AWS Security Hub のアイコン

AWS Security Hub

AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス

約 1 分で読めます

何ができるか

AWS Security Hub は、GuardDuty、Inspector、Macie、Firewall Manager などのセキュリティサービスの検出結果を一元的に集約し、AWS 環境全体のセキュリティ状態を可視化するサービスです。CIS AWS Foundations Benchmark や AWS Foundational Security Best Practices などのセキュリティ標準に対する自動チェックを実行します。

どのような場面で使うか

マルチアカウント環境のセキュリティ状態の一元監視、コンプライアンス準拠状況の自動チェック、セキュリティ検出結果の優先度付けとトリアージ、SIEM との統合によるセキュリティ運用の効率化に利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

ビルの総合警備室に例えられます。各フロア (AWS サービス) の防犯カメラやセンサー (セキュリティサービス) からのアラートを 1 つの画面に集約し、ビル全体のセキュリティ状態を監視します。定期巡回 (自動チェック) で防火扉の施錠忘れ (設定不備) も検出します。

Security Hub とは

AWS Security Hub は、セキュリティの「司令塔」となるサービスです。有効化すると、AWS Config ルールに基づくセキュリティチェックが自動実行され、S3 バケットのパブリックアクセス、暗号化されていない EBS ボリューム、MFA が無効な IAM ユーザーなどの問題を検出します。検出結果は重要度 (Critical、High、Medium、Low) で分類されます。

セキュリティ標準と統合

Security Hub は複数のセキュリティ標準を提供しています。AWS Foundational Security Best Practices は AWS 固有のベストプラクティス、CIS AWS Foundations Benchmark は業界標準のセキュリティ基準です。GuardDuty、Inspector、Macie などの検出結果は ASFF (AWS Security Finding Format) で統一され、EventBridge 経由で自動修復アクションを実行できます。

はじめかた

Security Hub コンソールで「Security Hub を有効にする」をクリックし、適用するセキュリティ標準を選択します。AWS Config が有効であることが前提条件です。Organizations との統合で、組織内の全アカウントに一括で有効化できます。30 日間の無料トライアルが提供されます。

注意点

  • Security Hub の利用には AWS Config の有効化が前提条件。Config の記録料金が別途発生する
  • セキュリティチェック数と検出結果の取り込み数に応じた従量課金

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS CloudHSM のアイコン AWS CloudHSM 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Cognito のアイコン Amazon Cognito Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス Amazon Detective のアイコン Amazon Detective セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Directory Service のアイコン AWS Directory Service AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス Amazon Security Lake のアイコン Amazon Security Lake セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Shield のアイコン AWS Shield DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス