-details '[{"AccountId": "111122223333"}, {"AccountId": "444455556666"}]' \ --region ap-northeast-1 aws securityhub update-organization-configuration \ --auto-enable \ --region ap-northeast-1 ``` 定期的なセキュリティレポートの自動生成により、経営層への報告やコンプライアンス監査への対応を効率化します。

Security Hub の料金

セキュリティチェックは最初の 100,000 チェック/月が 1 チェックあたり約 0.001 ドルです。検出結果の取り込みは最初の 10,000 件/月が無料で、以降は 1 件あたり約 0.00003 ドルです。有効化するセキュリティ標準を必要なものに限定し、全標準を一律に有効化しないことでチェック数を管理します。30 日間の無料トライアルで実際のコストを確認してから本番導入します。

まとめ - 統合セキュリティ監視基盤の構築

AWS Security Hub は、AWS 環境全体のセキュリティアラートとコンプライアンス状況を一元管理する統合セキュリティ監視基盤です。複数のセキュリティ標準に基づく自動チェック、GuardDuty との脅威検知統合、EventBridge による自動対応、Organizations によるマルチアカウント管理を組み合わせることで、包括的なセキュリティポスチャー管理を実現します。Microsoft Defender for Cloud と比較して、Security Hub は ASFF による検出結果の標準化、EventBridge を介した柔軟な自動修復ワークフロー、60 以上のパートナー製品との事前構築済み統合において優位性を持ちます。セキュリティスコアによる定量的な評価と継続的な改善サイクルにより、組織全体のセキュリティレベルを向上させます。

関連するサービス

AWS Security HubAWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービスAmazon GuardDuty機械学習を活用した脅威検出サービスAWS ConfigAWS リソースの構成変更を記録・評価し、コンプライアンスを継続的に監視するサービス

関連する記事

セキュリティ調査と脅威分析 - Amazon Detective で実現するインシデント対応の効率化Amazon Detective を活用したセキュリティインシデントの調査と脅威分析の手法を解説します。GuardDuty との連携による検出から調査までのワークフローと、グラフベースの分析による根本原因の特定方法を紹介します。ID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。脆弱性評価と脅威検知 - Amazon Inspector と GuardDuty で実現する継続的セキュリティ監視Amazon Inspector と Amazon GuardDuty を活用した脆弱性評価と脅威検知の設計・運用方法を解説します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

AWS Security Hub で一元管理するセキュリティ態勢 - 検出結果の集約と自動対応GuardDuty・Inspector・Macie の検出結果を ASFF で集約し、セキュリティ標準の自動評価でスコアを定量化する。EventBridge 連携の自動修復も紹介します。AWS Security HubAWS 環境全体のセキュリティ態勢を一元的に可視化し、業界標準のセキュリティ基準に照らした自動評価と検出結果の集約を行うサービスである。AWS セキュリティサービスの統合力 - GuardDuty から Detective まで SIEM 不要のネイティブ脅威検出GuardDuty、Security Hub、Detective、Macie の連携によるネイティブ脅威検出の仕組みを解説し、Azure Sentinel との設計思想の違いを比較します。データプライバシー保護 - Amazon Macie と GuardDuty で実現する機密データの自動検出と脅威防御Amazon Macie による S3 内の機密データ自動検出と、Amazon GuardDuty による脅威インテリジェンスを組み合わせたデータプライバシー保護の実践手法を解説します。個人情報の特定からリアルタイムの脅威検知まで、包括的なセキュリティ対策を紹介します。