COLUMN

2020.02.12 ｜ Writer：ふくちゃん

AWSセキュリティ対策に便利な「AWS Security Hub」とは？

皆さん、AWSでセキュリティ対策をしていますでしょうか。
前回、セキュリティの意識すべきセキュリティ対策を紹介していますので、まだご覧になってない方はこちらをどうぞ。AWSを使うなら意識すべきセキュリティ対策

本コラムでは、AWS環境のコンプライアンスチェックを簡単にでき、複数のセキュリティサービスをまとめて管理する、AWS Security Hubをご紹介します。

AWS Security Hubとは？
AWS Security Hubの機能
料金
まとめ

AWS Security Hubとは？

2019年6月24日にAWS Security Hub の一般提供が開始されました。

https://aws.amazon.com/jp/about-aws/whats-new/2019/06/aws-security-hub-now-generally-available/

AWS Security Hubとは公式サイトの説明通り「セキュリティアラートを一元的に表示して管理し、コンプライアンスチェックを自動化する」サービスですが、要約した説明のためイメージが難しいと思いますので、次の章からAWS Security Hubを詳細に説明します。

AWS Security Hubの機能

主な機能は以下の通りです。

CIS AWS Foundations Benchmarkによるコンプライアンスチェック
使用中セキュリティサービスの一元管理
AWS パートナーネットワーク (APN) のセキュリティソリューションと連携

CIS AWS Foundations Benchmarkによるコンプライアンスチェック

CIS(Center for Internet Security)は、インターネット・セキュリティ標準化に取り組む非営利団体です。
CISが定めているセキュリティ基準は、クレジットカード業界のセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard）の基準の一例としても採用されており信頼性があります。

セキュリティの専門家であるCISがAWSのセキュリティ基準として発表したものが、CIS AWS Foundations Benchmark(以下、CISベンチマークとします。)です。

このCISベンチマークを利用することで以下のメリットがあります。

セキュリティ業界のガイドライン基準に従って、現在のAWS環境を周期的に自動でコンプライアンスチェックし、適切なセキュリティ設定に是正できるため、低コストで、かつリスクの低下につながります。

CISベンチマークでは、項目ごとに監査基準がはっきりとしており

設定が必須
使用環境により設定が必要

な設定に関してセキュリティ上の問題が無いかチェックし、修正すべき設定に優先順位を付けて監査結果を表示します。
監査結果から、修正すべき設定の数と現在のセキュリティ状態が把握できます。

監査では、

IAM設定
ログ出力設定
監視(モニタリング) 設定
ネットワーク設定

等がチェックされます。

監査項目の例として、

rootアカウントが利用されていないこと
90日以上利用されていない認証情報は無効化されていること
許可されていないAPIコールに対して、アラーム通知設定されていること
Security Groupにて、0.0.0.0/0からポート22番(SSH)への接続が許可されていないこと

等があります。

監査基準は一定ではなく、随時アップデートされています。最新の監査項目は、CIS公式サイトで確認することができます。

https://www.cisecurity.org/cis-benchmarks/

使用中セキュリティサービスの一元管理

AWSでのセキュリティ対策として

GuardDuty
Inspector
Macie

等のAWSセキュリティサービスを使用していると思います。
各々のセキュリティサービスには管理画面があり、これらを管理するためにはサービスごとに、その画面へ移動しなければなりません。
そのような煩雑な手間をなくすため、AWS Security Hubでは、使用中の複数のセキュリティサービスを1つのダッシュボードで管理することができます。

出典：

「AWS Security Hub（統合されたセキュリティ & コンプライアンスセンター）| AWS」

AWS パートナーネットワーク (APN) のセキュリティソリューションと連携

AWS Security Hub では、AWSセキュリティサービスだけではなく、DeepsecurityなどのAWS Security Hubが対応する AWS パートナーネットワーク (APN) セキュリティソリューションが検出したセキュリティ事象も自動的に集約しており、検出したセキュリティ事象を、AWS Security Hub上で確認することができます。

AWS Security Hub がサポートする AWS パートナーネットワーク (APN) セキュリティソリューションは以下を参照下さい。

https://aws.amazon.com/jp/security-hub/partners/

一例として、

GuardDuty
Inspector
Deepsecurity(トレンドマイクロ製品)

を使用しているAWS環境で、AWS Security Hubで統合することでDeepSecurityの検出内容をInspectorやGuardDutyの検出内容と合わせてAWS Security Hub の1つの画面で見ることによりに問題点を効率的に分析しやすくなります。

料金

AWS Security Hubの料金項目として

コンプライアンスチェックの回数
検出結果の取り込みイベント数

に基づき算出されます。
料金一覧は公式サイトでご確認下さい。

https://aws.amazon.com/security-hub/pricing/

30日間の無料トライアル期間有り

まとめ

AWSは日に日に進化し、新しいサービスが提供されるため、AWS Security Hubなどのサービスを管理するサービスは今後も重要になっていきます。
AWS Security Hubをぜひ利用し、AWSの推奨するセキュリティ基準にしましょう。
セキュリティ対策効率化の一環として有効活用して下さい。

ネットワークに興味がある人に読んで欲しいコラム：