【VPC外リージョンサービス】
Security Hubは、AWS環境全体のセキュリティを集約的に可視化するHub(集約コンソール)として機能します。
GuardDuty、Inspector、Macie、Config、IAM Access Analyzer、CloudTrail、CloudWatch Logs、EventBridge、Lambda、SSM Automationなどの各種サービスとサービス連携することで、さまざまなFinding(セキュリティ検出情報)をASFF(AWS Security Finding Format)に統一して収集・分析します。
Security Hubでは、Security Standard(セキュリティ基準)に基づく評価を行い、たとえばCIS AWS Foundations BenchmarkやAWS独自基準に対するControl(セキュリティチェック項目)ごとのCompliance Status(準拠状況)を可視化できます。これにより、組織全体でのセキュリティ態勢を体系的に把握することが可能です。
Security Hubは各Findingに対してSeverity(重大度)を付与し、Workflow / Status(対応状況)を追跡できるため、優先度を付けたAction(対応) / Remediation(修復)の判断が容易になります。また、特定のアラートを除外するためのSuppression Rule(検出抑制)を設定したり、Finding ID(検出ID)を基に個別の追跡管理を行うこともできます。
Security Hubには、標準提供されるInsight(インサイト)に加え、利用者が自由に条件を設定できるCustom Insight(独自インサイト)機能があり、セキュリティデータを多角的に分析できます。組織全体では、Administrator Account / Member Account(管理アカウント/メンバーアカウント)構成を用いてセキュリティの集中管理を行い、Finding Aggregator(集約設定)やRegion Aggregation(リージョン集約)により複数リージョンの結果を統合的に管理することができます。
Security HubはEventBridge Integration(イベント連携)を通じて自動的にイベントをトリガーし、Auto Remediation(自動修復)やSSM Automation、Lambdaによる対応を実現します。これにより、検出から修復までのプロセスを自動化し、運用負荷を軽減できます。
Security Hubは総合的な評価指標としてSecurity Score(セキュリティスコア)を提供し、組織全体のセキュリティ成熟度を継続的に測定・改善することが可能です。
重要用語
ユースケース
| セキュリティ状況の統合ダッシュボード | 複数アカウント・複数リージョンのセキュリティ関連の検出結果を集約し、全体のリスク状況を1つの画面で把握する。 |
| ベストプラクティス準拠状況の評価 | CISベンチマークやAWS基礎セキュリティベストプラクティスに基づいて、設定ミスや改善が必要なポイントを自動的に検出する。 |
| 他セキュリティサービスとの連携運用 | GuardDutyやConfig、Macieなどからの検出結果をSecurity Hubに集約し、チケットシステムや通知と連携したインシデント対応フローを作る。 |
ベストプラクティス
| 複数アカウントの集約 | Organizationsと連携してセキュリティ検出を中央管理する。 |
| 標準の有効化 | CISやFoundational Security Best Practices標準を有効にする。 |
| ワークフローとの連携 | 検出結果をチケットや通知システムと連携し、対応をトラッキングする。 |
高可用性・バックアップ・リトライ
| 高可用性・バックアップ・リトライ設計のポイント |
|---|
| 【デフォルト】AWS内部で冗長化 ・マルチAZ構成 ・データストレージの検出結果(Findings) ・Security HubのAPIエンドポイント ・クロスリージョン集約機能 ・EventBridge統合 ・サービス統合レイヤー ・コントロール評価エンジン |
セキュリティ
| 関連サービス | 設定内容 |
|---|---|
| CloudTrail(操作履歴の記録・監査・追跡) | 【自動記録】 作成・更新・削除・設定変更は自動記録される。(コントロールプレーンAPI) データ操作は追跡できない(データプレーンAPI) |
| Config(リソースの構成状態・設定変更を記録) | 【Configが有効な場合】 有効化状況の監査・ベストプラクティス評価結果の集約(Configルール連携) |
| GuardDuty(脅威を自動検出) | 【GuardDutyが有効な場合】 GuardDuty検知を自動で統合・分析 |
Security Hub が使用する SLR の連携パターン
SLR名 : AWSServiceRoleForSecurityHub
| SLR が操作するサービス | 用途 |
|---|---|
| GuardDuty | 脅威検出結果の収集 |
| Inspector | 脆弱性スキャン結果の収集 |
| Macie | データ分類と機密データ検出結果の収集 |
| IAM Access Analyzer | アクセス分析結果の収集 |
| Config | セキュリティ設定のコンプライアンスチェック |
| EventBridge | セキュリティイベントの転送 |
ログ・監視
| ログ出力先 | ログの種類 |
|---|---|
| S3 | 【EventBridgeからLambdaで転送】 検出結果 |
標準メトリクス
| メトリクス名 | 説明 |
|---|---|
| CriticalFindings | 重大な検出項目数 |
| FailedFindings | 失敗した検出項目数 |
| HighFindings | 高度な検出項目数 |
| SecurityScore | セキュリティスコア |
制限値(固定値/ハードリミット/ソフトリミット)
| 固定値 | 制限値 |
|---|---|
| 統合サービス数 | 40以上(随時追加) |
| ハードリミット | 制限値 |
|---|---|
| 検出結果の保持期間 | 90日 |
| ソフトリミット | 制限値 |
|---|---|
| カスタムインサイト数 | 100 |
| カスタムアクション数 | 50 |
| メンバーアカウント数 | 5,000 |
AWS CLIのサンプルコード
CloudFormationのサンプルコード
Terraformのサンプルコード
料金計算
| 課金項目 | 説明 |
|---|---|
| セキュリティチェック | 有効化されたセキュリティ標準のチェック数 |
| 取り込みイベント | 取り込まれる検出結果イベント数(10,000件単位) |