全般

Q: AWS Security Hub とは何ですか?
AWS Security Hub はクラウドセキュリティ態勢管理 (CSPM) サービスで、AWS リソースに対してセキュリティのベストプラクティスを自動的かつ継続的にチェックして設定ミスを特定し、セキュリティアラート (検出結果) を標準化された形式で集約して、より簡単に強化、調査、修正できるようにします。 

Q: AWS Security Hub の主な利点は何ですか?
AWS Security Hub で、AWS のアカウントとワークロードのセキュリティを容易に管理、改善できるようになり、労力が軽減されます。AWS Security Hub はあらゆるアカウントとリージョン内で数分のうちにサービスを有効化し、毎日のように発生するセキュリティに関する重要な疑問を解決する支援を行います。主な利点は次のとおりです:

Q: AWS Security Hub の使用には、どれくらいの費用がかかりますか?
Security Hub は、セキュリティチェックの量、取り込みイベントの検出結果数、1 か月あたりに処理される自動化ルール評価の量という 3 つの観点から価格設定されています。AWS Organizations のサポートにより、Security Hub では複数の AWS アカウントを接続し、それらのアカウント間の検出結果を統合して、組織全体のセキュリティチェック、検出結果インジェストイベント、自動化ルール評価を段階的な料金で利用できます。Security Hub では、1 か月あたり 10,000 件の検出結果データ取り込みイベントという無期限の無料利用枠も提供しています。最新の料金情報については、AWS Security Hub の料金ページをご覧ください。

AWS Security Hub のセキュリティチェックでは、AWS Config が記録した設定項目を利用します。これらのセキュリティチェックには AWS Config が必要です。設定項目は Security Hub とは別の料金が設定されています。詳細については、AWS Config の料金をご覧ください。Security Hub のお客様は、Security Hub によって有効になっているAWS Config ルールを無料でご利用いただけます。Security Hub によって有効化される AWS Config ルールは、サービスにリンクされたルールと言います。

Q: セキュリティハブには無料の試用版が付属していますか?
はい。Security Hub が有効になっている各リージョンですべての AWS アカウントは、30日無料お試し版をご利用いただけます。試用期間中は、Security Hub のすべての機能とセキュリティチェックにアクセスできます。同じアカウントとリージョンで Security Hub を引き続き使用する場合は、毎月の請求額を見積もることができます。

Q: 複数の標準に表示されるコントロールに対して、複数回の請求が行われますか?
いいえ。コントロールがリンクされている標準の数に関係なく、コントロールがリソースに対して評価されるたびに (つまり、セキュリティチェックごとに) 1 回だけ請求が行われます。

Q: AWS Security Hub は、リージョン別サービスですか、それともグローバルのサービスですか?
AWS Security Hub はリージョナルサービスですが、集約リージョンを指定することで検出結果のクロスリージョン集約をサポートしています。リージョンの検出結果を表示するには、各リージョンで Security Hub を有効にする必要があります。

Q: Security Lake はどのリージョンをサポートしていますか?
AWS Security Hub のリージョン別の提供状況は、AWS リージョン 表を参照してください。

Q: どのパートナーがセキュリティハブと連携していますか?
標準化された検出結果形式をサポートしていて、AWS Security Hub と統合されているテクノロジーパートナーは多数あります。詳細については、 AWS Security Hub のパートナーページをご覧ください

AWS Security Hub の開始方法

Cloud Security Posture Management (CSPM) を実施する
CSPM は、クラウドのセキュリティ体制を維持するために、ワークロード、アカウント、リソース全体にわたる設定ミスの問題やコンプライアンスリスクを特定する手法です。Security Hub は CSPM 向けの AWS サービスで、セキュリティのベストプラクティスをチェックし、アラートを集約し、AWS アカウント、ワークロード、リソース全体の自動修復を可能にします。
 
Q: セキュリティハブを有効にするにはどうすればいいですか?
初めて Security Hub コンソールを開いたときに、[開始] を選択し、次に [有効にする] をクリックします。AWS Security Hub は、サービスがリンクされたロールを使用します。このロールには Security Hub が必要とするアクセス許可と信頼ポリシーが含まれており、検出結果を検出して集約し、セキュリティチェックの実行に必要な前提条件となる AWS Config インフラストラクチャを設定します。Security Hub コントロールの多くは、アカウントのセキュリティチェックを実行するために AWS Config をアクティブ化する必要があります。また、最初に AWS Organizations を有効にして、組織全体で Security Hub を簡単に有効にできるようにすることをお勧めします。 API を使用するか、AWS CloudFormation の AWS:: SecurityHub:: Hub リソースを使用してセキュリティハブを有効にすることもできます。
 
Q: AWS Security Hub は、複数の AWS アカウントにわたるセキュリティの管理を支援できますか?
 
  • Security Hubでマルチアカウント階層を設定するか、Amazon GuardDutyなどのサービスから既存の階層をインポートすることで、リージョン内の複数のアカウントを管理し、それらのアカウント間で検出結果を統合することができます。管理者アカウントを指定すると、セキュリティチームがすべてのアカウントで統合された検出結果を表示します。個々のアカウント所有者は自分のアカウントに関連付けられた検出結果のみを表示できます。
  • AWS Organizations との統合により、Security Hub と AWS Foundation Security Best Practices 標準を使用して組織内の任意のアカウントを自動的に有効にすることができます。
 
Q: 検出結果とは何ですか?
検出結果は、潜在的なセキュリティの問題です。AWS Security Hub は、AWS およびサードパーティーのサービスから、セキュリティアラート、つまり検出結果を集約し、正規化して、優先順位を設定します。また、継続的で自動化された設定チェックの実行結果として、独自の検出結果を生成します。検出結果の取り込みイベントは、新しい検出結果が Security Hub に取り込まれたとき、または検出結果の更新が Security Hub に取り込まれたときに発生します。
 
Q: インサイトとは何ですか?
インサイトは、関連する検出結果の集まりです。Security Hub には、お客様固有の環境に合わせてさらに調整できるフィルターを使用した、管理型のインサイトが用意されています。たとえば、インサイトは、重要な脆弱性に対するセキュリティパッチが欠けている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや、パブリックな読み取りまたは書き込み権限を持つ Amazon Simple Storage Service (Amazon S3) バケットを特定するのに役立ちます。管理型カスタマイズした Security Hub の分析情報は、AWS 環境におけるセキュリティの問題を追跡する助けとなります。
 
Q: セキュリティ標準、コントロール、およびセキュリティチェックの違いは何ですか?
セキュリティ標準は、規制フレームワークや業界のベストプラクティスに基づいたコントロールの集まりです。Security Hub は、コントロールに対する自動コンプライアンスチェックを行います。各セキュリティチェックは、単一のリソースに対するルールの評価で構成されています。単一のコントロールが複数のリソース (IAM ユーザーなど) を含み、各リソースに対してセキュリティチェックを実行します。Security Hub が有効になると、各コントロールとそのコントロールに関する各関連リソースに対して、継続的な自動化セキュリティチェックを即座に実行します。 サポートされている標準と関連統制の詳細については、Security Hub 標準リファレンスをご覧ください。
 
Q.AWS の基本的なセキュリティベストプラクティス基準とは?
AWS Foundational Security Best Practics標準は、特定のAWS製品知識を持つ関連サービスチームとAWSセキュリティが共同で開発した一連の統制です。これらのコントロールは、AWS アカウントとリソースがセキュリティのベストプラクティスから逸脱しているかどうかを検出します。この標準により、すべての AWS アカウントとワークロードを継続的に評価して、ベストプラクティスから逸脱している領域をすばやく特定できます。組織のセキュリティ体制を改善および維持する方法について、実践的で規範的なガイダンスを提供します。統制には複数の AWS サービスのリソースに対するセキュリティのベストプラクティスが含まれ、 各統制には適用されるセキュリティ機能を反映したカテゴリが割り当てられます
 
Q: セキュリティハブはどのような検出結果ソースを分析しますか?
セキュリティハブは、AWS Config、Amazon GuardDuty、AWS Health、Amazon Inspector、AWS Firewall Manager、AWS IAM Access Analyzer、AWS IoT Device Defender、Amazon Macie など、複数の AWS サービスからのセキュリティアラートまたは検出結果を分析します。さらに、AWS Security Hub と統合され、標準化された検出結果形式をサポートする、利用可能なサードパーティパートナー製品統合のリストを参照してください
 
Q: AWS Config と AWS Config ルールは、AWS Security Hub にどのように関連していますか?
AWS Security Hub は、セキュリティおよびコンプライアンス体制の管理をサービスとして提供するセキュリティおよびコンプライアンスサービスです。AWS リソースの設定を評価するための主なメカニズムとして AWS Config と AWS Config ルールを使用します。AWS Config ルールは、リソースの設定を直接評価するためにも使用できます。これらのルールは、AWS Control Tower および AWS Firewall Manager などの AWS のその他サービスでも使用されています。

Q: AWS Security Hub および AWS Config コンフォーマンスパックはどのような時に使用すればよいですか?
PCI DSS などのコンプライアンス標準が既に Security Hub に存在する場合、それを運用するための最も簡単な方法として、フルマネージド型の Security Hub サービスを挙げることができます。Security Hub の Amazon Detective との統合を介して検出結果を調査できるほか、Security Hub の Amazon EventBridge との統合を使用して、自動または半自動の修正アクションを構築できます。ただし、セキュリティ、運用、およびコスト最適化チェックが含まれる場合がある独自のコンプライアンスまたはセキュリティ標準を組み合わせるには、AWS Config コンフォーマンスパックが最適です。
 
AWS Configコンフォーマンスパックは、AWS Configルールと関連する修復アクションのグループを1つのエンティティにまとめることで、AWS Configルールの管理を簡素化するために使用できる推奨 テンプレートです。このパッケージ化により、組織全体でのルールのデプロイと修正アクションが簡素化されます。また、コンプライアンスの概要をパッケージレベルで報告できるため、集約された報告も可能になります。AWS Config コンフォーマンスのサンプルから始めて、必要に応じてカスタマイズできます。
 
Q: AWS Security Hub と AWS Config コンフォーマンスパックは、いずれも継続的なモニタリングをサポートしていますか?
はい、セキュリティハブとAWS Configコンフォーマンスパックはどちらもコンプライアンスの継続的な監視をサポートしています。基盤となる AWS Config ルールは、定期的に、またはリソースの設定に対する変更を検知したときにトリガーできます。AWS Config を使用すると、お客様の AWS リソースの設定と企業ポリシーおよびガイドラインとの全体的なコンプライアンスが継続的に監査および評価されます。
 
Q: AWS Audit Manager と AWS Security Hub はいつ使用しますか?
それらは互いに補完し合うので、両方を使うべきです。AWS Audit Manager は、規制および業界標準へのコンプライアンスを継続的に評価するために、監査およびコンプライアンスの専門家によって使用されます。AWS Security Hub は、セキュリティとコンプライアンスの専門家および DevOps エンジニアが、AWS アカウントとリソースのセキュリティ体制を継続的にモニタリングおよび改善するために使用します。Security Hub は、さまざまな業界および規制のフレームワークに合わせて自動化されたセキュリティチェックを実施します。Audit Manager は、これらの Security Hub チェックによって生成された検出結果を証拠とすることができるような形式で自動的に収集し、AWS CloudTrail ログなどの他の証拠と組み合わせて、お客様が評価レポートを生成できるようにします。
 
Audit Manager は、サポートされている各フレームワークのコントロールの完全なセットをカバーします。これには、自動化された証拠が関連付けられているコントロールや、インシデント対応計画の存在など、手動で証拠をアップロードする必要があるコントロールが含まれます。
Security Hub は、Audit Manager でサポートされている各フレームワークのコントロールのサブセットのセキュリティチェックを介して自動化された証拠を生成することに重点を置いています。CloudTrail などの他の AWS のサービスからの証拠、またはユーザーによってアップロードされる、人間が用意する証拠を必要とするコントロールは、Security Hub の対象外です。
 
Q: AWS Systems Manager と AWS Security Hub はいつ使用しますか?
AWS Systems Manager は AWS の運用ハブであり、インフラストラクチャを簡単に管理できます。AWS Systems Manager OpsCenter は、IT オペレータや DevOps エンジニアが AWS リソースに関連する運用上の問題を一元的に診断および解決できます。また、AWS Systems Manager Explorer は、AWS アカウントやリージョン全体の運用データを表示する運用ダッシュボードです。セキュリティとコンプライアンスの専門家とDevOpsエンジニアは、Security Hubを使用して、AWSアカウントとリソースのセキュリティ体制を継続的に監視し、改善しています。
 
ほとんどのお客様は、セキュリティの問題 (例えば、Amazon S3 バケットが公開されている、Amazon EC2 インスタンスでクリプトマイニングが検出された) と運用上の問題 (例えば、Amazon Redshift インスタンスが十分に活用されていない、または Amazon EC2 インスタンスが過剰に利用されている) を切り分けています。これは、セキュリティの問題の機密性が他かっく、通常はアクセス要件が異なるためです。そのため、これらのお客様は、Security Hub を使用してセキュリティの問題を理解、管理、および是正し、Systems Manager を使用して運用上の問題を理解、管理、および是正しています。また、セキュリティ体制に関するより詳しい情報を得るために Security Hub を使用することをお勧めします。
 
同じエンジニアがセキュリティの問題と運用上の問題の両方に取り組む場合、それらを 1 か所に統合すると便利です。これを行うには、検出結果が OpsCenter および Explorer に送信されるようにオプトインします。エンジニアは、AWS Systems Manager Automation ランブックを使用して、運用上の問題とともにセキュリティの問題を調査および是正できます。
 
Q: AWS Control Tower と AWS Security Hub はどのように違うのですか?
AWS Control Tower と AWS Security Hub は補完的なサービスです。AWS Security Hub は、セキュリティチームとコンプライアンスの専門家および DevOps エンジニアが、AWS アカウントとリソースのセキュリティ体制を継続的にモニタリングおよび改善するために使用します。セキュリティに関する検出結果を集約し、自動化された修復を実現するだけでなく、Security Hub は、 AWS Foundational Security ベストプラクティススタンダードやその他の業界および規制スタンダードに照らして、セキュリティベストプラクティスチェックも行います。AWS Control Tower は、セキュアなマルチアカウントの AWS 環境を、AWS ベストプラクティスに基づいてセットアップおよび管理するために、クラウド管理者やアーキテクトによって使用されます。
 
AWS Control Tower はガードレールと呼ばれる必須の、強く推奨されている高レベルルールを適用し、これがサービスコントロールポリシー (SCP) を使用して貴社のポリシーの適用を確かなものとし、また AWS Config ルールの使用でポリシー違反を検出します。AWS Control Tower は、デフォルトのアカウント設定が Security Hub の AWS Foundational Security ベストプラクティスに沿っているかどうかを確認するのにも役立ちます。
 
お客様は AWS Control Tower の予防的ガードレールと Security Hub のセキュリティベストプラクティスコントロールを組み合わせて使用する必要があります。これらは相互に強化され、お客様のアカウントとリソースが安全な状態であることを確認するのに役立ちます。セキュリティハブと AWS Control Tower は完全に統合されているため、関連する統制目標に対応する 170 を超えるセキュリティハブの検出制御を AWS コントロールタワーから直接有効にできます。

セキュリティハブでの作業

Q: AWS Security Hub でどれが最も重要なセキュリティの問題であるか、どうしたら確認できますか?
最も重要なセキュリティの問題を確認する方法は複数あります。Security Hub ダッシュボードには、最も多くの検出結果を含んでいるリソース、時間の経過とともに大量のセキュリティ検出結果が変化する様、最も多くの検出結果を生成しているインサイトが表示されます。ダッシュボードをカスタマイズして、組織にとって最も関連性の高いセキュリティデータをフィルタリングして表示することができます。インサイトのページに移動し、マネージドインサイトを使用して、優先度の高い問題を特定することができます。固有のカスタマイズしたインサイトを作成することもできます。
 
Q: セキュリティのベストプラクティスまたはセキュリティ標準を基準にしてどのように測定すればよいか、Security Hub で指示を受けることはできますか?
はい。Security Hub では、セキュリティ標準に対してどのようにセキュリティを実践しているかを示すスコアが作成されます。このスコアは、Security Hub のメインダッシュボードに表示されます。セキュリティ標準までクリックを続けると、注意を要する制御のまとめが表示されます。その制御がどのように評価されたか、そして問題を緩和する方法に関する参考情報としてのベストプラクティスが表示されます。
 
Q: セキュリティ標準で 100% のスコアを得た場合、そのセキュリティ標準の監査に合格できるという意味ですか?
いいえ。Security Hub は自動セキュリティチェックに重点を置いています。ほとんどのセキュリティ標準には、自動での方法では確認できないさまざまなコントロールがあります。しかし、これらは Security Hub の範囲外です。Security Hub のセキュリティチェックは監査の準備に役立ちます。しかし、セキュリティ標準に関する監査に合格することを意味するものではありません。
 
Q: Security Hub が実行するチェックをカスタマイズできますか?
はい。Security Hub を使用すると、Security Hub を使用して組織の特定のニーズに合わせてセキュリティチェックを行うことができます。これはパラメータをカスタマイズすることで実現できます。たとえば、強力な IAM パスワードの意味や、未使用の認証情報を削除したり、未使用のインスタンスを停止したりするための最大期間を定義できます。
 
Q: Security Hub で、どうすれば最も必要としているセキュリティデータを優先して順位を設定できますか?
Security Hub では、検出結果の優先順位付けに役立つインサイトとセキュリティ標準という 2 つのメカニズムが使用されています。インサイトは、グループ化または相互の関連付けが行われた検出結果で、より優先順位の高い検出結果をより迅速に識別する助けになります。インサイトの例としては、”マルウェアに感染している可能性のある Amazon EC2 インスタンスをすべて表示してください” や ”Amazon EC2 インスタンスでのデータ漏えいの可能性があれば教えてください” などがあります。
 
セキュリティ標準は、規制要件またはベストプラクティスに基づく一連のコントロールです。AWS には、標準内のコントロールに対応する、特定の定義済みのセキュリティチェックが用意されています。セキュリティハブがサポートする標準の詳細は、 セキュリティハブのドキュメントに記載されています
 
Q: Security Hub は、既存のセキュリティ運用や修正プロセスとどのように統合できますか?
Security Hub は、EventBridge Events を介した検出結果のエクスポートを有効にすることで、ワークフローオプションをサポートしています。EventBridge Events を使用して、Slack などのチャットシステム、AWS Lambda やパートナーのセキュリティオーケストレーションツールによる自動化された修復パイプライン、SIEMs、ServiceNow などのチケット発行システムとの統合をセットアップすることができます。
 
Q: セキュリティハブは、GuardDuty、Inspector、Macie などの他のセキュリティサービスのコンソールに取って代わる予定ですか?
いいえ。Security Hub は AWS が提供するセキュリティサービスに追加される補完的なものです。実際には、追加のコンテキストが得られるように、Security Hub に他のコンソールに戻るリンクが設けられます。Security Hub では、各セキュリティサービス内で提供される設定、構成、特殊な機能は再現されません。
 
Q: セキュリティハブがサポートしている具体的な CIS AWS Foundations ベンチマークコントロールにはどのようなものがありますか?
セキュリティハブは CIS AWS ファンデーションベンチマーク v1.2.0 と v1.4.0 をサポートしています。 セキュリティハブのドキュメントには、具体的な統制の詳細と、各チェックが特定の CIS AWS Foundations Benchmark 要件にどのように対応しているかが記載されています。
 
Q: Security Hub がサポートしている特定の米国標準技術研究所 (NIST) の統制にはどのようなものがありますか?
NIST SP 800-53 Rev. 5は、米国の機関である国立標準技術研究所(NIST)によって開発されたサイバーセキュリティとコンプライアンスのフレームワークです。商務省。セキュリティハブは、特定の NIST SP 800-53 要件をサポートするコントロールを提供します。これらの統制は、自動セキュリティチェックによって評価されます。 セキュリティハブのドキュメントには、具体的な統制の詳細と、各チェックが特定の CIS AWS Foundations Benchmark 要件にどのように対応しているかが記載されています。
 
Q: セキュリティハブがサポートしているPCI DSSの具体的な制御は何ですか?
Security Hub のペイメントカード業界データセキュリティ基準 (PCI DSS) の標準は、一連の AWS セキュリティベストプラクティスコントロールで構成されています。各コントロールは特定の AWS リソースに適用され、1 つ以上の PCI DSS バージョン 3.2.1 要件に関連しています。 Security Hub のドキュメント には、Security Hub の PCI DSS チェックが特定の PCI DSS 要件にどのようにマッピングされるかについての詳細な記載があります。