AWS Security Hub の特徴

Security Hub は、各標準および有効なすべての標準の各アカウントの単純な 0〜100 のセキュリティスコアを提供するとともに、管理者アカウントに関連付けられているすべてのアカウントの合計スコアも提供します。このスコアは、標準、アカウント、および/または組織用の合格したコントロールと失敗したコントロールの数に基づいています。この情報は、セキュリティ体制の監視に役立つ概要のダッシュボードで、失敗したセキュリティチェックが最も多く存在するリソースなどの他の重要な洞察とともに表示されます。

アグリゲーターリージョンを指定し、一部またはすべてのリージョンをリンクすると、アカウントとリンクされたリージョンの検出結果を一元的に確認できます。検出結果はリージョン間で継続的に同期されるため、あるリージョンの結果に加えられた更新が別のリージョンに複製されます。管理者アカウントと集約リージョンの Amazon EventBridge フィードには、すべてのメンバーアカウントとリンクされたリージョンのすべての検出結果が含まれるようになりました。これにより、チケット発行、チャット、インシデント管理、ログ、および自動修復ツールとの統合を、集約リージョンに統合することで簡素化することができます。

Security Hub は、Amazon GuardDuty からの侵入検出の検出結果、Amazon Inspector からの脆弱性スキャン、Amazon Macie からの Amazon Simple Storage Service (Amazon S3) バケットポリシーの検出結果、IAM Access Analyzer からの一般にアクセス可能なクロスアカウントリソース、および AWS Firewall Manager からの WAF カバレッジのないリソースなど、お使いの環境で有効になっている AWS セキュリティサービスからの検出結果を自動的に収集および統合します。AWS Security Hub は、数重の統合された AWS パートナーネットワーク (APN) のセキュリティソリューションからの検出結果も統合します。すべての検出結果は、最終更新日から 90 日間 Security Hub に保存されます。

複数の標準にわたる検出結果を統合することで、検出結果の優先順位付け、調査、修正の方法を簡素化し、重大度や障害が発生したリソースの数に基づいて構成ミスをより簡単に特定し、全体的なセキュリティスコアを向上させることができます。また、有効になっているすべての統制とそのコンプライアンスステータス、合格/不合格のセキュリティチェックの概要を 1 か所に表示し、すべての規格にわたる各統制を 1 回の操作で設定できます。

Security Hub は、AWS セキュリティ 検出結果 フォーマット (ASFF) を導入することにより、これらの時間とリソースを大量に消費するプロセスを排除します。 ASFF を使用すると、Security Hub のすべての統合パートナー (AWS のサービスと外部パートナーの両方を含む) が、1,000 を超える利用可能なフィールドで構成される適切に入力された JSON 形式で検出結果を Security Hub に送信します。つまり、すべてのセキュリティに関する検出結果は、Security Hub に取り込まれる前に正規化され、自ら解析や正規化を行う必要はありません。検出結果は、リソース、重大度、およびタイムスタンプを一貫した方法で識別し、それらをより簡単に検索してアクションを実行できるようにします。

AWS Security Hub コンソールで数回クリックするだけで、複数の AWS アカウントを接続して、これらのアカウントからの検出結果を統合できます。管理者アカウントを指定すると、セキュリティチームがすべてのアカウントで統合された検出結果を表示します。個々のアカウント所有者は自分のアカウントに関連付けられた検出結果のみを表示できます。AWS Organizations との統合により、Security Hub と AWS Foundation Security Best Practices 標準を使用して組織内の任意のアカウントを自動的に有効にすることができます。

ASFF のフィールドに基づいて検出結果をフィルタリングし、GroupBy ステートメントを使用して検出結果をバケットに集約します。例えば、検出結果をフィルタリングして [Critical] (重大) または [High] (高) の重大度の検出結果のみを表示し、リソース ID でグループ化して、どのリソースに [Critical] (重大) または [High] (高) の重大度の検出結果が最も多く存在しているかを確認できます。Security Hub は、これらのタイプの検索インサイトを呼び出します。また、Security Hub は、事前にパッケージ化された両方のマネージドインサイトを提供し、独自のカスタムインサイトを定義できます。各洞察には、洞察に一致する検出結果の経時的な傾向を示す時系列のスパークラインが含まれています。

Security Hub 自動化ルールを使用して、検出結果をほぼリアルタイムで自動的に更新または非表示にします。セキュリティ管理者は、受信したすべての検出結果に対して自動的に評価される特定の条件でルールを作成し、一致した場合は検出結果フィールドを更新できます。自動化ルールを使用して、特定の検出結果の重要度やワークフローステータスを変更したり、検索対象から外したり、ユーザー定義フィールドを更新したりできます。

Security Hub の Amazon EventBridge との統合を使用して、カスタム自動応答、修復、および強化ワークフローを作成できます。Security Hub のすべての検出結果は自動的に EventBridge に送信され、AWS Lambda 関数、AWS Step Function 関数、または AWS Systems Manager Automation ランブックをターゲットとする EventBridge ルールを作成できます。セキュリティハブは、カスタムアクションを使用して検出結果をオンデマンドで EventBridge に送信することもサポートしています。また、セキュリティハブの自動応答および修復 (ASR) ソリューションでは、AWS CloudFormation 経由でデプロイできる EventBridge ルールがあらかじめパッケージ化されています。

Security Hub は、さまざまなチケット、チャット、インシデント管理、脅威調査、ガバナンスリスクとコンプライアンス (GRC)、セキュリティオーケストレーションの自動化と対応 (SOAR)、およびセキュリティ情報およびイベント管理 (SIEM) ツールと統合されており、Security Hub から検出結果を自動的に送受信できます。

30 日間の無料トライアルでは、AWS Security Hub を無料でお試しいただけます。トライアル版には、Security Hub の全機能とセキュリティベストプラクティスチェックが含まれます。Security Hub が有効になっている各リージョンですべての AWS アカウントは、無料お試し版をご利用いただけます。無料トライアルでは、同じアカウントとリージョンで Security Hub を使い続けた場合の、月々の請求額の概算を知ることができます。Security Hubでは、アカウントごとに地域ごとに1か月あたり10,000件の検出結果が取り込まれる永久無料利用枠も提供しています。セキュリティハブの価格についての詳細をご覧ください。

Security Hub は、セキュリティチェックの量、取り込まれた検出結果の量、1 か月あたりに処理されるルール評価の量という 3 つの観点から価格設定されています。 AWS Organizations のサポートにより、Security Hub では複数の AWS アカウントを接続し、それらのアカウント間の結果を統合して、組織全体のセキュリティチェック、検出結果の取り込み、自動化ルール評価の段階的な価格設定を利用できます。 

Security Hub は、お客様の AWS アカウントとリソースのセキュリティ体制を評価するために、あらかじめパッケージ化されたセキュリティ標準に照らしてベストプラクティスチェックを自動的かつ継続的に実施します。Security Hub で利用できるさまざまな規格に共通する同一の統制に対して実施されたチェックについては、重複チェックによる請求は発生しません。Security Hub は 1 回のみ請求します。