Amazon Web Services ブログ

[AWS Black Belt Online Seminar] AWS Security Hub 資料及び QA 公開

先日 (2020/10/13) 開催しました AWS Black Belt Online Seminar「AWS Security Hub」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。

20201013 AWS Black Belt Online Seminar AWS Security Hub

AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます)

Q. Security Hub は AWS における CSPM 機能を保有しているということでしょうか?
A. 一般的な CSPM (Cloud Security Posture Management) ソリューションが有している、セキュリティ監視、コンプライアンスチェック、通知などの機能を AWS Security Hub は有しています。

Q. Detective と Security hub の違い / 使い分けを教えてください。
A. Amazon Detective はセキュリティ検出結果に関する調査や分析を支援するサービスです。AWS Security Hub で集約したセキュリティ検出結果について、根本原因を特定したい時に Amazon Detective を利用するなどの使い方が考えられます。AWS Security Hub 管理画面の検出結果詳細画面から、Amazon Detective 管理画面へシームレスに遷移することが可能です。

Q. セキュリティ管理の IAM ユーザーではなく、アカウントを作成する必要性・メリットはどのようなものになるのでしょうか。IAM ユーザーの作成ではカバーできない範囲、という観点でも伺いたいです。
A. 独立したアカウントを作成するメリットとして通常考えられることは、アカウント毎に設定されたサービス上限までリソースを使用できる、セキュリティ統制やコスト賦課をアカウント単位で扱える、などがあります。加えて、セキュリティインシデントの影響範囲を限定できるメリットがあります。アカウント不正利用などのインシデントでアカウントが凍結する場合でも、一般アカウントとセキュリティ管理用アカウントを分けておけば、お互いに影響を与えることなく済みます。

Q. セキュリティマスターアカウントに求められる要件とは何でしょうか?他のアカウント,例えば監査ログ集約アカウント等と統合することによる不都合などはあるのでしょうか?
A. セキュリティマスターアカウントは、一般アカウントのセキュリティ検出結果という機微な情報を集約して閲覧できるので、組織内で適切な権限を有した役割の主体にのみアクセス許可させるべきと言えます。セキュリティ監視とログ監査は目的が異なるのでそれぞれのアカウントを分けておくことを推奨はしますが、利用者の属する組織や環境においては、両方の目的を兼ねる役割として統合して扱うこともあり得ます。前問の回答にある影響範囲の限定という観点も踏まえてご選択ください。

Q. SecurityHub はリージョン毎のサービスとのことですが、全アカウント+全リージョンの結果をまとめて見ることはできるのでしょうか?
A. AWS Security Hub はリージョンサービスのため、全リージョンの検出結果をまとめてみる機能は現時点ではありません。各リージョン毎に、セキュリティマスターアカウントに全アカウントの検出結果を集約して見ることはできます。

Q. Organizations を使えなくてもご説明にありましたような複数アカウントの管理は可能ですか?
A. 可能です。AWS Organizations は複数の AWSアカウントの管理をしやすくするサービスで、組織単位 (OU) 毎にポリシーの一括適用など AWS アカウント管理する上で便利な機能を有しています。これら AWS Organizations の機能に相当する内容を、手動で一つ一つ行うことで複数アカウントを管理することは可能ですし柔軟な設定もできます。

Q. 全リージョン”に対して Security Hub を有効化せよとのガイドですが、CloudTrail のような一括で全リージョン有効化する機能は無く、手動で全リージョンを一つ一つ有効化するしか方法は無い理解であっていますでしょうか?
A. こちらのAWS Security Hub マルチアカウント用スクリプトによって、マルチリージョンでの自動有効化も可能です。

Q. インサイトでグループ化できる Field は、ASFF のフォーマットに定義された全てのフィールドで可能でしょうか?
A. いいえ、全てではありません。管理画面上で指定できるグループ化条件以外のフィールドも Amazon Security Finding Format (ASFF) で定義されています。

Q. 現在、Config Rules にある AWS マネージドのルールを利用してコンプライアンスチェックを実装しているが、Security Hub の セキュリティ基準(ベストプラクティス + CIS )を有効化した場合は、Config Rules のチェック項目をカバーできるか?
A. 全ての AWS Config Managed Rules の項目が AWS Security Hub のセキュリティ基準に存在している訳ではありません。

Q. カスタムアクションの起動は手動のみでしょうか?
A. AWS Security Hub の検出結果の取込や更新時に Amazon EventBrigde にイベントを送り、自動的にカスタムアクションを起動する方法もあります。こちらのユーザーガイドを参考に、” Security Hub Findings – Imported”というイベントタイプを使用してイベントパターンを記述してください。

Q. 全アカウント+全リージョンで SecurityHub を有効化して異常検知時に SNS 通知したい場合、各リージョン毎に、EventBridge + SNS などの検知機能を構築する必要がありますか?
A. はい、その通りです。

Q. AWS Organizations で、既存のアカウントを後から階層に属させるようなことは可能なのでしょうか?
A. はい、可能です。こちらの AWS Organizations のユーザーガイドも参考になります。

Q. 通知は Slack 以外にも柔軟に設定できるのでしょうか?(Google chat など)
A. Slack 以外にも Amazon Chime や各種パートナー様ソリューションを通知先とする設定は可能です。AWS として公式に確認しているパートナー様ソリューションはこちらにありますのでご参照ください。

今後の AWS Webinar | イベントスケジュール

直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。

AWSome Day Online Conference

「AWSome Day Online」は、AWSの主要サービスや基礎知識を約 2.5 時間という短い時間で、ポイントを押さえて紹介いたします。技術的な面だけではなく、AWS クラウドを学ぶために必要となる知識を身に付けたい方、エンジニアのみならず、営業職、プリセールス職、学生まで幅広い方々におすすめします。

※この回ではAWSエキスパートによる技術的な内容についてチャット形式でのQ&Aを実施します。
※AWS サービスの導入に関するご相談も同時にチャット形式にて対応します。
※2020年は毎月第一水曜日に開催します。

日時:2020 年 11 月 4 日(水) 15:00 – 18:00 終了予定 | 詳細・お申込みについてはこちら≫

【オンラインセミナー(ハンズオン)】スケーラブルウェブサイト構築編

$25クーポン付き!
スケーラブルウェブサイト構築編 は、WordPressを使ったブログサイトの構築を通じて、スケーラブルな Web システム構築を学んでいただけるハンズオンセミナーです。主に取り扱う AWS サービスは Amazon EC2、Amazon RDS、ELB の3つです。また、作って終わりではなく、実際にEC2インスタンス1台を停止させ、その状態でもブログサイトにアクセスできることも確認します。前提となる必須知識はありませんので、スケーラブルな Web アーキテクチャについて学ぶ第一歩としてご活用ください。

※ AWSome Day Online Conference とセットでご視聴いただきますと効果敵です。
※当日はサポート講師が待機し、チャットで皆様の操作をサポートします。

日時:2020 年 11 月 5 日(木) 14:00 – 17:00 終了予定 | 詳細・お申込みについてはこちら≫

AWS Black Belt Online Seminar

11 月のアジェンダを公開しました。またセミナー中は内容に関する疑問点を質問することができます。参加された方だけの特権ですので、ぜひこの機会にご視聴ください。

11 月分の詳細・お申込はこちら≫

  • 11/11(水)18:00-19:00 AWS CodeStar & AWS CodePipeline
  • 11/17(火)12:00-13:00 Amazon QuickSight のBI機能を独自アプリケーションやSaaSに埋め込む
  • 11/18(水)18:00-19:00 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
  • 11/25(水)18:00-19:00 AWS CodeBuild