全般

Q: AWS Security Hub とは何ですか?
AWS Security Hub は、AWS 内のセキュリティの状態と、セキュリティ標準およびベストプラクティスに準拠しているかどうかを、包括的に把握できるようにします。Security Hub は、AWS のアカウント、サービス、サポート対象のサードパーティーパートナーの全体にわたってセキュリティの検出結果を一元化および優先順位を設定することで、セキュリティの傾向を分析し、最も重要なセキュリティの問題を特定します。

Q: AWS Security Hub の主な利点は何ですか?
AWS Security Hub で、AWS のアカウントとワークロードのセキュリティを容易に管理、改善できるようになり、労力が軽減されます。AWS Security Hub は特定のリージョン内で数分のうちにサービスを有効化し、毎日のように発生するセキュリティに関する重要な疑問を解決する支援を行います。主な利点は次のとおりです。

一元化および正規化された検出結果で時間を節約 – Security Hub は、 Amazon GuardDuty からの侵入検知結果、 Amazon Inspector からの脆弱性スキャン、および Amazon Macie からの機密データ識別結果などの、AWS アカウント全体で有効化されているセキュリティサービスからの検出結果を収集します。Security Hub は、標準化された AWS Security Finding Format を使用してパートナーのセキュリティ製品からの検出結果を収集するため、時間のかかるデータ解析と正規化の作業が不要になります。お客様は、アカウント全体にわたってあらゆる検出結果を確認できるマスターアカウントを指定できます。
チェックの自動化によってセキュリティを向上 - Security Hub は、サポート対象の業界のベストプラクティスおよび標準 ( CIS AWS Foundations Benchmark など) に含まれるルールと比較すると、継続的な自動化アカウントレベルおよびリソースレベルの設定チェックを実行することで、独自の結果を生成できます。
結果にすばやく対応 - Security Hub では、構築済みのダッシュボードに結果を集約します。ダッシュボードには、実際の環境について、その時点のセキュリティの状態と傾向を示す棒グラフ、折れ線グラフ、テーブルが表示されます。潜在的な問題を容易に特定し、必要な次の手を打てるようになりました。たとえば、 Amazon CloudWatch Events との統合を利用し、チケット発行、チャット、メール、自動修復システムに結果を送信することができます。

Q: AWS Security Hub の使用には、どれくらいの費用がかかりますか?
Security Hub には 2 つの料金ディメンションがあります。アカウント/リージョン/月あたりのコンプライアンスチェックの数とアカウント/リージョン/月あたりの検出結果取り込みイベントの数です。最初の 10 万回のチェックでは、料金はアカウント/リージョン/月あたりのセキュリティチェックごとに 0.001 USD です。次の 40 万回のチェックでは、チェックごとに 0.0008 USD です。50 万回以上のチェックでは、チェックごとに 0.0005 USD になります。アカウント/リージョン/月あたりの検出結果取り込みイベントを 1 万回利用できる永久無料利用枠が用意されています。アカウント/リージョン/月あたりの検出結果取り込みイベントで最初の 1 万回を超える料金は、0.00003 USD です。Security Hub のセキュリティチェックが生成した検出結果取り込みイベントに対して、お客様にお支払いいただくことはありません。すべてのアカウントとリージョンで、30 日間の無料トライアルを用意しています。最新の料金情報については、AWS Security Hub の料金ページをご覧ください。

Security Hub を使用するアカウントでは、AWS Config が有効になっている必要があります。AWS Security Hub のセキュリティチェックでは、AWS Config が記録した設定項目を使用します。まだ AWS Config を使用したことのないお客様は、記録された設定項目あたりの価格に関する最新情報について、Config の料金ページをご参照ください。Security Hub セキュリティチェックによって有効となった AWS Config ルールに対する追加料金はありません。

Q: AWS Security Hub は、リージョン別サービスですか、それともグローバルのサービスですか?
AWS Security Hub はリージョン別サービスです。このため、分析されたすべての結果データがリージョンに基づいており、AWS リージョンの境界を超えないことを保証します。リージョンの検出結果を表示するには、各リージョンで Security Hub を有効にする必要があります。

Q: AWS Security Hub はどのリージョンをサポートしていますか?
AWS Security Hub のリージョン別の提供状況は、製品およびサービス一覧 (リージョン別) を参照してください

Q: どのパートナーが AWS Security Hub と連携していますか?
標準化された検出結果形式をサポートしていて、AWS Security Hub と統合されているテクノロジーパートナーは多数あります。「AWS Security Hub のパートナー」を参照してください。

AWS Security Hub の開始方法

Q: AWS Security Hub を有効にするには、どうすれば良いですか?
初めて Security Hub コンソールを開いたときに、[開始] を選択し、次に [有効にする] をクリックします。AWS Security Hub は、サービスがリンクされたロールを使用します。このロールには Security Hub が必要とするアクセス許可と信頼ポリシーが含まれており、結果を検出して集約し、セキュリティチェックの実行に必要な前提条件となる AWS Config インフラストラクチャを設定します。Security Hub がアカウントでセキュリティチェックを実行するには、そのアカウントで AWS Config が有効になっている必要があります。

Q: AWS Security Hub は、複数の AWS アカウントにわたるセキュリティの管理を支援できますか?
はい、Security Hub 内で複数アカウントの階層を設定するか、Amazon GuardDuty のようなサービスから既存の階層をインポートすることで、1 つのリージョン内の複数のアカウントを管理できます。

Q: 検出結果とは何ですか?
検出結果は、潜在的なセキュリティの問題です。Security Hub は、AWS およびサードパーティーのサービスから、セキュリティアラート、つまり検出結果を集約し、正規化して、優先順位を設定します。また、継続的で自動化された設定チェックの実行結果として、独自の検出結果を生成します。検出結果の取り込みイベントは、新しい検出結果が Security Hub に取り込まれたとき、または検出結果の更新が Security Hub に取り込まれたときに発生します。

Q: インサイトとは何ですか?
インサイトは、関連する検出結果の集まりです。Security Hub には、お客様固有の環境に合わせてさらに調整できるフィルターを使用した、管理型のインサイトが用意されています。たとえば、インサイトは重要な脆弱性に対するセキュリティパッチの欠けた EC2 インスタンスの特定や、パブリックの読み書き許可を持つ S3 バケットの特定に役立ちます。管理型カスタマイズした Security Hub の分析情報は、AWS 環境におけるセキュリティの問題を追跡する助けとなります。

Q: セキュリティ標準、コントロール、およびセキュリティチェックの違いは何ですか?
セキュリティ標準は、規制フレームワークや業界のベストプラクティスに基づいたコントロールの集まりです。Security Hub は、コントロールに対する自動コンプライアンスチェックを行います。各セキュリティチェックは、単一のリソースに対するルールの評価で構成されています。単一のコントロールが複数のリソース (IAM ユーザーなど) を含み、各リソースに対してセキュリティチェックを実行します。たとえば Security Hub は、43 のコントロールで構成される CIS AWS Foundations Benchmark 標準、および 14 個の AWS のサービス全体で 32 件の PCI DSS 要件をサポートしています。Security Hub が有効になると、各コントロールとそのコントロールに関する各関連リソースに対して、継続的な自動化セキュリティチェックを即座に実行します。

Q: AWS Security Hub で分析されるのは、どのような検出ソースですか?
AWS Security Hub では、Amazon GuardDuty、Amazon Inspector、AWS Firewall Manager、IAM Access Analyzer、Amazon Macie といった AWS のサービスでセキュリティアラート、つまり検出結果を分析します。Security Hub に統合され、標準化された検出結果形式をサポートする AWS Security Hub パートナーソリューションのリストも併せてご覧ください。

Q: AWS Config と AWS Config ルールは、AWS Security Hub にどのように関連していますか?
AWS Security Hub は、セキュリティおよびコンプライアンス体制の管理をサービスとして提供するセキュリティおよびコンプライアンスサービスです。AWS リソースの設定を評価するための主なメカニズムとして AWS Config と Config ルールを使用します。AWS Config ルールは、リソースの設定を直接評価するためにも使用できます。これらのルールは、AWS Control Tower および AWS Firewall Manager などの AWS のその他サービスでも使用されています。

Q: AWS Security Hub および AWS Config コンフォーマンスパックはどのような時に使用すればよいですか?
PCI DSS などのコンプライアンス標準が既に AWS Security Hub に存在する場合、それを運用するための最も簡単な方法として、フルマネージド型の AWS Security Hub サービスを挙げることができます。Security Hub の Amazon Detective との統合を通じて検出結果を調査する、および Security Hub の Amazon EventBridge との統合を使用して自動化または半自動化された是正アクションを構築できます。ただし、セキュリティ、運用、およびコスト最適化チェックが含まれる場合がある独自のコンプライアンスまたはセキュリティ標準を組み合わせるには、AWS Config コンフォーマンスパックが最適です。AWS Config コンフォーマンスパックは、AWS Config ルールのグループと、関連する是正アクションを単一のエンティティにパッケージ化することによって、AWS Config ルールの管理をシンプル化します。このパッケージ化により、組織全体でのルールのデプロイと修正アクションが簡素化されます。また、コンプライアンスの概要をパッケージレベルで報告できるため、集約された報告も可能になります。AWS が提供する Config コンフォーマンスのサンプルから始めて、必要に応じてカスタマイズできます。

Q: AWS Security Hub と AWS Config コンフォーマンスパックは、いずれも継続的なモニタリングをサポートしていますか?
はい、AWS Security Hub と AWS Config の両方のコンフォーマンスパックは、AWS Config と Config ルールへの依存を前提として、コンプライアンスの継続的なモニタリングをサポートしています。基盤となる AWS Config ルールは、定期的に、またはリソースの設定に対する変更を検知したときにトリガーできます。これにより、組織のポリシーとガイドラインを使って AWS リソース設定の全体的なコンプライアンスを継続的に監査および評価することが可能になります。

AWS Security Hub での作業

Q: AWS Security Hub でどれが最も重要なセキュリティの問題であるか、どうしたら確認できますか?
最も重要なセキュリティの問題を確認する方法は複数あります。Security Hub ダッシュボードには、最も多くの検出結果を含んでいるリソース、時間の経過とともに大量のセキュリティ検出結果が変化する様、最も多くの検出結果を生成しているインサイトが表示されます。インサイトのページに移動し、マネージドインサイトを使用して、優先度の高い問題を特定することができます。固有のカスタマイズした分析情報を作成することもできます。

Q: セキュリティのベストプラクティスまたはセキュリティ標準を基準にしてどのように測定すればよいか、Security Hub で指示を受けることはできますか?
はい。Security Hub では、セキュリティ標準に対してどのようにセキュリティを実践しているかを示すスコアが作成されます。このスコアは、Security Hub のメインダッシュボードに表示されます。セキュリティ標準までクリックを続けると、注意を要する制御のまとめが表示されます。その制御がどのように評価されたか、そして問題を緩和する方法に関する参考情報としてのベストプラクティスが表示されます。

Q: セキュリティ標準で 100% のスコアを得た場合、そのセキュリティ標準の監査に合格できるという意味ですか?
いいえ。Security Hub は自動セキュリティチェックに重点を置いています。ほとんどのセキュリティ標準には、自動での方法では確認できないさまざまなコントロールがあります。しかし、これらは Security Hub の範囲外です。Security Hub のセキュリティチェックは監査の準備に役立ちます。しかし、セキュリティ標準に関する監査に合格することを意味するものではありません。

Q: Security Hub で、どうすれば最も必要としているセキュリティデータを優先して順位を設定できますか?
Security Hub では、優先順位付けに役立つインサイトとセキュリティ標準という 2 つのメカニズムが使用されています。インサイトは、グループ化または相互の関連付けが行われた検出結果で、より優先順位の高い検出結果をより迅速に識別する助けになります。インサイトの例として、「マルウェアに感染したおそれがある EC2 インスタンスをすべて表示する」や、「EC2 インスタンスでデータ漏洩の可能性があるケースをすべて表示する」が挙げられます。

セキュリティ標準は、規制要件またはベストプラクティスに基づく一連のコントロールです。AWS には、標準内のコントロールに対応する、特定の定義済みのセキュリティチェックが用意されています。サポートされている Security Hub 標準の例は、CIS AWS Foundations Benchmark です。

Q: Security Hub は、既存のセキュリティ運用や修正プロセスとどのように統合できますか?
Security Hub は、CloudWatch Events を介した検出結果のエクスポートを有効にすることで、ワークフローオプションをサポートしています。CloudWatch のイベントを使用して、Slack などのチャットシステム、Lambda やパートナーのセキュリティ連携ツールによる自動化された修復パイプライン、SIEM、ServiceNow などのチケット発行システムとの統合をセットアップすることができます。

Q: Security Hub は、Amazon GuardDuty、Amazon Inspector、Amazon Macie などの他のセキュリティサービスのコンソールに代わるものですか?
いいえ。Security Hub は AWS が提供するセキュリティサービスに追加される補完的なものです。実際には、追加のコンテキストが得られるように、Security Hub に他のコンソールに戻るリンクが設けられます。Security Hub では、各セキュリティサービス内で提供される設定、構成、特殊な機能は再現されません。

Q: CIS AWS Foundations Benchmark QuickStart をデプロイしましたが、Security Hub CIS セキュリティ標準がチェックに失敗したと表示されます。なぜですか?
QuickStart ソリューションは、チェック 1.1、2.1 から 2.7、および 3.1 から 3.14 を取り扱うコントロールを強化する、一部の単一アカウントおよび単一リージョンのテンプレートとして設計されています。QuickStart には、単一のリージョンでのみ証跡をデプロイする前提条件のテンプレートが含まれています。CIS チェック 1.1、2.1 から 2.5、2.7、および 3.1 から 3.14 はマルチリージョンの証跡を必要とするため、Security Hub CIS セキュリティ標準ではこれらのチェックが失敗します。[CIS QuickStart ソリューションは、1.1、2.1 から 2.7、および 3.1 から 3.14 のチェックに対してのみコントロール強化を実装しています。残りのチェックは CIS QuickStart では取り扱っていません] さらに、QuickStart の「モニタリング」チェック 3.2、3.4、3.5、および 3.8 から 3.14 は、CloudWatch メトリクスフィルターの代わりに CloudWatch イベントを使用して実装されているため、Security Hub CIS セキュリティ標準ではこれらのチェックが失敗します。

Q: Security Hub がサポートする PCI DSS の具体的なコントロールは何ですか?
Security Hub のペイメントカード業界データセキュリティ基準 (PCI DSS) の標準は、一連の AWS セキュリティベストプラクティスコントロールで構成されています。各コントロールは特定の AWS リソースに適用され、1 つ以上の PCI DSS バージョン 3.2.1 要件に関連しています。Security Hub のドキュメントには、Security Hub の PCI DSS チェックが特定の PCI DSS 要件にどのようにマッピングされるかについての詳細な記載があります。

Product-Page_Standard-Icons_01_Product-Features_SqInk
製品料金の詳細

料金の例と無料トライアルの詳細を確認する

詳細 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Product-Page_Standard-Icons_03_Start-Building_SqInk
コンソールで構築を開始する

AWS コンソールで AWS Security Hub の使用を開始します。

サインイン