AWS Security Hub はクラウドセキュリティポスチャ管理 (CSPM) サービスで、お客様の AWS リソースに対してセキュリティのベストプラクティスを自動的かつ継続的にチェックすることでセキュリティ運用を効率化し、設定ミスの特定に役立ちます。Security Hub は、セキュリティアラート (つまり検出結果) を標準化された形式で集約し、優先順位を付けます。これにより、セキュリティアラート、調査、修正がより簡単になります。
Security Hub の利用を開始するには、AWS マネジメントコンソールから数回クリックするだけで、30 日間の無料トライアルを利用して検出結果の集約やセキュリティチェックを開始することができます。Security Hub を AWS Organizations と統合することで、組織内のすべてのアカウントで自動的にサービスを有効にすることができます。
AWS Foundational Security Best Practices 標準は Security Hub に組み込まれています。これは、AWS のセキュリティ専門家によって精査された、厳選された一連のセキュリティベストプラクティスで、イベントベースの継続的なモニタリングや、定期的なスケジュールでの実施が可能です。各コントロールには、是正作業の優先順位付けに役立つ特定の重大度評価があります。すべてのアカウントとリージョンでこの標準を有効にすることをお勧めします。また、当社は、新しいコントロールと追加のサービスカバレッジを備えることによって、当該標準を継続的に更新しています。
Security Hub は、AWS の基本的なセキュリティベストプラクティス基準に加えて、ペイメントカード業界のデータセキュリティ基準 (PCI DSS)、インターネットセキュリティセンター (CIS) のAWS財団ベンチマーク、米国標準技術研究所 (NIST) など、業界や規制の枠組みに合わせた追加標準を提供しています。これらの標準は、継続的な自動セキュリティチェックによっても強化されており、マッピングされている標準の数にかかわらず、セキュリティチェックの料金のお支払いは 1 回だけです。
Security Hub は、各標準および有効なすべての標準の各アカウントの単純な 0〜100 のセキュリティスコアを提供するとともに、管理者アカウントに関連付けられているすべてのアカウントの合計スコアも提供します。このスコアは、標準、アカウント、および/または組織用の合格したコントロールと失敗したコントロールの数に基づいています。
マネージドコントロールを使用する利点を損なうことなく、組織の特定のセキュリティガイドラインに従って Security Hub コントロールをカスタマイズできます。セキュリティハブの多くのコントロールでパラメータ値を変更できるため、セキュリティスコアを維持しながら、アカウント全体で手動でパラメータを構築してテストする手間が省けます。リソースが未使用と見なされるまでの日数、パスワードポリシーの特定の特性、高リスクポートのリストなどのパラメータを指定します。また、アカウントごとや地域ごとに更新しなくても、これらの構成と機能をグローバルにすべてまたは一部のアカウントで一元化できます。
特定の要件に応じて Security Hub ダッシュボードをカスタマイズすると、パターン、脆弱性、脅威をより簡単に識別できるようになり、迅速な対応が可能になります。Security Hub のダッシュボードには、AWS が観察した最新のクラウドセキュリティ脅威の状況を反映し、AWS のセキュリティ運用から学んだ教訓に基づいて慎重に選択された、AWS が管理する一連のインサイトが掲載されています。表示したいウィジェットを選択して変更したり、フィルターを適用して保存したりして特定の基準でコンテキストビューを作成したり、ニーズに合った組織のセキュリティ体制のデータとビューに優先順位を付けたりすることができます。
Security Hub は、Amazon GuardDuty からの侵入検出の検出結果、Amazon Inspector からの脆弱性スキャン、Amazon Macie からの Amazon Simple Storage Service (Amazon S3) バケットポリシーの検出結果、IAM Access Analyzer からの一般にアクセス可能なクロスアカウントリソース、および AWS Firewall Manager からの WAF カバレッジのないリソースなど、お使いの環境で有効になっている AWS セキュリティサービスからの検出結果を自動的に収集および統合します。Security Hub は、数十の統合された AWS パートナーネットワーク (APN) のセキュリティソリューションからの検出結果も統合します。すべての検出結果は、最終更新日から 90 日間 Security Hub に保存されます。
Security Hub は、AWS Security Findings Format (ASFF) を導入することにより、時間とリソースを大量に消費するデータ正規化プロセスを排除します。ASFF を使用すると、Security Hub のすべての統合パートナー (AWS のサービスと外部パートナーの両方を含む) が、1,000 を超える利用可能なフィールドで構成される適切に入力された JSON 形式で検出結果を Security Hub に送信します。つまり、すべてのセキュリティに関する検出結果は、Security Hub に取り込まれる前に正規化され、自ら解析や正規化を行う必要はありません。検出結果は、リソース、重大度、およびタイムスタンプを一貫した方法で識別し、それらをより簡単に検索してアクションを実行できるようにします。
AWS Security Hub コンソールで数回クリックするだけで、複数の AWS アカウントを接続して、これらのアカウントからの検出結果を統合できます。管理者アカウントを指定すると、セキュリティチームがすべてのアカウントで統合された検出結果を表示します。個々のアカウント所有者は自分のアカウントに関連付けられた検出結果のみを表示できます。AWS Organizations との統合により、Security Hub と AWS Foundation Security Best Practices 標準を使用して組織内の任意のアカウントを自動的に有効にすることができます。
ASFF のフィールドに基づいて検出結果をフィルタリングし、GroupBy ステートメントを使用して検出結果をバケットに集約します。例えば、検出結果をフィルタリングして [Critical] (重大) または [High] (高) の重大度の検出結果のみを表示し、リソース ID でグループ化して、どのリソースに [Critical] (重大) または [High] (高) の重大度の検出結果が最も多く存在しているかを確認できます。Security Hub は、これらのタイプの検索インサイトを呼び出します。また、Security Hub は事前にパッケージ化された両方のマネージドインサイトを提供し、お客様は独自のカスタムインサイトを定義できます。各洞察には、洞察に一致する検出結果の経時的な傾向を示す時系列のスパークラインが含まれています。
Security Hub の Amazon EventBridge との統合を使用して、カスタム自動応答、修復、および強化ワークフローを作成できます。Security Hub のすべての検出結果は自動的に EventBridge に送信され、AWS Lambda 関数、AWS Step Function 関数、または AWS Systems Manager Automation ランブックをターゲットとする EventBridge ルールを作成できます。Security Hub は、カスタムアクションを使用して検出結果をオンデマンドで EventBridge に送信することもサポートしています。また、Security Hub の自動応答および修復 (ASR) ソリューションでは、AWS Cloud Formation 経由でデプロイできる EventBridge ルールがあらかじめパッケージ化されています。
Security Hub は、さまざまなチケット、チャット、インシデント管理、脅威調査、ガバナンスリスクとコンプライアンス (GRC)、セキュリティオーケストレーションの自動化と対応 (SOAR)、およびセキュリティ情報およびイベント管理 (SIEM) ツールと統合されており、Security Hub から検出結果を自動的に送受信できます。
30 日間の無料トライアルでは、AWS Security Hub を無料でお試しいただけます。トライアル版には、Security Hub の全機能とセキュリティベストプラクティスチェックが含まれます。Security Hub が有効になっている各リージョンですべての AWS アカウントは、無料お試し版をご利用いただけます。無料トライアルでは、同じアカウントとリージョンで Security Hub を使い続けた場合の、月々の請求額の概算を知ることができます。Security Hubでは、アカウントごとに地域ごとに1か月あたり10,000件の検出結果が取り込まれる永久無料利用枠も提供しています。Security Hub の価格についての詳細をご覧ください。