AWS Security Hub で、セキュリティ体制のモニタリングのために、13 のコントロールとパートナー 2 社の利用が可能に

AWS Security Hub は、お客様の Cloud Security Posture Management (CSPM) を強化する目的で Foundational Security Best Practice standard (FSBP) 向けに 13 の新しいコントロールをリリースしました。これらのコントロールは、Amazon CloudFront、Amazon EC2、Amazon OpenSearch、Amazon Relational Database Service (RDS)、Amazon Simple Storage Service (S3)、および AWS Virtual Private Network (VPN) のセキュリティのベストプラクティスに対して完全自動チェックを実行します。Security Hub で新しいコントロールを自動的に有効にするよう設定し、それらが既に AWS Foundational Security ベストプラクティスを使用している場合は、これらのコントロールはデフォルトで有効化されます。これで、Security Hub は、AWS でセキュリティ体制を自動的にチェックするための 175 のセキュリティコントロールをサポートするようになりました。

新しく追加された 13 の FSBP コントロールを以下に示します。

• [OpenSearch.1] OpenSearch ドメインでは、保管中の暗号化を有効にする必要があります
• [OpenSearch.2] OpenSearch ドメインは VPC に含まれている必要があります
• [OpenSearch.3] OpenSearch ドメインは、ノード間で送信されるデータを暗号化する必要があります
• [OpenSearch.4] CloudWatch Logs への OpenSearch ドメインエラーログ記録を有効にする必要があります
• [OpenSearch.5] OpenSearch ドメインは監査ログ記録を有効にしている必要があります
• [OpenSearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です
• [OpenSearch.8] OpenSearch ドメインへの接続は TLS 1.2 で暗号化する必要があります
• [Autoscaling.5] Auto Scaling グループ起動設定を使用して起動された Amazon EC2 インスタンスには、パブリック IP アドレスを含めることはできません
• [CloudFront.7] CloudFront ディストリビューションはカスタム SSL / TLS 証明書を使用する必要があります
• [S3.9] S3 バケットサーバーアクセスログ記録を有効にする必要があります
• [EC2.20] AWS Site-to-Site VPN 接続の両方の VPN トンネルが稼働している必要があります
• [ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングを有効にする必要があります
• [RDS.11] RDS インスタンスで自動バックアップを有効にする必要があります

また、Security Hub は 2 社の統合パートナーも追加し、合計で最大 75 のパートナーをご利用いただけるようになりました。新しい統合パートナーは Sonrai と Fugue です。Sonrai Dig は検出結果を Security Hub に送信し、クラウドの設定ミスとポリシー違反をモニタリングおよび修正して、お客様がセキュリティとコンプライアンス体制を改善できるようにサポートします。 Fugue は、エージェントなしでスケーラブルなクラウドネイティブプラットフォームであり、同じポリシーを使用して Infrastructure as Code とクラウドランタイム環境の継続的な検証を自動化し、それらの検出結果を Security Hub に提供します。

AWS Security Hub はグローバルに利用可能であり、AWS アカウント全体のセキュリティ体制の全体像を把握できるように設計されています。Security Hub により、複数の AWS のサービス (Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Firewall Manager、AWS Systems Manager のパッチマネージャー、AWS Config、AWS Health、AWS IAM Access Analyzer など) および 60 を超える AWS パートナーネットワーク (APN) ソリューションにおけるセキュリティアラートと検出結果を単一の場所に集約、整理、および優先順位付けできるようになりました。また、AWS Foundational Security Best Practices、CIS AWS Foundations Benchmark、Payment Card Industry Data Security Standard などの標準に基づく自動セキュリティチェックを使用して、環境を継続的にモニタリングすることもできます。さらに、Amazon Detective または AWS Systems Manager OpsCenter で検出結果を調査するか、AWS Audit Manager または AWS Chatbot に送信することで、これらの検出結果に対してアクションを実行できます。また、Amazon EventBridge ルールを使用して、チケット、チャット、セキュリティ情報およびイベント管理 (SIEM)、応答および修復ワークフロー、およびインシデント管理ツールに検出結果を送信することもできます。 

AWS マネジメントコンソールを使用すると、ワンクリックで AWS Security Hub の 30 日間の無料トライアルを有効にできます。AWS Security Hub の機能の詳細については、AWS Security Hub のドキュメントを参照してください。また、30 日間の無料トライアルを開始するには、AWS Security Hub の無料トライアルのページを参照してください。