全般

Q: AWS Security Hub とは何ですか?
AWS Security Hub は、AWS 内のセキュリティの状態と、セキュリティ業界の標準およびベストプラクティスに準拠しているかどうかを、包括的に把握できるようにします。Security Hub は、セキュリティの傾向を分析し、最も重要なセキュリティの問題を識別するために、AWS のアカウント、サービス、サポート対象のサードパーティーパートナーの全体にわたってセキュリティおよびコンプライアンス検出結果を一元化し、優先順位を設定します。

Q: AWS Security Hub の主な利点は何ですか?
AWS Security Hub により、AWS のアカウントとワークロードのセキュリティとコンプライアンスを容易に管理、改善できるようになり、労力が軽減されます。AWS Security Hub は、特定のリージョン内で数分のうちに有効化され、そのサービスは、毎日のように発生するセキュリティとコンプライアンスに関する重要な疑問を解決する助けになります。主な利点は次のとおりです。

検出結果の一元化および標準化によって時間を節約 - Security Hub はお使いの AWS アカウントで有効になっているセキュリティサービスから検出結果を収集します。これには、 Amazon GuardDuty による侵入検知の結果、 Amazon Inspector による脆弱性スキャン、 Amazon Macie による機密データの識別結果などが含まれます。Security Hub は、標準化された AWS Security Finding Format を使用してパートナーのセキュリティ製品からの検出結果を収集するため、時間のかかるデータ解析と正規化の作業が不要になります。お客様は、アカウント全体にわたってすべての検出結果を確認できるマスターアカウントを指定できます。
チェックの自動化によってコンプライアンスを向上 - Security Hub は、サポート対象の業界のベストプラクティスおよび標準 ( CIS AWS Foundations Benchmark など) に含まれるルールと比較して、継続的で自動化されたアカウントレベルおよびリソースレベルの設定チェックを実行することで、独自の結果を生成します。
結果に対してすばやく対応 - Security Hub は、結果を事前構築済みのダッシュボードに集約します。ダッシュボードには、実際の環境について、その時点のセキュリティとコンプライアンスの状態と傾向を示す棒グラフ、折れ線グラフ、表が表示されます。潜在的な問題を容易に特定し、必要な次の手を打てるようになりました。たとえば、 Amazon CloudWatch Events との統合を利用し、チケット発行、チャット、メール、自動修復システムに結果を送信することができます。

Q: AWS Security Hub を使用するには、どれくらいの費用がかかりますか?
Security Hub には 2 つの料金ディメンションがあります。アカウント/リージョン/月あたりのコンプライアンスチェックの数とアカウント/リージョン/月あたりの検出結果取り込みイベントの数です。最初の 10 万回のチェックでは、料金はアカウント/リージョン/月あたりのコンプライアンスチェックごとに 0.001 USD です。次の 40 万回のチェックでは、チェックごとに 0.0008 USD です。50 万回以上のチェックでは、チェックごとに 0.0005 USD になります。アカウント/リージョン/月あたりの検出結果取り込みイベントを 1 万回利用できる永久無料利用枠が用意されています。アカウント/リージョン/月あたりの検出結果取り込みイベントで最初の 1 万回を超える料金は、0.00003 USD です。Security Hub のコンプライアンスチェックによって生成された検出結果取り込みイベントに対して、お客様にお支払いいただくことはありません。すべてのアカウントとリージョンでは 30 日間の無料トライアルを用意しています。最新の料金情報については、AWS Security Hub の料金ページをご覧ください。

Security Hub を使用するアカウントでは、AWS Config が有効になっている必要があることにご注意ください。AWS Security Hub のコンプライアンスチェックでは、AWS Config によって記録された設定項目が使用されます。まだ AWS Config を使用していない場合は、記録された設定項目あたりの価格に関する最新情報について、Config の料金ページを参照してください。Security Hub コンプライアンスチェックによって有効になった AWS Config ルールに対する追加料金はありません。

Q: AWS Security Hub は、リージョン別サービスですか、グローバルのサービスですか?
AWS Security Hub はリージョン別サービスです。このため、分析されたすべての結果データがリージョンに基づいており、AWS リージョンの境界を超えないことを保証します。リージョンの検出結果を表示するには、各リージョンで Security Hub を有効にする必要があります。

Q: AWS Security Hub はどのリージョンをサポートしていますか?
AWS Security Hub のリージョン別の提供状況は、製品およびサービス一覧 (リージョン別) を参照してください

Q: どのパートナーが AWS Security Hub と連携していますか?
標準化された検出結果形式をサポートしていて、AWS Security Hub と統合されているテクノロジーパートナーは多数あります。「AWS Security Hub のパートナー」を参照してください。

AWS Security Hub の開始方法

Q: AWS Security Hub を有効にするには、どうすれば良いですか?
初めて Security Hub コンソールを開いたときに [開始] を選択し、次に [有効にする] を選択します。AWS Security Hub は、サービスがリンクされたロールを使用します。結果を検出して集約するため、そしてコンプライアンスチェックの実行に必要な前提条件となる AWS Config インフラストラクチャを設定するために、このロールには Security Hub が必要とするアクセス許可と信頼ポリシーが含まれています。Security Hub がアカウントでコンプライアンスチェックを実行するためには、そのアカウントで AWS Config が有効になっている必要があります。

Q: AWS Security Hub は、複数の AWS アカウントにわたるセキュリティの管理に役立ちますか?
はい、Security Hub 内で複数アカウントの階層を設定するか、Amazon GuardDuty のようなサービスから既存の階層をインポートすることで、1 つのリージョン内の複数のアカウントを管理できます。

Q: 検出結果とは何ですか?
検出結果は、潜在的なセキュリティの問題です。Security Hub は、AWS およびサードパーティーのサービスから、セキュリティアラート、つまり検出結果を集約し、正規化して、優先順位を設定します。また、継続的で自動化された設定チェックの実行結果として、独自の検出結果を生成します。検出結果の取り込みイベントは、新しい検出結果が Security Hub に取り込まれたとき、または検出結果の更新が Security Hub に取り込まれたときに発生します。

Q: インサイトとは何ですか?
インサイトは、関連する検出結果の集まりです。Security Hub には、お客様固有の環境に合わせてさらに調整できるフィルターを使用した、管理型のインサイトが用意されています。たとえば、インサイトは重要な脆弱性に対するセキュリティパッチの欠けた EC2 インスタンスの特定や、パブリックの読み書き許可を持つ S3 バケットの特定に役立ちます。管理型のカスタム Security Hub インサイトは、AWS 環境におけるセキュリティの問題を追跡する助けとなります。

Q: コンプライアンス標準とコントロール、コンプライアンスチェックとは何ですか?
コンプライアンス標準は、規制フレームワークや業界のベストプラクティスに基づいたコントロールの集まりです。Security Hub は、コントロールに対する自動コンプライアンスチェックを行います。各コンプライアンスチェックは、単一のリソースに対するルールの評価で構成されています。単一のコントロールが複数のリソース (IAM ユーザーなど) を含み、各リソースに対してコンプライアンスチェックが実行されます。たとえば、Security Hub は 43 のコントロールで構成される CIS AWS Foundations Benchmark 標準をサポートしています。Security Hub が有効になると、各コントロールとそのコントロールに関する各関連リソースに対して、継続的かつ自動化されたコンプライアンスチェックをすぐに実行します。

Q: AWS Security Hub で分析されるのは、どのような検出ソースですか?
AWS Security Hub では、Amazon GuardDuty、Amazon Inspector、Amazon Macie などの AWS サービスからセキュリティアラート、つまり検出結果が分析されます。このほか、Security Hub と統合されていて、標準化された検出結果形式をサポートしている AWS Security Hub のパートナーソリューションの一覧もご参照ください。

AWS Security Hub での作業

Q: AWS Security Hub でどれが最も重要なセキュリティの問題であるか、どうしたら確認できますか?
最も重要なセキュリティの問題を確認する方法は複数あります。Security Hub ダッシュボードには、最も多くの検出結果を含んでいるリソース、時間の経過とともに大量のセキュリティ検出結果が変化する様、最も多くの検出結果を生成しているインサイトが表示されます。インサイトのページに移動し、マネージドインサイトを使用して、優先度の高い問題を特定することができます。固有のカスタムインサイトを作成することもできます。

Q: セキュリティのベストプラクティスまたはコンプライアンス標準を基準にしてどのように測定するか、Security Hub で指示を受けることはできますか?
はい。Security Hub では、コンプライアンス標準に対してどのようにセキュリティを実践しているかを示すスコアが作成されます。このスコアは、Security Hub のメインダッシュボードに表示されます。クリックを繰り返してコンプライアンス標準を表示すると、注意を要する制御のまとめが表示されます。Security Hub には、その制御がどのように評価されたか、そして問題を緩和する方法に関する参考情報としてのベストプラクティスが表示されます。

Q: コンプライアンス標準で 100% のスコアを得た場合、そのコンプライアンス標準の監査に合格できるという意味ですか?
いいえ。Security Hub は、自動コンプライアンスチェックに重点を置いています。ほとんどのコンプライアンス標準には、自動化された方法では確認できないさまざまなコントロールがあります。しかし、これらは Security Hub の範囲外です。Security Hub のコンプライアンスチェックは監査の準備に役立ちます。しかし、コンプライアンス標準に関する監査に合格することを意味するものではありません。

Q: Security Hub で、どうすれば最も必要としているセキュリティデータに優先順位を設定できますか?
Security Hub では、優先順位付けに役立つよう、インサイトとコンプライアンス標準という 2 つのメカニズムが使用されています。インサイトは、グループ化または相互の関連付けが行われた検出結果で、より優先順位の高い検出結果をより迅速に識別する助けになります。インサイトの例として、「マルウェアに感染したおそれがある EC2 インスタンスをすべて表示する」や、「EC2 インスタンスでデータ漏洩の可能性があるケースをすべて表示する」が挙げられます。
コンプライアンス標準は、規制要件またはベストプラクティスに基づいている一連のコントロールです。AWS には、標準内のコントロールに対応する、特定の定義済みのコンプライアンスチェックが用意されています。サポートされている Security Hub 標準の例は、CIS AWS Foundations Benchmark です。

Q: Security Hub は、既存のセキュリティ運用や修正プロセスとどのように統合できますか?
Security Hub は、CloudWatch Events を介した検出結果のエクスポートを有効にすることで、ワークフローオプションをサポートしています。CloudWatch のイベントを使用して、Slack などのチャットシステム、Lambda やパートナーのセキュリティ連携ツールによる自動化された修復パイプライン、SIEM、ServiceNow などのチケット発行システムとの統合をセットアップすることができます。

Q: Security Hub は、Amazon GuardDuty、Amazon Inspector、Amazon Macie などの他のセキュリティサービスのコンソールに代わるものですか?
いいえ。Security Hub は AWS が提供するセキュリティサービスに追加される補完的なものです。実際には、追加のコンテキストが得られるように、Security Hub に他のコンソールに戻るリンクが設けられます。Security Hub では、各セキュリティサービス内で提供される設定、構成、特殊な機能は再現されません。

Q: CIS AWS Foundations Benchmark QuickStart をデプロイしましたが、Security Hub CIS コンプライアンス標準がチェックに失敗したと表示されます。なぜですか?
QuickStart ソリューションは、チェック 1.1、2.1 から 2.7、および 3.1 から 3.14 を取り扱うコントロールを強化する、一部の単一アカウントおよび単一リージョンのテンプレートとして設計されています。QuickStart には、単一のリージョンでのみ証跡をデプロイする前提条件のテンプレートが含まれています。CIS チェック 1.1、2.1 から 2.5、2.7、および 3.1 から 3.14 はマルチリージョンの証跡を必要とするため、Security Hub CIS コンプライアンス標準ではこれらのチェックが失敗します。[CIS QuickStart ソリューションは、1.1、2.1 から 2.7、および 3.1 から 3.14 のチェックに対してのみコントロール強化を実装しています。残りのチェックは CIS QuickStart では取り扱っていません] さらに、QuickStart の「モニタリング」チェック 3.2、3.4、3.5、および 3.8 から 3.14 は、CloudWatch メトリクスフィルターの代わりに CloudWatch イベントを使用して実装されているため、Security Hub CIS コンプライアンス標準ではこれらのチェックが失敗します。

Product-Page_Standard-Icons_01_Product-Features_SqInk
製品別料金の詳細を確認する

料金の例と無料トライアルの詳細を確認する

詳細 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Product-Page_Standard-Icons_03_Start-Building_SqInk
コンソールで構築を開始する

AWS コンソールで AWS Security Hub の使用を開始します。

サインイン