全般

Q: AWS Security Hub とは何ですか?
AWS Security Hub は、AWS 内のセキュリティの状態と、セキュリティ標準およびベストプラクティスに準拠しているかどうかを、包括的に把握できるようにします。AWS Security Hub は、AWS のアカウント、サービス、サポート対象のサードパーティーパートナーの全体にわたってセキュリティの検出結果を一元化および優先順位を設定することで、セキュリティの傾向を分析し、最も重要なセキュリティの問題を特定します。

Q: AWS Security Hub の主な利点は何ですか?
AWS Security Hub で、AWS のアカウントとワークロードのセキュリティを容易に管理、改善できるようになり、労力が軽減されます。AWS Security Hub は特定のリージョン内で数分のうちにサービスを有効化し、毎日のように発生するセキュリティに関する重要な疑問を解決する支援を行います。主な利点は次のとおりです。

一元化および正規化された検出結果で時間を節約 – AWS Security Hub は、 Amazon GuardDuty からの侵入検知結果、 Amazon Inspector からの脆弱性スキャン、および Amazon Macie からの機密データ識別結果などの、AWS アカウント全体で有効化されているセキュリティサービスからの検出結果を収集します。AWS Security Hub は、標準化された AWS Security Finding Format を使用してパートナーのセキュリティ製品からの検出結果を収集するため、時間のかかるデータ解析と正規化の作業が不要になります。お客様は、アカウント全体にわたってあらゆる検出結果を確認できるマスターアカウントを指定できます。
チェックの自動化によってセキュリティを向上 - AWS Security Hub は、サポート対象の業界のベストプラクティスおよび標準 ( CIS AWS Foundations Benchmark など) に含まれるルールと比較すると、継続的な自動化アカウントレベルおよびリソースレベルの設定チェックを実行することで、独自の結果を生成できます。
結果にすばやく対応 - AWS Security Hub では、構築済みのダッシュボードに結果を集約します。ダッシュボードには、実際の環境について、その時点のセキュリティの状態と傾向を示す棒グラフ、折れ線グラフ、テーブルが表示されます。潜在的な問題を容易に特定し、必要な次の手を打てるようになりました。たとえば、 Amazon CloudWatch Events との統合を利用し、チケット発行、チャット、メール、自動修復システムに結果を送信することができます。

Q: AWS Security Hub の使用には、どれくらいの費用がかかりますか?
AWS Security Hub には 2 つの料金ディメンションがあります。アカウント/リージョン/月あたりのコンプライアンスチェックの数とアカウント/リージョン/月あたりの検出結果取り込みイベントの数です。最初の 10 万回のチェックでは、料金はアカウント/リージョン/月あたりのセキュリティチェックごとに 0.001 USD です。次の 40 万回のチェックでは、チェックごとに 0.0008 USD です。50 万回以上のチェックでは、チェックごとに 0.0005 USD になります。アカウント/リージョン/月あたりの検出結果取り込みイベントを 1 万回利用できる永久無料利用枠が用意されています。アカウント/リージョン/月あたりの検出結果取り込みイベントで最初の 1 万回を超える料金は、0.00003 USD です。AWS Security Hub のセキュリティチェックが生成した検出結果取り込みイベントに対して、お客様にお支払いいただくことはありません。すべてのアカウントとリージョンで、30 日間の無料トライアルを用意しています。最新の料金情報については、AWS Security Hub の料金ページをご覧ください。

AWS Security Hub を使用するアカウントでは、AWS Config が有効になっている必要があります。AWS Security Hub のセキュリティチェックでは、AWS Config が記録した設定項目を使用します。まだ AWS Config を使用したことのないお客様は、記録された設定項目あたりの料金に関する最新情報について、Config の料金ページをご参照ください。AWS Security Hub セキュリティチェックによって有効となった AWS Config ルールに対する追加料金はありません。

Q: 複数の標準に表示されるコントロールに対して、複数回の請求が行われますか?
いいえ。コントロールがリンクされている標準の数に関係なく、コントロールがリソースに対して評価されるたびに (つまり、セキュリティチェックごとに) 1 回だけ請求が行われます。

Q: AWS Security Hub は、リージョン別サービスですか、それともグローバルのサービスですか?
AWS Security Hub はリージョナルサービスですが、集約リージョンを指定することで調査結果のクロスリージョン集約をサポートしています。お客様はリージョンの検出結果を表示するには、各リージョンで AWS Security Hub を有効にする必要があります。

Q: AWS Security Hub はどのリージョンをサポートしていますか?
AWS Security Hub のリージョン別の提供状況は、AWS リージョン表を参照してください

Q: どのパートナーが AWS Security Hub と連携していますか?
標準化された検出結果形式をサポートしていて、AWS Security Hub と統合されているテクノロジーパートナーは多数あります。「AWS Security Hub のパートナー」を参照してください。

AWS Security Hub の開始方法

Q: AWS Security Hub を有効にするには、どうすれば良いですか?
初めて AWS Security Hub コンソールを開いたときに、[開始] を選択し、次に [有効にする] をクリックします。AWS Security Hub は、サービスがリンクされたロールを使用します。このロールには AWS Security Hub が必要とするアクセス許可と信頼ポリシーが含まれており、結果を検出して集約し、セキュリティチェックの実行に必要な前提条件となる AWS Config インフラストラクチャを設定します。AWS Security Hub がアカウントでセキュリティチェックを実行するには、そのアカウントで AWS Config レコーダーが有効になっている必要があります。また、最初に AWS Organizations を有効にして、組織全体で AWS Security Hub を簡単に有効にできるようにすることをお勧めします。

Q: AWS Security Hub は、複数の AWS アカウントにわたるセキュリティの管理を支援できますか?
はい、AWS Security Hub 内で複数アカウントの階層を設定するか、Amazon GuardDuty のようなサービスから既存の階層をインポートすることで、1 つのリージョン内の複数のアカウントを管理できます。

Q: 検出結果とは何ですか?
検出結果は、潜在的なセキュリティの問題です。AWS Security Hub は、AWS およびサードパーティーのサービスから、セキュリティアラート、つまり検出結果を集約し、正規化して、優先順位を設定します。また、継続的で自動化された設定チェックの実行結果として、独自の検出結果を生成します。検出結果の取り込みイベントは、新しい検出結果が AWS Security Hub に取り込まれたとき、または検出結果の更新が AWS Security Hub に取り込まれたときに発生します。

Q: インサイトとは何ですか?
インサイトは、関連する検出結果の集まりです。AWS Security Hub には、お客様固有の環境に合わせてさらに調整できるフィルターを使用した、管理型のインサイトが用意されています。例えば、インサイトは重要な脆弱性に対するセキュリティーパッチの欠けた EC2 インスタンスの特定や、パブリックの読み書き許可を持つ S3 バケットの特定に役立ちます。管理型カスタマイズした AWS Security Hub のインサイトは、AWS 環境におけるセキュリティの問題を追跡する助けとなります。

Q: セキュリティ標準、コントロール、およびセキュリティチェックの違いは何ですか?
セキュリティ標準は、規制フレームワークや業界のベストプラクティスに基づいたコントロールの集まりです。AWS Security Hub は、コントロールに対する自動コンプライアンスチェックを行います。各セキュリティチェックは、単一のリソースに対するルールの評価で構成されています。単一のコントロールが複数のリソース (IAM ユーザーなど) を含み、各リソースに対してセキュリティチェックを実行します。たとえば AWS Security Hub は、43 のコントロールで構成される CIS AWS Foundations Benchmark 標準、および 14 個の AWS のサービス全体で 32 件の PCI DSS 要件をサポートしています。AWS Security Hub が有効になると、各コントロールとそのコントロールに関する各関連リソースに対して、継続的な自動化セキュリティチェックを即座に実行します。

Q: AWS Security Hub で分析されるのは、どのような検出ソースですか?
AWS Security Hub では、Amazon GuardDuty、Amazon Inspector、AWS Firewall Manager、IAM Access Analyzer、Amazon Macie といった AWS のサービスでセキュリティアラート、つまり検出結果を分析します。AWS Security Hub に統合され、標準化された検出結果形式をサポートする AWS Security Hub パートナーソリューションのリストも併せてご覧ください。

Q: AWS Config と AWS Config ルールは、AWS Security Hub にどのように関連していますか?
AWS Security Hub は、セキュリティおよびコンプライアンス体制の管理をサービスとして提供するセキュリティおよびコンプライアンスサービスです。AWS リソースの設定を評価するための主なメカニズムとして AWS Config と Config ルールを使用します。AWS Config ルールは、リソースの設定を直接評価するためにも使用できます。これらのルールは、AWS Control Tower および AWS Firewall Manager などの AWS のその他サービスでも使用されています。

Q: AWS Security Hub および AWS Config コンフォーマンスパックはどのような時に使用すればよいですか?
PCI DSS などのコンプライアンス標準が既に AWS Security Hub に存在する場合、それを運用するための最も簡単な方法として、フルマネージド型の AWS Security Hub サービスを挙げることができます。AWS Security Hub の Amazon Detective との統合を通じて検出結果を調査する、および AWS Security Hub の Amazon EventBridge との統合を使用して自動化または半自動化された是正アクションを構築できます。ただし、セキュリティ、運用、およびコスト最適化チェックが含まれる場合がある独自のコンプライアンスまたはセキュリティ標準を組み合わせるには、AWS Config コンフォーマンスパックが最適です。AWS Config コンフォーマンスパックは、AWS Config ルールのグループと、関連する是正アクションを単一のエンティティにパッケージ化することによって、AWS Config ルールの管理をシンプル化します。このパッケージ化により、組織全体でのルールのデプロイと修正アクションが簡素化されます。また、コンプライアンスの概要をパッケージレベルで報告できるため、集約された報告も可能になります。AWS が提供する Config コンフォーマンスのサンプルから始めて、必要に応じてカスタマイズできます。

Q: AWS Security Hub と AWS Config コンフォーマンスパックは、いずれも継続的なモニタリングをサポートしていますか?
はい、AWS Security Hub と AWS Config の両方のコンフォーマンスパックは、AWS Config と Config ルールへの依存を前提として、コンプライアンスの継続的なモニタリングをサポートしています。基盤となる AWS Config ルールは、定期的に、またはリソースの設定に対する変更を検知したときにトリガーできます。これにより、AWS リソースの設定と企業ポリシーおよびガイドラインとの全体的なコンプライアンスを継続的に監査および評価できます。

Q: AWS Audit Manager と AWS Security Hub はいつ使用しますか?
それらは互いに補完し合うため、両方を使用する必要があります。AWS Audit Manager は、規制および業界標準へのコンプライアンスを継続的に評価するために、監査およびコンプライアンスの専門家によって使用されます。AWS Security Hub は、セキュリティとコンプライアンスの専門家および DevOps エンジニアが、AWS アカウントとリソースのセキュリティ体制を継続的にモニタリングおよび改善するために使用します。AWS Security Hub は、さまざまな業界および規制のフレームワークに合わせて自動化されたセキュリティチェックを実施します。Audit Manager は、これらの AWS Security Hub チェックによって生成された検出結果を証拠とすることができるような形式で自動的に収集し、AWS CloudTrail ログなどの他の証拠と組み合わせて、お客様が評価レポートを生成できるようにします。Audit Manager は、サポートされている各フレームワークのコントロールの完全なセットをカバーします。これには、自動化された証拠が関連付けられているコントロールや、インシデント対応計画の存在など、手動で証拠をアップロードする必要があるコントロールが含まれます。AWS Security Hub は、Audit Manager でサポートされている各フレームワークのコントロールのサブセットのセキュリティチェックを介して自動化された証拠を生成することに重点を置いています。CloudTrail などの他の AWS のサービスからの証拠、またはユーザーによってアップロードされる、人間が用意する証拠を必要とするコントロールは、AWS Security Hub の対象外です。

Q: AWS Systems Manager と AWS Security Hub はいつ使用しますか?
AWS Systems Manager は、クラウドとハイブリッドインフラストラクチャを簡単に管理できるようにする AWS のオペレーションハブです。AWS Systems Manager OpsCenter は、IT オペレータや DevOps エンジニアが AWS リソースに関連する運用上の問題を一元的に診断および解決できます。また、AWS Systems Manager Explorer は、AWS アカウントやリージョン全体の運用データを表示する運用ダッシュボードです。AWS Security Hub は、セキュリティとコンプライアンスの専門家および DevOps エンジニアが、AWS アカウントとリソースのセキュリティ体制を継続的にモニタリングおよび改善するために使用します。

ほとんどのお客様は、セキュリティの問題 (例えば、Amazon S3 バケットが公開されている、Amazon EC2 インスタンスでクリプトマイニングが検出された) と運用上の問題 (例えば、Amazon Redshift インスタンスが十分に活用されていない、または Amazon EC2 インスタンスが過剰に利用されている) を切り分けています。これは、セキュリティの問題の機密性が他かっく、通常はアクセス要件が異なるためです。そのため、これらのお客様は、AWS Security Hub を使用してセキュリティの問題を理解、管理、および是正し、Systems Manager を使用して運用上の問題を理解、管理、および是正しています。また、セキュリティ体制に関するより詳しい情報を得るために AWS Security Hub を使用することをお勧めします。

同じエンジニアがセキュリティの問題と運用上の問題の両方に取り組む場合、それらを 1 か所に統合すると便利です。これを行うには、検出結果が OpsCenter および Explorer に送信されるようにオプトインします。エンジニアは、AWS Systems Manager Automation ランブックを使用して、運用上の問題とともにセキュリティの問題を調査および是正できます。

Q: AWS Control Tower と AWS Security Hub はどのように違うのですか?
AWS Control Tower と AWS Security Hub は補完的なサービスです。AWS Security Hub は、セキュリティチームとコンプライアンスの専門家および DevOps エンジニアが、AWS アカウントとリソースのセキュリティ体制を継続的にモニタリングおよび改善するために使用します。セキュリティに関する知見を集約し、自動化された修復を実現するだけでなく、Security Hub は、AWS Foundational Security ベストプラクティススタンダードやその他の業界および規制スタンダードに照らして、セキュリティベストプラクティスチェックも行います。AWS Control Tower は、セキュアなマルチアカウントの AWS 環境を、AWS ベストプラクティスに基づいてセットアップおよび管理するために、クラウド管理者やアーキテクトによって使用されます。Control Tower はガードレールと呼ばれる必須の、強く推奨されている高レベルルールを適用し、これがサービスコントロールポリシー (SCP) を使用して貴社のポリシーの適用を確かなものとし、また AWS Config ルールの使用でポリシー違反を検出します。Control Tower は、デフォルトのアカウント設定が Security Hub の AWS Foundational Security ベストプラクティスに沿っているかどうかを確認するのにも役立ちます。お客様は Control Tower の予防的ガードレールと Security Hub のセキュリティベストプラクティスコントロールを組み合わせて使用する必要があります。これらは相互に強化され、お客様のアカウントとリソースが安全な状態であることを確認するのに役立ちます。

AWS Security Hub での作業

Q: AWS Security Hub でどれが最も重要なセキュリティの問題であるか、どうしたら確認できますか?
最も重要なセキュリティの問題を確認する方法は複数あります。AWS Security Hub ダッシュボードには、最も多くの検出結果を含んでいるリソース、時間の経過とともに大量のセキュリティ検出結果が変化する様、最も多くの検出結果を生成しているインサイトが表示されます。インサイトのページに移動し、マネージドインサイトを使用して、優先度の高い問題を特定することができます。固有のカスタマイズしたインサイトを作成することもできます。

Q: セキュリティのベストプラクティスまたはセキュリティ標準を基準にしてどのように測定すればよいか、AWS Security Hub で指示を受けることはできますか?
はい。AWS Security Hub では、セキュリティ標準に対してどのようにセキュリティを実践しているかを示すスコアが作成されます。このスコアは、AWS Security Hub のメインダッシュボードに表示されます。セキュリティ標準までクリックを続けると、注意を要する制御のまとめが表示されます。AWS Security Hub には、その制御がどのように評価されたか、そして問題を緩和する方法に関する参考情報としてのベストプラクティスが表示されます。

Q: セキュリティ標準で 100% のスコアを得た場合、そのセキュリティ標準の監査に合格できるという意味ですか?
いいえ。AWS Security Hub は自動セキュリティチェックに重点を置いています。ほとんどのセキュリティ標準には、自動での方法では確認できないさまざまなコントロールがあります。しかし、これらは AWS Security Hub の範囲外です。AWS Security Hub のセキュリティチェックは監査の準備に役立ちます。しかし、セキュリティ標準に関する監査に合格することを意味するものではありません。

Q: AWS Security Hub で、どうすれば最も必要としているセキュリティデータを優先して順位を設定できますか?
AWS Security Hub では、優先順位付けに役立つインサイトとセキュリティ標準という 2 つのメカニズムが使用されています。インサイトは、グループ化または相互の関連付けが行われた検出結果で、より優先順位の高い検出結果をより迅速に識別する助けになります。インサイトの例として、「マルウェアに感染したおそれがある EC2 インスタンスをすべて表示する」や、「EC2 インスタンスでデータ漏洩の可能性があるケースをすべて表示する」が挙げられます。

セキュリティ標準は、規制要件またはベストプラクティスに基づく一連のコントロールです。AWS には、標準内のコントロールに対応する、特定の定義済みのセキュリティチェックが用意されています。サポートされている AWS Security Hub 標準の例は、CIS AWS Foundations Benchmark です。

Q: AWS Security Hub は、既存のセキュリティ運用や修正プロセスとどのように統合できますか?
AWS Security Hub は、CloudWatch Events を介した検出結果のエクスポートを有効にすることで、ワークフローオプションをサポートしています。CloudWatch Events を使用して、Slack などのチャットシステム、Lambda やパートナーのセキュリティオーケストレーションツールによる自動化された修復パイプライン、SIEM、ServiceNow などのチケット発行システムとの統合をセットアップすることができます。

Q: AWS Security Hub は、Amazon GuardDuty、Amazon Inspector、Amazon Macie などの他のセキュリティサービスのコンソールに代わるものですか?
いいえ。AWS Security Hub は AWS が提供するセキュリティサービスに追加される補完的なものです。実際には、追加のコンテキストが得られるように、AWS Security Hub に他のコンソールに戻るリンクが設けられます。AWS Security Hub では、各セキュリティサービス内で提供される設定、構成、特殊な機能は再現されません。

Q: CIS AWS Foundations Benchmark QuickStart をデプロイしましたが、AWS Security Hub CIS セキュリティ標準がチェックに失敗したと表示されます。なぜですか?
QuickStart ソリューションは、チェック 1.1、2.1 から 2.7、および 3.1 から 3.14 を取り扱うコントロールを強化する、一部の単一アカウントおよび単一リージョンのテンプレートとして設計されています。QuickStart には、単一のリージョンでのみ証跡をデプロイする前提条件のテンプレートが含まれています。CIS チェック 1.1、2.1 から 2.5、2.7、および 3.1 から 3.14 はマルチリージョンの証跡を必要とするため、AWS Security Hub CIS セキュリティ標準ではこれらのチェックが失敗します。[CIS QuickStart ソリューションは、1.1、2.1 から 2.7、および 3.1 から 3.14 のチェックに対してのみコントロール強化を実装しています。残りのチェックは CIS QuickStart では取り扱っていません] さらに、QuickStart の「モニタリング」チェック 3.2、3.4、3.5、および 3.8 から 3.14 は、CloudWatch メトリクスフィルターの代わりに CloudWatch Events を使用して実装されているため、AWS Security Hub CIS セキュリティ標準ではこれらのチェックが失敗します。

Q: AWS Security Hub がサポートする PCI DSS の具体的なコントロールは何ですか?
AWS Security Hub のペイメントカード業界データセキュリティ基準 (PCI DSS) の標準は、一連の AWS セキュリティベストプラクティスコントロールで構成されています。各コントロールは特定の AWS リソースに適用され、1 つ以上の PCI DSS バージョン 3.2.1 要件に関連しています。AWS Security Hub のドキュメントには、AWS Security Hub の PCI DSS チェックが特定の PCI DSS 要件にどのようにマッピングされるかについての詳細な記載があります。

 

料金の詳細を確認する

料金の例と無料トライアルの詳細を確認する

詳細 
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
コンソールで構築を開始する

AWS コンソールで AWS Security Hub の使用を開始します。

サインイン