AWS Security Hub のアイコン

AWS Security Hub

AWS 環境全体のセキュリティ状態を一元的に可視化・管理するサービス

約 2 分で読めます

何ができるか

AWS Security Hub は、AWS 環境全体のセキュリティ状態を一元的に集約、整理、優先順位付けするセキュリティ管理サービスです。GuardDuty、Inspector、Macie、Firewall Manager など複数の AWS セキュリティサービスからの検出結果を統合ダッシュボードに集約します。CIS AWS Foundations Benchmark や AWS Foundational Security Best Practices などの業界標準に基づいた自動セキュリティチェックを継続的に実行し、コンプライアンス状況をスコアとして可視化します。

どのような場面で使うか

マルチアカウント環境のセキュリティ状態の一元監視、CIS ベンチマークに基づくコンプライアンス評価、セキュリティアラートの優先順位付けとトリアージ、セキュリティインシデントの自動修復ワークフロー構築、監査レポートの自動生成、サードパーティセキュリティツールとの統合など、組織全体のセキュリティガバナンスに活用されています。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

ビルの総合警備室に例えるとわかりやすいでしょう。各フロアの防犯カメラ、火災報知器、入退室管理システムからの情報が総合警備室のモニターに集約され、警備員が全体の状況を一目で把握できます。Security Hub も同様に、複数のセキュリティサービスからの検出結果を 1 つのダッシュボードに集約し、セキュリティチームが全体像を効率的に把握できるようにします。

Security Hub とは

AWS Security Hub は、2019 年に一般提供が開始された AWS のセキュリティ集約サービスです。クラウド環境が複雑化するにつれ、複数のセキュリティツールからのアラートが分散し、全体像の把握が困難になるという課題がありました。Security Hub はこの課題を解決するために、AWS セキュリティサービスやサードパーティツールからの検出結果を AWS Security Finding Format (ASFF) という標準形式に正規化して集約します。これにより、異なるソースからのアラートを統一的に管理・分析できます。

自動セキュリティチェック

Security Hub は、業界標準のセキュリティベストプラクティスに基づいた自動チェックを継続的に実行します。CIS AWS Foundations Benchmark、AWS Foundational Security Best Practices、PCI DSS など複数のセキュリティ標準に対応しており、各チェック項目の合否がリアルタイムで評価されます。全体のコンプライアンススコアがパーセンテージで表示されるため、セキュリティ改善の進捗を定量的に追跡できます。不合格となった項目には修復手順が提示され、対応の優先順位付けを支援します。

自動修復とワークフロー統合

Security Hub は EventBridge と連携することで、検出結果に基づく自動修復ワークフローを構築できます。たとえば、S3 バケットのパブリックアクセスが検出された場合に Lambda 関数を自動実行してアクセスを遮断する、セキュリティグループの不適切なルールを自動削除するといった対応を自動化できます。また、Jira や ServiceNow などのチケット管理システムと連携し、検出結果を自動的にチケットとして起票することも可能です。これにより、検出から修復までの時間を大幅に短縮できます。

Azure・オンプレミスとの比較

Azure の対応サービス Azure Security Center
オンプレミスでの対応手段 Splunk ES、IBM QRadar SIEM

AWS の優位点

  • GuardDuty、Inspector、Macie など AWS ネイティブのセキュリティサービスからの検出結果を ASFF 形式で自動集約し、異なるソースのアラートを統一的に管理できる
  • CIS Benchmark や PCI DSS など業界標準のセキュリティチェックが組み込まれており、追加のツール導入なしで継続的なコンプライアンス評価を自動実行できる
  • EventBridge との連携により、検出結果に基づく Lambda 関数の自動実行やチケット起票を設定でき、検出から修復までのワークフローを完全に自動化できる

注意点

  • Security Hub を有効化すると対象リージョンの AWS Config ルールが自動作成されるため、Config の料金が追加で発生する点に注意すること
  • マルチアカウント環境では管理アカウントから委任管理者を設定し、組織全体の検出結果を集約する構成を推奨する

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

Amazon Cognito Web やモバイルアプリにユーザー認証・認可機能を簡単に追加できるサービス Amazon Detective セキュリティインシデントの根本原因を迅速に調査・分析できるセキュリティ調査サービス Amazon GuardDuty AWS 環境への脅威を機械学習で自動検知するマネージド脅威検出サービス AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス Amazon Inspector EC2 インスタンスやコンテナイメージの脆弱性を自動的に検出するセキュリティ評価サービス AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie S3 バケット内の機密データを機械学習で自動検出・分類するデータセキュリティサービス AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス