セキュリティの司令塔 AWS Security Hub を理解しよう！

　AWS で様々なサービスを活用して、ビジネスを加速させている企業は多いでしょう。しかし、その一方で、クラウド環境のセキュリティ対策は万全ですか？

　個々のサービスの設定を見直したり、ログを監視したりと、やるべきことは多岐にわたります。

　もし、セキュリティ対策に少しでも不安を感じているなら、AWS Security Hub がきっとお役に立ちます。そんな AWS セキュリティの司令塔 AWS Security Hub を紹介します。

AWS Security Hub はどんなサービス？ AWS 環境の「セキュリティ司令塔」

　AWS には、クラウド環境を守るための様々なセキュリティサービスが用意されています。例えば、不審なアクティビティを検知する Amazon GuardDuty、EC2 インスタンスなどの脆弱性を評価する Amazon Inspector、意図しないアクセス権限を特定する IAM Access Analyzer などが挙げられます。

　では、Security Hub はこれらのサービスと何が違うのでしょうか？

　Amazon GuardDuty は、ネットワークログや DNS クエリ、CloudTrail のイベントログなどを分析し、不正なアクセスや悪意のあるアクティビティといった潜在的な脅威をリアルタイムに検出することに特化しています。Security Hub は、GuardDuty が見つけた脅威の検出結果（「検出結果」と呼ばれます）を収集し、他のセキュリティサービスからの情報と合わせて、より包括的なセキュリティ状況を提供します。

　Amazon Inspector は、EC2 インスタンスやコンテナイメージの脆弱性を自動的にスキャンし、セキュリティ上の弱点を見つけ出すサービスです。Security Hub は、Inspector が検出した脆弱性の情報を集約し、優先度付けや対応状況の管理に役立てることができます。

　Security Hub の最も重要な役割は、このように複数の AWS セキュリティサービスからの検出結果を一元的に集約し、整理することです。個々のサービスが出したアラートを Security Hub という「司令塔」に集めることで、AWS 環境全体のセキュリティ状況を俯瞰的に把握できるようになります。

　つまり、GuardDuty や Inspector などが個別のセキュリティの「目」であるのに対し、Security Hub はそれらの情報を統合し、全体像を把握するための「頭脳」のような役割を果たすと言えるでしょう。

　Security Hub は、AWS セキュリティの「頭脳」として、様々な情報を提供してくれます。次の章では、Security Hub が持つ主要な機能に焦点を当て、それぞれの機能がどのようにセキュリティ対策に役立つのかを深掘りしていきます。

AWS Security Hub で何ができる？ 知っておくべき3つの主要機能

　では、「Security Hub で何ができるのか？」という疑問にお答えするために、特に知っておくべき主要な3つの機能をご紹介します。

1. 検出結果の一元的な集約

　Security Hub の最も基本的な機能の一つが、AWS 環境全体からセキュリティに関する「検出結果」を自動的に集約することです。これは、Amazon GuardDuty が見つけた脅威、Amazon Inspector による脆弱性、AWS Config による設定違反など、様々な情報源からのセキュリティアラートを Security Hub が一箇所に集めてくれるというものです。

　これにより、AWS 環境全体で何が起きているのかを一目で把握できるようになり、個々のサービスを別々に確認する手間が省けます。まるで、複数のセンサーが感知した情報を一つのモニターで確認できるようなイメージです。

2. セキュリティ基準とベストプラクティスに基づくチェック

　Security Hub は、AWS のベストプラクティスや業界標準（例えば、CIS Benchmarks for AWS、PCI DSSなど）に照らし合わせて、あなたの AWS 環境が適切に設定されているかを継続的にチェックします。

　例えば、「S3 バケットが誰でもアクセスできる設定になっていないか？」「IAM ユーザーに不要な権限が付与されていないか？」といった項目を自動的に評価し、基準を満たしていない場合はアラートを発行します。これにより、セキュリティ設定の不備を早期に発見し、改善することができます。

3. 優先順位付けされたインサイトによる分析

　Security Hub は、集約した検出結果やセキュリティチェックの結果を分析し、「インサイト」として分かりやすく提示してくれます。このインサイトは、セキュリティリスクの重要度や種類ごとに整理されており、対応が必要な問題を優先順位付けするのに役立ちます。

　例えば、「過去24時間以内に発生した高リスクの脅威」や「特定のセキュリティ標準に準拠していないリソース」といったインサイトを確認することで、まず何から対応すべきかを効率的に判断できます。

　これらの3つの主要な機能を活用することで、AWS Security Hub はあなたのクラウド環境のセキュリティ管理を大幅に効率化し、より安全な環境の維持に貢献します。

AWS Security Hub コンソールを見てみよう

　Security Hub の画面構成を理解することは、効果的にサービスを活用するための第一歩です。ここでは、Security Hub コンソールの主要な画面とその役割について解説します。

※キャプチャ画面は検証環境になります。そのため、故意的に点数が低かったり、脅威を検知させたりしております。そのため、本来あるべき姿と異なっている点はご理解の上で、読み進めてください。

1. 概要 (Summary)

　Security Hub にログインすると、最初にこの画面が表示されます。ここでは、AWS 環境全体のセキュリティ状況を俯瞰的に把握できます。検出結果の件数（重要度別）、セキュリティ標準への準拠状況のサマリー、対応が必要な主要なコントロールの数など、全体的なセキュリティポスチャーの「健康状態」がグラフや数値で分かりやすくまとめられています。日々のモニタリングの出発点となる画面です。

2. コントロール (Controls)

　この画面では、有効化しているセキュリティ標準に含まれる個々の「コントロール」のステータスを確認できます。コントロールとは、特定のセキュリティ要件やベストプラクティスに対するチェック項目です。ここでは、各コントロールが「成功」「失敗」「不明」、「データなし」のいずれの状態にあるか、影響を受けるリソースは何かといった詳細を確認できます。セキュリティ体制をより詳細に、コントロール単位で管理・改善していくための中心となる画面です。フィルタリングや検索機能を使って、特定のコントロールや失敗しているコントロールに絞り込むことも可能です。

3. セキュリティ基準 (Security Standards)

　ここでは、AWS 環境が有効化しているセキュリティ基準（AWS Foundational Security Best Practices、CIS AWS Benchmarks、PCI DSS など）全体に対する準拠率を確認できます。各標準に対して、いくつのコントロールが合格し、いくつのコントロールが失敗しているかがパーセンテージで表示されます。この画面から、特定の標準の準拠状況を深掘りし、失敗しているコントロール一覧へ遷移することも可能です。組織やコンプライアンス要件に基づいたセキュリティ基準への準拠状況を追跡するのに役立ちます。

4. インサイト (Insights)

　「インサイト」は、Security Hub が収集した検出結果を分析し、共通の特性を持つ検出結果をグループ化して表示する機能です。例えば、「高リスクの検出結果があるリソース」「特定の脆弱性を持つインスタンス」といった、対応優先度の高いセキュリティ課題や傾向をまとめた情報が提供されます。Security Hub が提供するマネージドインサイトの他に、独自のカスタムインサイトを作成することも可能です。膨大な検出結果の中から、アクションに繋がりやすい重要な情報を特定するのに有効です。

5. 検出結果 (Findings)

　この画面は、Security Hub が収集したすべてのセキュリティアラート（検出結果）のリストです。GuardDuty、Inspector、Config など、連携している様々なサービスや Security Hub 自身のコントロールチェックから生成された個々の検出結果が一覧表示されます。検出結果ごとに、問題の内容、重要度、影響を受ける AWS リソース、発生日時、関連するコントロールや標準などの詳細を確認できます。強力なフィルタリング、グループ化、検索機能を活用して、調査や対応が必要な特定の検出結果を効率的に絞り込むことができます。

6. 統合 (Integrations)

　「統合」の画面では、Security Hub が他の AWS サービスやサードパーティ製品とどのように連携しているかを確認・管理できます。これには、検出結果を Security Hub に送信する「プロバイダー」（例： GuardDuty, Inspector, Config など）や、Security Hub の検出結果を受信して対応アクションを実行する「コンシューマー」（例： EventBridge ルールを介した自動化、SIEM システムなど）が含まれます。新しい統合を有効化したり、既存の統合の設定を確認したりすることで、セキュリティ検出結果の収集元と、それに基づいた対応の仕組みをコントロールできます。

AWS Security Hub を実際に使ってみよう！ よくあるセキュリティ課題の解決例

　さて、Security Hub コンソールの主要な画面構成を理解したところで、実際に Security Hub がどのように日々のセキュリティ運用に役立つのか、具体的な例を見ていきましょう。ここでは、AWS 環境でよくある3つのセキュリティ課題と、Security Hub を活用した解決方法をご紹介します。

例1：意図しない S3 バケットの公開設定の検出

　AWS を利用していると、誤って S3 バケットを公開設定にしてしまい、機密情報が外部に漏洩するリスクがあります。Security Hub では、AWS のセキュリティベストプラクティスに基づいたチェック機能を利用することで、このような公開設定になっている S3 バケットを自動的に検出できます。

　「セキュリティ標準」の画面で、例えば「AWS Foundational Security Best Practices」を確認すると、S3 バケットの公開設定に関するルールが評価されていることが分かります。もし、公開設定になっているバケットがあれば、非準拠として検出され、詳細な情報や推奨される修正手順が表示されます。これにより、早期にリスクを発見し、適切な対応を取ることができます。

例2：GuardDuty による脅威検出への対応

　Amazon GuardDuty は、不審なネットワークアクティビティや異常な API 呼び出しなどを検知し、脅威として通知してくれます。Security Hub では、これらの GuardDuty の検出結果が自動的に集約されます。「検出結果」の画面を確認することで、GuardDuty からのアラートを一元的に確認でき、アラートの重要度や発生したリソースなどの詳細情報を把握できます。

　Security Hub のインサイト機能を利用すれば、GuardDuty によって検出された高リスクな脅威を優先的に確認することも可能です。これにより、迅速なインシデント対応に繋げることができます。

例3：セキュリティ標準への準拠状況の継続的な監視

　多くの組織では、CIS Benchmarks や PCI DSS といった特定のセキュリティ標準への準拠が求められます。Security Hub の「セキュリティ標準」の画面では、これらの標準に対する AWS 環境の準拠状況を継続的に監視できます。

　各標準に含まれる複数のコントロール（ルール）が自動的に評価され、準拠しているかどうか、また非準拠の場合はその理由や修正方法が示されます。これにより、コンプライアンス要件を満たしているかを常に把握し、必要に応じて改善策を講じることができます。

　このように、AWS Security Hub を活用することで、AWS 環境における一般的なセキュリティ課題に対して、効率的かつ効果的に対応することが可能になります。

AWS Security Hub の料金について

　Security Hub の導入を検討する上で、気になるのが料金ですよね。AWS Security Hub の料金体系は、主に以下の2つの要素に基づいて計算されます。

• セキュリティチェックの実行数： Security Hub が AWS 環境の設定をセキュリティ標準に照らして評価する回数。

• 検出結果の受信数： GuardDuty、Inspector、Config などのサービスから Security Hub に送信されるセキュリティアラートの数。

　一般的に、セキュリティチェックの実行数と検出結果の受信数に応じて料金が発生する従量課金制となっています。

　AWS では、Security Hub を初めて利用するアカウント向けに、一定期間または一定量までの無料利用枠を提供している場合があります。詳細は、AWS の公式ドキュメントをご確認ください。

　実際の料金は、AWS 環境の規模や設定、連携するセキュリティサービスの利用状況によって大きく変動します。そのため、正確な料金を見積もるには、ご自身の環境で Security Hub を実際に有効化し、利用状況を確認するのが最も確実な方法です。

　最新かつ詳細な料金情報については、必ず AWS の公式ウェブサイトにある AWS Security Hub の料金ページをご確認ください。

https://aws.amazon.com/jp/security-hub/pricing

AWS Security Hub でより安全なクラウド環境へ

　AWS Security Hub の基本的な概念から、具体的な機能、そしてコンソールの使い方、活用例までをご紹介しました。Security Hub は、AWS 環境全体のセキュリティ状況を一元的に把握し、管理するための強力なツールです。

　もし、AWS のセキュリティ管理に課題を感じている、あるいはこれからより安全なクラウド環境を構築したいと考えているなら、ぜひ一度 AWS Security Hub をお試しください。きっと、クラウドセキュリティ対策を大きく前進させる力となるはずです。

　より詳しい情報や、個別のご相談をご希望の方は お問い合わせフォーム よりお気軽にお問い合わせください。