公開日:2021年8月5日最終更新日: 2021年10月6日
AWS Security Hubは、AWS内のセキュリティ状況をチェックしたり、ベストプラクティスに適しているかを評価したりしてくれるツールです。AWSのセキュリティ対策の一環として、AWS Security Hubの導入が推奨されています。
最近はAWS Security Hubの機能追加が繰り返されているなど、AWSでのセキュリティ対策では必須とも言えるものです。具体的にどのようなサービスであるのか解説します。
目次 <Contents>
AWS Security Hubの概要
AWS Security Hubは、2019年6月に公開された比較的新しいサービスです。その名のとおりセキュリティに関する情報を集約できるもので、情報を管理するだけではなく内容のチェックまで可能です。機能は大きく分けて2つあります。
- セキュリティイベントの集約
- セキュリティチェック
それぞれがどのような機能であるのか、概要をご説明します。
1. セキュリティイベントの集約
AWS Security Hubを利用するとAWS上で別々のセキュリティサービスとして提供されているものを1つのサービスに集約できます。具体的には以下のサービスの集約が可能です。
- Amazon GuardDuty
- Amazon Inspector
- IAM Access Analyzer
- Amazon Macie
- AWS Firewall Manager
- AWS Systems Manager
本来は必要に応じて、これらの項目をそれぞれのサービスで管理する必要があります。しかし、AWS Security Hubに置き換えると1つのサービスで全てを確認できるようになります。
しかも、それぞれのサービスでは独自の表示項目であるものが、AWS Security Hubになると共通フォーマットに変換されます。同じフォーマットで複数のサービスの情報が確認できるようになり、視認性が高まります。
2. セキュリティチェック
セキュリティチェックは、AWS Security Hubが集約した情報を元に、AWSのセキュリティ要件を満たしているかチェックしてくれるものです。AWSには「セキュリティ基準」と呼ばれる標準的なセキュリティ要件が定められていますので、収集した情報と要件の乖離について洗い出してくれます。
これらの乖離は一覧で重要度を付与して表示してくれるので、私達は表示されている内容に即して順に対応すれば良いだけです。しかも、セキュリティチェックの指摘点は、一覧画面から数クリックで簡単に修復できる場合があります。多くの指摘点に対応しているわけではありませんが、自動でセキュリティを高められるようなサービスになりつつあります。
AWS Security Hubの基本的な操作
AWS Security Hubの基本的な操作として知っておきたいのは以下の3つです。
- AWS Security Hubの有効化
- セキュリティチェックの結果の確認
- 料金の確認
それぞれについて、どのように操作をすれば良いのかご説明します。
AWS Security Hubの有効化
AWS Security Hubを利用するにあたりサービスを有効化します。
1管理コンソールからAWS Security Hubにアクセスします。
画面が表示されれば「Security Hubに移動」をクリックします。
2「AWS Security Hub へようこそ」との画面が表示されますので、設定はそのままでページ下部の「Security Hubの有効化」をクリックします。
3Security Hubの画面が表示されれば有効化は完了です。
最初は情報が取得できていませんのでこのような表示になりますが、数分後に更新すれば具体的に情報が表示されます。
セキュリティチェックの結果の確認
AWS Security Hubを有効にすると、収拾対象となるサービスの情報を集めて「概要」に表示してくれます。今回の例では以下のとおりセキュリティスコアが43%である旨が表示されています。
なお、セキュリティスコアは100%に近いほど内容が良いと評価されます。また、それ以外にも多くの情報が表示されますので、その内容を確認して大まかなセキュリティの結果を把握します。詳細についてはさらに細かい表示ができる画面があるので、そこから確認してください。ここでは概要のみが表示されます。
料金の確認
料金の確認もしておくべきです。Security Hubの画面から「設定」をクリックし、「使用」タブを表示します。
このような画面が表示されますので、使用状況を確認して予想外の費用が発生しないように注意しておきましょう。
AWS Security Hubによるセキュリティチェック
セキュリティチェックをして、具体的にセキュリティの問題を解決するように対応していきましょう。
セキュリティ基準からベストプラクティスとの乖離を確認
下記のとおり「セキュリティ基準」を開くと、AWSのベストプラクティスと現在の設定の乖離が確認できます。
各セキュリティスコアは100%がベストな状況です。100%になっていない場合は、何かしらベストプラクティスと乖離があります。そのため、次で説明するセキュリティ状況を確認し、対策が必要な対象を確認しなければなりません。
検出結果からセキュリティ状況を確認
まず、下記のとおり「検出結果」を開くと、具体的にどの設定がAWSのベストプラクティスに適していないのかが表示されます。
「タイトル」に表示されているリンクをクリックすると問題点について表示されますので、どのような問題が発生しているかを確認します。
また、AWSの基準ではありますが「重要度」が表示されています。必ずしも自分に影響するとは限りませんが、重要度も参考に対応順などは検討すると良いでしょう。
不要な検出は排除
AWSが表示する一部の指摘事項については、要求事項が高すぎるものや設計上やむを得ないもの、ステータス「不明」がエラーとして処理されているものなどが含まれます。そのため、これらについては以下のとおり該当するものをチェックし「制御済み」をクリックします。
当該する指摘事項が表示されなくなり、今後も対象となるものは表示されなくなります。確実に不要だと判断できるものは、整理しておくことをおすすめします。
必要に応じて手動・自動による復旧
指摘事項の「タイトル」をクリックすると、以下のとおり指摘事項が表示されます。
英語ですが問題点と対策方法が書かれています。またJSONなどで定義できる部分は、定義内容のどこに問題があるのかを表示するリンクが掲載されます。それらを読み、必要な対策を講じましょう。一部の問題についてはこちらの画面から自動的に修正する指示ができます。
AWS Security Hubを利用する際の注意点
AWS Security Hubを利用するにあたり意識したい注意点は「料金」と「適用リージョン」です。
AWS Security Hubの料金は監視・管理対象となる項目の多さや利用するルールの数によって変動します。つまり、監視するインスタンス数を増やすなど監視・管理対象が増えると、必然的にAWS Security Hubの料金が増加します。注意しないと、気づかないうちに高額な請求が来てしまうかもしれません。
また、AWS Security Hubはリージョン毎に有効化するサービスです。複数リージョンをまたいでの情報管理はできません。冗長構成などで複数リージョンでの利用を考えている場合は、多少手間はかかりますがそれぞれで有効化する様、注意してください。
まとめ
AWS Security Hubを利用すれば、分散されてしまいがちなAWSのセキュリティ情報を一元管理できます。個別のサービスを利用していると見落とす可能性がありますので、一元管理する運用に変更するのがおすすめです。
また、AWSの標準と比較してセキュリティ設定に問題があれば、それらを指摘してくれます。必要に応じて簡単に修正できるので、セキュリティ情報の管理だけではなく、セキュリティの向上にも役立ってくれます。