AWS IoT Device Defender と AWS Security Hub を直接統合し、セキュリティ体制を強化する

この記事は Ryan Dsouza と Joseph Choi と Emir Ayar によって投稿された Improve your security posture with AWS IoT Device Defender direct integration with AWS Security Hub を翻訳したものです。

はじめに

AWS IoT Device Defender が AWS Security Hub と統合されたことを発表できることを嬉しく思います。この統合により、独自の実装なしで、監査および検出機能からアラームとその属性を一元的に取り込むことができます。これにより、AWS IoT Device Defender によって監視されているデバイスを調査するときに、複数のセキュリティコンソールから異なるワークフローを管理する手間を回避または軽減できます。

AWS IoT Device Defender では IoT デバイスを監査および監視できます。また、AWS Security Hub を使用すると、すべての AWS アカウント、サービス、およびサポート対象のサードパーティパートナーからのセキュリティ結果を一元化して優先順位を付け、セキュリティ傾向の分析や最優先のセキュリティ問題の特定に役立てることができます。AWS IoT Device Defender を AWS Security Hub に直接統合することで、AWS IoT Device Defender のアラームを他の AWS セキュリティサービスからのイベントと一緒に表示して、IoT ソリューションのセキュリティ体制を一元的に確認して改善することができます。

AWS Security Hubは、Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Firewall Manager、AWS Identity and Access Management (IAM) Access Analyzer 、 AWS Systems Manager Patch Manager など、複数の AWS サービスからの結果を取り込みます。AWS IoT Device Defender を AWS Security Hub に統合することで、AWS IoT Device Defender のアラームを AWS Security Hubに取り込むことができます。各サービスの調査結果は AWS Security Finding Format (ASFF) に標準化されるため、結果を標準化された形式で確認して迅速に対処することができます。AWS Security Hub を使用すると、セキュリティに関連するすべての結果を一元的に表示でき、アラートや自動修復を設定できます。

ソリューション概要

前提条件

ソリューションウォークスルー

AWS Security Hub の統合により、複数の AWS サービスおよびサポートされている AWS パートナーネットワーク (APN) セキュリティソリューションからのセキュリティ検出データを集約できます。AWS Security Hub コンソールの統合ページでは、利用可能な AWS およびサードパーティ製品のすべてにアクセスできます。AWS Security Hub API には、統合的に管理するためのオペレーションも用意されています。

図 2: AWS IoT Device Defenderの統合を示す AWS Security Hub コンソール

AWS Security Hub > 統合ページに移動して、ユースケースに関連する AWS IoT Device Defender サービスからの結果を確認して承認してください。

おめでとうございます！これで、AWS IoT Device Defender による監査結果と検出結果を AWS Security Hubに受け入れることが可能になりました。続けて以下のテストセクションに進み、AWS アカウントで統合をテストできます。

AWS IoT Device Defender の監査結果を AWS Security Hub と統合を試す

AWS IoT Device Defender の監査では、アカウントとデバイスに関連する設定とポリシーを調べて、セキュリティ対策が講じられていることを確認します。監査結果を試してみるには、過度に権限の広いデバイスポリシーを作成し、その監査をオンデマンドで実行して、結果をすぐに生成できるようにする方法があります。

これで、AWS アカウントで権限が広めのデバイスポリシーが作成されました。次回 AWS IoT Device Defender 監査を実行したときに、重要度が重大のセキュリティ結果として検出されます。オンデマンド監査を実行して、結果をすぐに確認できます。

監査が開始され、数分以内に「進行中」から「非準拠」に変わります。最新の監査を選択し、監査レポートページの[非準拠のチェック]セクションを確認してください。

図 3: AWS IoT Device Defender 監査レポート

直近で作成した権限が広めの IoT ポリシーは、AWS IoT Device Defender 監査によって検出されます。これで、AWS Security Hub コンソールに移動して、AWS IoT Device Defender 監査によって報告された結果を確認できるようになりました。

1. [AWS Security Hub] > [統合]ページに移動します。
2. [統合] セクションで、フィルター処理するために、「Device Defender」と入力します。
3. [AWS IoT Device Defender – Audit]で、 [結果を参照]を選択します。

図 4: AWS Security Hub での AWS IoT Device Defender の監査結果

おめでとうございます！AWS Security Hub を AWS IoT Device Defender の監査結果と統合しました。AWS Security Hub での調査結果は、タイトルとしての監査チェックタイプとチェックされたリソース識別子によって識別されます。この例では、「AwsIotPolicy」と「AwsIotAccountSettings」が非準拠のリソースタイプであることがわかります。また、監査は AWS Security Hub にチェックの概要を送信します。これには、ステータス、チェックされたリソースの数、各チェックタイプの監査タスクに関する非準拠率が含まれます。概要は、そのタイトルまたはリソースタイプ「AwsIotAuditTask」で識別できます。各結果をクリックして、結果の詳細を確認し、ワークフローアクションを実行できます。

図 5: AWS Security Hub での AWS IoT Device Defender 監査結果の詳細

次のセクションに進んで、検出結果を実験することもできます。

AWS IoT Device Defender Detect の検出結果と AWS Security Hub との統合の実験

AWS IoT Device Defender Detect を使用すると、デバイスの動作を監視することで、侵害されたデバイスを示す可能性のある異常な動作を特定できます。予想されるデバイスの動作の定義を含むセキュリティプロファイルを作成し、それらをデバイスのグループまたはフリート内のすべてのデバイスに割り当てます。検出結果を実験するには、予想される単純な AWS IoT Core モノの動作でセキュリティプロファイルを作成し、予想される動作と競合する IoT デバイスクライアントを使用して接続します。

これは、予想されるメッセージサイズが 8 バイト未満であるというデバイスの動作を定義します。

次に、 AWS IoT device client/SDKs または AWS IoT Core コンソールの MQTT テストクライアントで IoT デバイスを使用して、平均で 8 バイトを超えるメッセージを発行します。

5 分以内に、AWS IoT Device Defender 検出結果が生成されます。[AWS IoT] > [セキュリティ] > [検出] > [アラーム]に移動し、[すべてのアラーム]で生成された結果を表示します。

これで、AWS Security Hub コンソールに移動して、AWS IoT Device Defender Detect によって報告された結果を表示できるようになりました。

図 6: AWS Security Hub での AWS IoT Device Defender Detect の結果

おめでとうございます！AWS Security Hub を AWS IoT Device Defender Detect の検出結果と統合しました。違反の検出結果がほぼリアルタイムで AWS Security Hub に送信されることがわかります。違反は、タイトル内のモノの名前と振る舞いの名前、および違反が検出された時間によって識別できます。違反のアラームが解除されると、対応する Security Hub の検出結果がすぐにアーカイブされます。各結果をクリックして、結果の詳細を確認し、ワークフローアクションを実行できます。

図 7: AWS Security HubにてAWS IoT Device Defender Detect の詳細を表示

AWS IoT Device Defender ML Detect を使用して、通常のデバイスの動作を設定することもできます。その後、AWS IoT Device Defender は機械学習 (ML) モデルを使用して異常を識別し、アラームを起動します。これらのアラームは AWS Security Hub に送信され、前述のように AWS Security Hub コンソールで確認できます。

結論

この投稿では、 AWS IoT Device Defender をセットアップして監査を送信し、検出結果を AWS Security Hub に送信して、クラウドとエッジで実行されているサービス全体のセキュリティ検出結果を一元的に表示する方法を学びました。セキュリティイベントを AWS に取り込むことで、アラームを優先順位づけし、IoT とクラウドのセキュリティ体制に関するより深い洞察と状況認識を得ることができます。このソリューションは、 Amazon EventBridge、AWS Lambda、Amazon DynamoDB などの追加の AWS サービスを使用して拡張し、複数の AWS セキュリティサービスからの AWS Security Hub の結果を関連付けることができます。詳細については、AWS Security Hub および Amazon EventBridge と関連するセキュリティの調査結果をご確認ください。参照可能なソリューションのライブ デモについては、このビデオをご覧ください。

著者

Ryan Dsouza は 、AWS の IoT のプリンシパルソリューションアーキテクトです。ニューヨーク市を拠点とする Ryan は、測定可能なビジネス成果を提供するために、AWS の機能の広さと深さを使用して、より安全でスケーラブルで革新的なソリューションを顧客が設計、開発、運用するのを支援しています。Ryan は、デジタルプラットフォーム、スマートマニュファクチャリング、エネルギー管理、ビルおよび産業用オートメーション、OT/IIoT セキュリティにおいて、さまざまな業界で 25 年以上の経験があります。AWS の前は、Ryan は Accenture、SIEMENS、General Electric、IBM、および AECOM で働き、デジタル変革イニシアチブのために顧客にサービスを提供していました。
Joseph Choi は、AWS IoT の技術担当シニア プロダクトマネージャーです。彼は、デバイスメーカー、自動車メーカー、IoT プロバイダーがデバイスを監視して保護するのに役立つサービスの構築に注力しています。
Emir Ayar は、AWS Prototyping チームの Tech Lead Solutions Architect です。彼は、顧客が IoT、エッジでの ML、およびインダストリー 4.0 ソリューションを構築し、アーキテクチャのベストプラクティスを実装するのを支援することを専門としています。彼はルクセンブルグに住んでいて、シンセサイザーの演奏を楽しんでいます。

この記事はソリューションアーキテクトの服部が翻訳しました。