AWS Security Hub を利用したセキュリティ体制の可視化

「Security Onramp Workshop」は、セキュリティの最初の一歩としてお勧めするワークショップです。特に、AWS の利用を始めたばかりの方、セキュリティ初学者の方、実施すべきセキュリティ対策にお悩みの方などを対象としています。もちろん、現状の対策に考慮漏れがないのか確認するためにも有効なため、既にセキュリティ対策に取り組まれている方にも活用いただけます。

本ワークショップでは、セキュリティ対策の中でも、特に実施していただきたい基礎的な項目について、8 つの統制項目にカテゴライズした評価を行います。統制項目の詳細は下表のとおりです。

本ワークショップを体験いただくことで、CSPM としての AWS Security Hub を体験いただけるだけでなく、実際の皆様の環境のセキュリティ体制の可視化やセキュリティ体制を高めることを通じた、プラクティスの学習を行うことができます。本ワークショップを体験いただくメリットをカテゴライズすると、下記の 3 つにわけられます。

1. 最初の一歩として対応いただきたい基礎的なセキュリティ対策について、セキュリティ体制を実際に可視化できる
2. ワークショップを通じて、セキュリティのプラクティスに関する理解を深めることができる
3. 可視化に加え、改善に向けたアクションの具体的な計画ができる

Security Onramp では、Automated Assessment と Manual Assessment という二つの評価方法で皆様の環境のセキュリティ対策状況の可視化を行います。

Automated Assessment は AWS Security Hub を利用した自動的かつ継続的な評価方法です。評価には AWS Security Hub の利用コストがかかります。一方の Manual Assessment は、質問票へ回答する方法で、無料で実施可能です。質問票形式なので、AWS Security Hub では可視化しきれない組織的な内容についてもカバーが可能です。ただし、各質問内容への理解と組織内での調査が必要となります。

準備不要で気軽に可視化を行える Automated Assessment と、組織のセキュリティ対策状況の理解を深めながら可視化ができる Manual Assessment について、皆様の状況に応じて使い分けていただければ幸いです。もちろん、両方実施いただくことで得られることも多いと思います。

上記の画面例は、私の環境で作成したカスタムインサイトによる評価結果です。画面例右側でグラフが表示されており、CRITICAL, HIGH, MEDIUM, LOW などの重大度がどういった割合で検出されているのか把握できます。また、Resource Type の表示から、Amazon S3 サービスに関する問題が多いことがわかります。

このように、直感的に、セキュリティ対策を行うべき箇所を把握することが可能です。また、画面例左側に表示されている重大度のリンクをクリックすることで、具体的な検出結果をひとつひとつ確認することも可能となっています。

Automated Assessment においても、AWS Security Hub の各コントロールのリファレンス には関連するプラクティスや基準が示されているため、検出結果と共になぜその項目がチェックされているのかを確認することが可能となっています。

セキュリティ対策として実施すべき問題が可視化され、その背景にあるプラクティスを理解したところで、その課題に対する対策を実施する必要があります。特に初学者の方にとっては、どのように操作することで問題に対処できるのか、実際に修正が問題なく完了できているのか、不安が付きまとうかもしれません。本ワークショップを通じて検出された結果について、実際に修正してみることを通じて、改善アクションについても理解を深めることが可能です。

AWS Security Hub の各セキュリティチェックでは、そのセキュリティチェックがどのようなことをチェックしているのか、さらに、修正方法としてどのようなことをすべきなのかを記載したリファレンスを提供しています。

例えば こちら は、Amazon S3 バケットがパブリックアクセス可能になっていることを検出するチェックのリファレンスです。初学者の方でもガイドに沿うことで独力で設定変更を行うことが可能です。また、”スケジュールタイプ: 変更がトリガーされた場合” となっているので、設定変更が正しく行えているのか、その結果を AWS Security Hub を利用してニアリアルタイムで把握することも可能になっています。

本ワークショップは、1 時間程度で実施できます。皆様の実際に利用している環境で実施いただくことで、環境のセキュリティ実施状況を実際に可視化、改善することが可能です。さらに、本ワークショップで作成したリソースをそのまま継続的にお使いいただくことで、継続的なセキュリティ体制の可視化を実現できます。

　本ワークショップの Automated Assessment 実施にかかるコストについては、ワークショップ内の ガイダンス に掲載されております。もし詳細なコスト試算がしたい場合には、AWS Pricing Calculator を使うことで試算を行うこともできます。

AWS Security Hub は継続的にご利用いただきたいサービスですので、ワークショップ完了後もぜひ継続的にご利用ください。また、初回利用時には 30 日間の無料トライアルが可能ですので、是非ご活用ください。もし、ワークショップ完了後にクリーンアップを行いたい場合には、リソースの削除に加えて、有効化したサービスの無効化も必ず実施ください。

また、builders.flash の メールメンバーに登録 いただくと毎月抽選で 300 名の方にハンズオンをお試しいただくための無料クーポンを差し上げておりますので、ぜご登録いただいて、当選を狙ってみるのも良いですね !

今回紹介した「Security Onramp Workshop」は、セキュリティチェックとその対策や運用に特化したワークショップとなっています。AWS Security Hub サービスの持つ、検出結果の対応自動化、通知の自動化、検出結果のエンリッチメントなどの各種機能について、さらに理解を深めたい場合、「AWS Security Hub Workshop」をお勧めします。ただし、「AWS Security Hub Workshop」は、AWS の各種イベントにおいて、AWS が用意した環境で実施されることを前提に作成されているため、皆様の環境では一部のモジュールの実施に制限が発生する点に御留意ください。制限はあるものの、AWS Security Hub が提供している数々の機能について十分に体験いただける内容となっておりますのでご安心ください。

また、英語ではあるものの、定期的に AWS Activation Day という無料イベントも開催しておりますので、ぜひご活用ください！

本記事では、AWS Security Hub を使って、ワークショップを通じてセキュリティプラクティスを学べ、さらに、環境のセキュリティ体制を可視化、かつ、可視化したセキュリティ課題の改善計画をたてるためのワークショップである「Security Onramp Workshop」をご紹介いたしました。

セキュリティは難しい、あるいは、終わりのないセキュリティ対策に、面倒さを感じてしまっているという方も少なくないかと思います。しかし、AWS サービスを利用することで、セキュリティの導入と継続を、より簡単に仕組み化することができます。

AWS サービスをご利用いただくことで、セキュリティが、皆様にとって少しでも楽なもの、楽しいものになれば大変嬉しく思います。