Security Hub のよくある質問

AWS Security Hub は、重要なセキュリティ問題に優先順位を付け、大規模な対応を支援する統合クラウドセキュリティソリューションです。体制管理 (AWS Security Hub CSPM)、脆弱性管理 (Amazon Inspector)、機密データ (Amazon Macie)、脅威検出 (Amazon GuardDuty) など、複数のソースからのセキュリティシグナルを自動的に関連付けて充実化することで、重大な問題を検出します。これにより、セキュリティチームは、自動分析とコンテキストに基づくインサイトを通じて、クラウド環境内のアクティブなリスクを明らかにし、優先順位を付けることができます。Security Hub は、脅威の傾向やエクスポージャーの概要などの直感的な可視化を通じて、複雑なセキュリティシグナルをほぼリアルタイムのリスク分析を通じて実用的なインサイトに変換します。これにより、より多くの情報に基づいたセキュリティ上の意思決定を迅速に行えます。このソリューションには、大規模な修正を効率化する自動対応ワークフローも含まれているため、セキュリティリスクを軽減すると同時に、チームの生産性を向上させ、業務の中断を最小限に抑えることができます。

Security Hub CSPM (クラウドセキュリティ体制管理) では、セキュリティのベストプラクティスを自動的にチェックできるため、AWS アカウント全体のセキュリティ体制を把握しやすくなります。他のセキュリティ機能と連携してセキュリティ問題に優先順位を付け、大規模な対応に役立つ重要なセキュリティ体制シグナルを提供します。

Security Hub はその機能を強化し、一元化されたセキュリティ検出結果のアグリゲーターおよびセキュリティ体制管理サービスを提供することから、包括的な統合クラウドセキュリティソリューションへと進化しました。以前は Security Hub と呼ばれていたものが、セキュリティ検出結果の集約、セキュリティのベストプラクティスに照らしたチェック、およびコンプライアンス監視に重点を置いていましたが、Security Hub CSPM として利用できるようになりました。この基盤を基に、Security Hub は、脆弱性管理 (Amazon Inspector)、脅威検出 (Amazon GuardDuty)、体制管理 (AWS Security Hub CSPM)、機密データの検出 (Amazon Macie) などの複数の機能にわたるセキュリティシグナルを自動的に関連付けるようになりました。この強化された関連付けにより、検出結果を単独で確認する場合には見落としがちな重大なセキュリティリスクを特定できます。例えば、Security Hub は、重大な脆弱性を持つ公開リソースが機密データにもアクセスしたことを自動的に検出し、優先順位付けと対応のための重要なコンテキストを提供できるようになりました。セキュリティ検出結果の集約と体制管理について重要視していたことはすべてそのまま残り、これらの新機能によって強化されます。既存のセキュリティチェック、コンプライアンスモニタリング、統合は以前と同じように機能する一方、関連付け、分析、脅威の傾向、リスクの要約、自動対応のための強力な新機能も利用できます。この進化により、ほぼリアルタイムのリスク分析を通じて複数のセキュリティシグナルを実用的なインサイトに変換し、より多くの情報に基づいたセキュリティ上の意思決定をより迅速に行うことができるため、クラウド環境を保護するのに役立ちます。

AWS Security Hub は、クラウドセキュリティ体制管理 (CSPM) に焦点を当てたサービスから、統合クラウドセキュリティソリューションへと進化しました。GA では、Security Hub はプレビュー版よりも強化されています。例えば、ほぼリアルタイムのリスク分析により、より多くの情報に基づいたセキュリティ上の意思決定をより迅速に行うことができます。また、エクスポージャーの概要と脅威傾向ウィジェットを視覚的に分析できるトレンドダッシュボード、一元的な有効化と管理により、リージョンやアカウント全体にかけてワンクリックで設定して運用を合理化し、設定にかかる時間と複雑さを軽減します。Security Hub では、複数のサービス (Amazon Inspector、GuardDuty、Security Hub CSPM) の料金体系を統合する合理化された料金モデルも導入しています。これにより、コスト管理を最適化し、予算の予測可能性を高めることができます。また、投資の計画を立てるのに役立つコスト見積もりツールも用意されています。

• 統合セキュリティ運用: 統合型クラウドセキュリティソリューションの一元管理により、クラウド環境全体の可視性を高めます。
• 自信を持った優先順位付け: 自動的な関連付けと強化されたリスクコンテキストにより、重要なセキュリティ問題について十分な情報に基づいて意思決定を下せます。 
• 実用的なセキュリティインサイト: 脅威の傾向やエクスポージャーの概要など、ほぼリアルタイムのリスク分析を通じて実用的なインサイトを得て、お客様の環境特有のセキュリティリスクを明らかにします。
• 大規模な対応の効率化: 自動化されたワークフローとネイティブのチケットシステムを統合することにより応答時間を短縮し、クラウド環境の保護を支援します。
• 継続的なセキュリティモニタリング: 業界標準と AWS ベストプラクティスに照らした自動セキュリティチェックにより、セキュリティのベストプラクティスからの逸脱を検出します。

はい。Security Hub と Security Hub CSPM の両方を同時に使用できます。強化された Security Hub は、Amazon Inspector、Amazon GuardDuty、Amazon Macie などの他のセキュリティサービスとともに、Security Hub CSPM を体制管理に使用する統合クラウドセキュリティソリューションです。強化された Security Hub を有効にすると、Security Hub CSPM を活用してセキュリティのベストプラクティスに照らしたチェックとコンプライアンスモニタリングを自動化するのと同時に、これらの複数のセキュリティサービスにわたる高度な関連付け、エクスポージャーの検出結果、自動対応機能が加わります。このアプローチにより、既存の Security Hub CSPM 機能を維持しながら、統合された Security Hub ソリューションの強化された関連付けおよび優先順位付け機能を利用できます。どの機能を有効にするかはお客様次第ですが、セキュリティシグナルにわたる関連付けの自動化と強化されたコンテキストにより、重大なセキュリティ問題の優先順位付けと大規模な対応に役立つ完全な統合ソリューションを使用することをお勧めします。

Security Hub は、既存のワークフローを中断することなくセキュリティ運用を強化します。必要に応じて個々のサービスコンソールへのフルアクセスを維持しながら、複数のサービスからのセキュリティ検出結果を統合する統合コンソールエクスペリエンスが得られます。運用上の主な改善点としては、AWS Organizations 統合によるマルチアカウントデプロイの効率化、セキュリティ検出結果の一元管理、チームが重要な問題に最初に集中するのに役立つリスク優先順位付けの自動化などがあります。既存のセキュリティプロセスとチームワークフローはそのまま維持されますが、可視性が統合され管理が簡素化されることにより、より効率的になります。

Security Hub の合理化された料金モデルでは、Security Hub を有効にすると、複数の AWS セキュリティサービスからの請求を一括請求にまとめます。Amazon Inspector、GuardDuty、および Security Hub CSPM について個別に請求書を受け取るのではなく、含まれている機能について Security Hub を通じて一括して料金を支払うことができます。このモデルには 2 つの主要なコンポーネントがあります。Security Hub エッセンシャルプラン (自動的に付属) はリスク分析、脆弱性管理、セキュリティ体制管理、およびセキュリティ対応管理を行う一方、脅威分析プラン (アドオン) は脅威監視機能を強化できます。Security Hub が有効になっていない場合、これらのサービスは個別のサービス料金を使用します。詳細については、Security Hub の料金ページをご覧ください。

デプロイ方法には次の 2 つがあります。

統合セキュリティソリューション (推奨): 一般提供 (GA) 時には、Security Hub は統一された有効化プロセスを提供し、1 つの統合コンソールから複数の AWS リージョンとアカウントにわたる設定を管理できます。

• Security Hub の重要なサービスを有効にする:
• 体制管理のための Security Hub CSPM
• 脆弱性管理のための Amazon Inspector (Amazon EC2 スキャン、Amazon ECR コンテナスキャン、および AWS Lambda 標準スキャン)
• Amazon GuardDuty の脅威検出

個別のアプローチ: セキュリティ検出結果を個別に管理しながら、セキュリティサービスを単独で使用します。これにより、的を絞ったユースケースが可能になりますが、重大なセキュリティリスクを特定して優先順位を付けるには、検出結果を手動で関連付ける必要があります。強化された Security Hub の新機能 (エクスポージャーの検出結果、トレンド、リアルタイムのリスク分析、自動相関分析など) を使用するには、必須サービス (Security Hub CSPM と Amazon Inspector) を有効にする必要があります。これらの重要なサービスがなければ、これらのセキュリティ機能の恩恵を受けることはできません。特定のセキュリティニーズと好みに最適なアプローチを選択してください。ただし、セキュリティシグナル間の関連付けが自動化され、コンテキストが強化されるため、統合ソリューションが推奨されます。これにより、セキュリティリスクの優先順位付けと大規模な対応に役立ちます。

AWS Security Hub はリージョンレベルのサービスですが、集約リージョンを指定することで検出結果のクロスリージョン集約をサポートしています。リージョンの検出結果を表示するには、各リージョンで Security Hub を有効にする必要があります。

強化された Security Hub には AWS Config は必要ありません。ただし、Security Hub のコア機能である Security Hub CSPM では、アカウントで AWS Config を有効にし、リソース設定の変更を記録するように設定する必要があります。AWS Config でこれらの設定変更を追跡して、リソースの設定ミスの可能性を特定できるようにする必要があります。

いいえ。Security Hub は、統一されたビューと高度な関連付け機能を提供することで、他の AWS セキュリティサービスを補完します。Security Hub は Amazon GuardDuty、Amazon Inspector、Amazon Macie などのサービスから得られた検出結果を相互に関連付けて充実させますが、特定の設定や詳細な調査には、個別のサービスコンソールを使用する必要がある場合があります。Security Hub は統合セキュリティソリューションを提供し、クラウド環境全体にわたって分析と自動応答機能が強化されています。

Security Hub は、重大なセキュリティ問題に優先順位を付け、脅威の検出や脆弱性管理など、複数のソースからのセキュリティシグナルを自動的に関連付けて強化することで、規模に応じた対応を支援します。この関連付けを通じて、Security Hub はクラウド環境内のアクティブなリスクを明らかにして優先順位を付け、複雑なセキュリティシグナルを直感的な可視化と自然言語による要約を通じて実用的なインサイトに変換します。これにより、自動応答ワークフローを使用して大規模な修正を効率化しながら、より多くの情報に基づいたセキュリティ上の意思決定を迅速に行うことができます。クラウド環境を保護するために、セキュリティ体制の包括的な可視性を維持しながら、セキュリティリスクを軽減し、チームの生産性を向上させ、潜在的な業務中断を最小限に抑えることができます。

Security Hub は、セキュリティ上の検出結果を相互に関連付け、クラウド環境の重大な問題に優先順位を付けます。強化された Security Hub は、Amazon Inspector、AWS Security Hub CSPM、Amazon GuardDuty、Amazon Macie などのサービスからのリソースの関係とシグナルを分析することで、エクスポージャー検出結果を自動的に生成して重大なセキュリティ問題への対処を支援します。また、エクスポージャー検出結果は、さまざまなリソースの関係、設定、および関連付けられた検出結果がどのように組み合わされて、潜在的な攻撃経路を作り出すかを視覚的に把握するのにも役立ちます。例:「認証情報を盗む可能性: 管理インスタンスプロファイルを含むインターネットからアクセスできる EC2 インスタンスには、悪用される可能性が高いネットワーク悪用可能なソフトウェアの脆弱性があります」。 悪用される可能性のあるリソースについて明確なインサイトを得て、どの問題に最初に対処すべきかについて自信を持って判断できるため、検出結果を個別に確認すると見落とされがちな複雑なセキュリティシナリオを特定できます。

Security Hub は、AWS サービス全体で複数のセキュリティ特性を分析して関連付けることで、エクスポージャー検出結果の重大度を計算します。Security Hub は、これらの要因をバラバラに評価するのではなく、コンテキストに応じたアプローチを使用して、これらの要因の相関関係に基づいて重大度を評価しています。例えば、脆弱性が特定されたリソースは、インターネットから悪用される可能性がある場合や機密データにアクセスできる場合、重大度が高くなる可能性があります。

検出のしやすさ: 危険にさらされているリソースを検出するために、ポートスキャンやインターネット検索などの自動ツールを利用できること。

悪用のしやすさ: 脅威アクターがリスクを簡単に悪用できること。例えば、ネットワークパスが開いていたり、メタデータが誤って設定されていたりすると、脅威アクターはリスクをより簡単に悪用できるようになります。

悪用の可能性: Security Hub は、Exploit Protection Scoring System (EPSS) などの外部シグナルと内部の脅威インテリジェンスの両方を使用して、リスクが悪用される可能性を判断します。この包括的なアプローチは、Amazon Elastic Compute Cloud (EC2) インスタンスと AWS Lambda 関数のエクスポージャー検出結果にも当てはまります。

認識: リスクが単に理論上のものであるだけでなく、悪用が一般に公開されているか、または自動的に利用されているか。この要因は、EC2 インスタンスと Lambda 関数のエクスポージャー検出結果にも当てはまります。

影響: この脆弱性が悪用された場合の潜在的な危害。例えば、エクスポージャーにより、データ侵害による機密性の喪失、データの破損による完全性の喪失、可用性の喪失、または説明責任の失敗が引き起こされる可能性があります。

Security Hub は、脆弱性と設定ミスをどのように関連付けて、重要なリソースへの潜在的な攻撃経路を作り出すかを可視化するのに役立ちます。Security Hub は、セキュリティシグナルの関連付けを自動化することで、これらの潜在的な経路を特定し、影響を受ける可能性のある重要なリソースと潜在的なエクスポージャーの範囲を把握するのに役立ちます。このインサイトにより、修正作業の優先順位を決め、リスクが悪用される前に重要なリソースを保護するのに役立ちます。

Security Hub は、セキュリティ体制、設定の詳細、およびアプリケーションコンテキストを組み合わせた AWS リソースの統合ビューを提供します。インターネットでアクセスできるアセットとそれに関連付けられたセキュリティ検出結果を 1 つの統合ビューで特定できます。これにより、リソースタイプ全体にわたってセキュリティ分析を効率化できるため、重大なセキュリティ問題に優先順位を付け、大規模に対応できます。

Security Hub では、時間の経過に伴うセキュリティパターンを把握するのに役立つ、エクスポージャーの概要と脅威の傾向を通じた傾向分析を行います。統合ダッシュボードには、リスクベースの優先順位付けビュー、攻撃経路の可視化、傾向分析を表示するカスタマイズ可能なウィジェットが含まれています。これらの機能により、セキュリティ体制がどのように変化しているかを追跡し、環境内で新たな脅威や繰り返し発生する問題を特定できます。

Security Hub は、自動化されたワークフローと既存のチケットシステムとの統合を通じて、重大なセキュリティ問題に大規模に対応するのを支援します。Security Hub は、セキュリティシグナルを実用的なインサイトに変換し、自動対応機能を提供することで、チームの生産性を向上させ、業務の中断を最小限に抑えながら、セキュリティリスクを軽減するのに役立ちます。

Security Hub と Security Hub CSPM では、ソース、タイプ、形式、イベント配信という 4 つの重要な側面で検出結果が異なります。

• 検出結果のソース: Security Hub は、Security Hub CSPM (セキュリティチェックの検出結果)、Amazon GuardDuty、Amazon Inspector、Amazon Macie から検出結果を受け取ります。Security Hub CSPM は、AWS Config、AWS WAF、Amazon GuardDuty、Amazon Inspector、サードパーティーのパートナーツール、お客様のカスタム検出結果など、複数の AWS サービスから結果を受け取ります。
• 検出結果のタイプ: どちらも統合セキュリティサービスから検出結果を受け取りますが、強化された Security Hub では、AWS Security Hub CSPM、Amazon Inspector、Amazon Macie からのセキュリティシグナルを相互に関連付けて重大なセキュリティリスクを特定することで、エクスポージャーの検出結果も生成します。このようなエクスポージャーの検出結果は、複数のセキュリティシグナルにわたって自動的に関連付けることでコンテキストを強化します。
• 検出結果の形式: 強化された Security Hub は OCSF (Open Cybersecurity Schema Framework) 形式を使用する一方、Security Hub CSPM は ASFF (AWS Security Finding Format) を使用します。この形式の違いは、セキュリティ検出結果の管理と分析に対する独自のアプローチを反映しています。
• イベント配信: Security Hub CSPM の検出結果は、「Security Hub の検出結果 – インポート済み」という詳細タイプで Amazon EventBridge を通じて受け取ります。 Security Hub の検出結果は、「検出結果インポート済み V2」という詳細タイプで EventBridge を通じて受け取ります。

強化された Security Hub では、サードパーティーのパートナーツールからの検出結果は受け取りません。ただし、Security Hub CSPM と AWS パートナーツールとの統合を引き続き利用して、Security Hub CSPM 内で検出結果を送信、受信、更新することはできます。これにより、既存のパートナーツールのワークフローを維持しながら、AWS ネイティブセキュリティサービスの検出結果向けの強化された関連付けおよび優先順位付け機能の恩恵を受けることができます。

いいえ。リソースリストで確認できるのは、セキュリティ機能によって評価できるリソースタイプ (Security Hub CSPM、Amazon Inspector、GuardDuty、または Macie) だけです。ただし、これらのリソースタイプ内の個々のリソースはすべてリストに含まれます。Security Hub リソースリストビューにはセキュリティに重点を置いたリソースインベントリが表示され、サポートされているリソースとそれに関連付けられた脆弱性、脅威、特性が表示されます。この的を絞ったビューは、クラウド環境全体で公開されているすべてのアセットを表示するなどして、重要なリソースを特定して優先順位を付けるのに役立ちます。

Security Hub は、自動化されたワークフローと既存のチケットシステムとの統合を行うことで対応を迅速化し、セキュリティ問題に効率的に対処するのに役立ちます。標準化された Open Cybersecurity Schema Framework (OCSF) 形式を活用し、SIEM、SOAR、チケットシステムなどの既存のセキュリティツールとのシームレスな統合を可能にします。希望のコミュニケーションチャネルで自動応答アクションを設定したり、アラートをトリガーしたりできます。この統合により、セキュリティ問題に効率的に対処し、応答時間を短縮し、セキュリティ運用における手作業を最小限に抑えることができます。

Security Hub で異なる委任管理者を設定できるかどうかは、現在の設定に左右されます。さまざまなシナリオは次のとおりです。

• Security Hub CSPM が委任管理者アカウントを組織管理アカウントとして定義している場合、Security Hub は任意のアカウントを委任管理者アカウントに設定できます。
• Security Hub CSPM に委任管理者アカウントが定義されていない場合、Security Hub は任意のアカウントを委任管理者に設定できます。
• Security Hub CSPM が委任管理者アカウントを組織管理アカウント以外のアカウントとして定義した場合、Security Hub は委任管理者アカウントを Security Hub CSPM と同じアカウントに自動的に設定します。いずれかのサービスの委任管理者アカウントに加えた変更は、どちらのサービスにも適用されます。

一貫したガバナンスと最小権限のアクセスコントロールを維持するために、Security Hub、Security Hub CSPM、GuardDuty、Amazon Inspector、Macie を含むすべてのセキュリティ機能に同じ委任管理者を使用することをお勧めします。

AWS Security Hub は AWS Organizations ポリシーを使用して、組織のメンバーアカウント全体にかけて Security Hub の有効化と設定を管理します。AWS Security Hub では一元設定を使用することはできませんが、AWS Security Hub CSPM の一元設定は引き続き使用できます。

Security Hub と Security Hub CSPM を併用する場合、Security Hub にも存在するソースの検出にルールが適用される場合は、CSPM のオートメーションルールを Security Hub に移行することをお勧めします。これにより、Security Hub での最終的な検出状態が可視化され、CSPM と Security Hub の同じ検出結果タイプに対してルールが重複して使用されることがなくなります。

CSPM は、クラウドのセキュリティ体制を維持するために、ワークロード、アカウント、リソース全体にわたる設定ミスの問題やコンプライアンスリスクを特定する手法です。Security Hub CSPM は CSPM 向けの AWS サービスで、セキュリティのベストプラクティスをチェックし、アラートを集約し、AWS アカウント、ワークロード、リソース全体の自動修復を可能にします。

初めて Security Hub CSPM コンソールを開いたときに、[開始] を選択し、次に [有効にする] をクリックします。Security Hub CSPM は、サービスがリンクされたロールを使用します。このロールには Security Hub が必要とするアクセス許可と信頼ポリシーが含まれており、検出結果を検出して集約し、セキュリティチェックの実行に必要な前提条件となる AWS Config インフラストラクチャを設定します。Security Hub CSPM コントロールの多くは、アカウントのセキュリティチェックを実行するために AWS Config をアクティブ化する必要があります。

インサイトは、関連する検出結果の集まりです。Security Hub CSPM は、お客様固有の環境に合わせてさらに調整できるフィルターを使用した、マネージドインサイトを提供しています。例えば、インサイトは、重要な脆弱性に対するセキュリティパッチが欠けている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや、パブリックな読み取りまたは書き込み権限を持つ Amazon Simple Storage Service (Amazon S3) バケットを特定するのに役立ちます。管理型カスタマイズした Security Hub の分析情報は、AWS 環境におけるセキュリティの問題を追跡する助けとなります。

セキュリティ標準は、規制フレームワークや業界のベストプラクティスに基づいたコントロールの集まりです。Security Hub CSPM は、コントロールに対する自動セキュリティチェックを行います。各セキュリティチェックは、単一のリソースに対するルールの評価で構成されています。単一のコントロールが複数のリソース (IAM ユーザーなど) を含み、各リソースに対してセキュリティチェックを実行します。Security Hub CSPM が有効になると、各コントロールとそのコントロールに関する各関連リソースに対して、継続的な自動化セキュリティチェックを即座に実行します。サポートされている標準と関連コントロールの詳細については、Security Hub CSPM 標準リファレンスにアクセスしてください。

AWS Foundational Security Best Practices 標準は、特定の AWS 製品に関する知識を備えた関連サービスチームと AWS Security が共同で開発した一連のコントロールです。これらのコントロールは、AWS アカウントとリソースがセキュリティのベストプラクティスから逸脱しているかどうかを検出します。この標準により、すべての AWS アカウントとワークロードを継続的に評価して、ベストプラクティスから逸脱している領域をすばやく特定できます。組織のセキュリティ体制を改善および維持する方法について、実践的で規範的なガイダンスを提供します。コントロールには複数の AWS サービスのリソースに対するセキュリティのベストプラクティスが含まれ、各コントロールには適用されるセキュリティ機能を反映したカテゴリが割り当てられます。

はい、Security Hub CSPM と AWS Config コンフォーマンスパックはどちらもコンプライアンスの継続的な監視をサポートしています。基盤となる AWS Config ルールは、定期的に、またはリソースの設定に対する変更を検知したときにトリガーできます。AWS Config を使用すると、お客様の AWS リソースの設定と企業ポリシーおよびガイドラインとの全体的なコンプライアンスが継続的に監査および評価されます。

Security Hub CSPM は、サービスとしてセキュリティとコンプライアンス体制の管理を行います。AWS リソースの設定を評価するための主なメカニズムとして AWS Config と AWS Config ルールを使用します。AWS Config ルールは、リソースの設定を直接評価するためにも使用できます。これらのルールは、AWS Control Tower および AWS Firewall Manager などの AWS のその他サービスでも使用されています。

PCI DSS などのコンプライアンス標準が既に Security Hub CSPM に存在する場合、それを運用するための最も簡単な方法として、フルマネージド型の Security Hub CSPM 機能を挙げることができます。Security Hub CSPM の Amazon Detective との統合を介して検出結果を調査できるほか、Security Hub CSPM の Amazon EventBridge との統合を使用して、自動または半自動の修正アクションを構築できます。ただし、セキュリティ、運用、およびコスト最適化チェックが含まれる場合がある独自のコンプライアンスまたはセキュリティ標準を組み合わせるには、AWS Config コンフォーマンスパックが最適です。

AWS Config コンフォーマンスパックは、AWS Config ルールと関連する是正アクションのグループを 1 つのエンティティにまとめることで、AWS Config ルールの管理を簡素化するために使用できる推奨テンプレートです。このパッケージ化により、組織全体でのルールのデプロイと修正アクションが簡素化されます。また、コンプライアンスの概要をパッケージレベルで報告できるため、集約された報告も可能になります。AWS Config コンフォーマンスのサンプルから始めて、必要に応じてカスタマイズできます。

AWS Systems Manager は AWS の運用ハブであり、インフラストラクチャを簡単に管理できるようにします。AWS Systems Manager OpsCenter は、IT オペレータや DevOps エンジニアが AWS リソースに関連する運用上の問題を一元的に診断および解決できます。また、AWS Systems Manager Explorer は、AWS アカウントやリージョン全体の運用データを表示する運用ダッシュボードです。セキュリティとコンプライアンスの専門家と DevOps エンジニアは、Security Hub CSPM を使用して、AWS アカウントとリソースのセキュリティ体制を継続的に監視し、改善しています。

ほとんどのお客様は、セキュリティの問題 (例えば、Amazon S3 バケットが公開されている、Amazon EC2 インスタンスでクリプトマイニングが検出された) と運用上の問題 (例えば、Amazon Redshift インスタンスが十分に活用されていない、または Amazon EC2 インスタンスが過剰に利用されている) を切り分けています。これは、セキュリティの問題の機密性が他かっく、通常はアクセス要件が異なるためです。そのため、これらのお客様は、Security Hub を使用してセキュリティの問題を理解、管理、および是正し、Systems Manager を使用して運用上の問題を理解、管理、および是正しています。また、セキュリティ体制に関するより詳しい情報を得るために Security Hub CSPM を使用することをお勧めします。

同じエンジニアがセキュリティの問題と運用上の問題の両方に取り組む場合、それらを 1 か所に統合すると便利です。これを行うには、検出結果が OpsCenter および Explorer に送信されるようにオプトインします。エンジニアは、AWS Systems Manager Automation ランブックを使用して、運用上の問題とともにセキュリティの問題を調査および是正できます。

セキュリティハブは、AWS Config、Amazon GuardDuty、AWS Health、Amazon Inspector、AWS Firewall Manager、AWS IAM Access Analyzer、AWS IoT Device Defender、Amazon Macie など、複数の AWS サービスからのセキュリティアラートまたは検出結果を分析します。さらに、AWS Security Hub と統合され、標準化された検出結果形式をサポートする、利用可能なサードパーティパートナー製品統合のリストを参照してください。

強化された Security Hub の使用を開始するのは簡単です。特に、他の AWS セキュリティサービスを使用している場合は特にそうです。強化された Security Hub では、複数のリージョンやアカウントにわたってワンクリックで一元的に有効化できるため、設定の複雑さが軽減されます。Security Hub を有効にすると、Security Hub に必要なサービスと追加サービスの両方が自動的に有効になります。これには、体制管理用の Security Hub CSPM、脆弱性管理用の Amazon Inspector 機能 (Amazon EC2 スキャン、Amazon ECR スキャン、AWS Lambda 標準スキャン)、脅威検出用の Amazon GuardDuty、機密データの検出用の Amazon Macie などがあります。この統合ソリューションは完全なセキュリティカバレッジを提供し、Security Hub の自動関連付け機能を最大限に活用できるようにします。新しく設計されたコンソールまたは API を使用して、強化された Security Hub を有効にできます。このプロセスはシームレスに行われるように設計されているため、現在の運用を中断することなくセキュリティ体制の可視性を高めることができます。

はい。セキュリティのベストプラクティスに照らして AWS リソースを評価することが主なニーズである場合も、引き続き Security Hub CSPM を使用できます。ただし、重要なセキュリティ問題に優先順位を付け、大規模に対応できるように、強化された Security Hub を試してみることをお勧めします。強化された Security Hub では、複数の機能にわたるセキュリティシグナルを自動的に相互に関連付けて充実化し、それらを実用的なインサイトに変換し、自動応答ワークフローを提供します。これにより、セキュリティ体制の包括的な可視性を維持しながら、セキュリティリスクを軽減し、チームの生産性を向上させ、潜在的な業務中断を最小限に抑えることができます。 

はい。Security Hub CSPM では、セキュリティ標準に対してどのようにセキュリティを実践しているかを示すスコアが作成されます。このスコアは、Security Hub のメインダッシュボードに表示されます。セキュリティ標準までクリックを続けると、注意を要する制御のまとめが表示されます。Security Hub CSPM では、そのコントロールがどのように評価されたか、そして問題を緩和する方法に関する参考情報としてのベストプラクティスを確認できます。

いいえ。Security Hub CSPM は自動セキュリティチェックに重点を置いています。ほとんどのセキュリティ標準には、自動での方法では確認できないさまざまなコントロールがあります。しかし、これらは Security Hub CSPM の範囲外です。Security Hub CSPM のセキュリティチェックは監査の準備に役立ちます。しかし、セキュリティ標準に関する監査に合格することを意味するものではありません。

はい。Security Hub CSPM を使用すると、組織の特定のニーズに合わせてセキュリティチェックをカスタマイズすることができます。これはパラメータをカスタマイズすることで実現できます。たとえば、強力な IAM パスワードの意味や、未使用の認証情報を削除したり、未使用のインスタンスを停止したりするための最大期間を定義できます。

Security Hub CSPM は CIS AWS の Foundations Benchmark v1.2.0 と v1.4.0 をサポートしています。Security Hub CSPM のドキュメントには、具体的なコントロールの詳細と、各チェックが特定の CIS AWS Foundations Benchmark 要件にどのようにマッピングされるかが記載されています。

Security Hub CSPM の Payment Card Industry Data Security Standard (PCI DSS) は、一連の AWS セキュリティベストプラクティスコントロールで構成されています。各コントロールは特定の AWS リソースに適用され、1 つ以上の PCI DSS 要件に関連しています。Security Hub CSPM は、PCI DSS バージョン 3.2.1 とバージョン 4.0.1 の両方をサポートするようになりました。Security Hub CSPM のドキュメントには、Security Hub CSPM の PCI DSS チェックが特定の PCI DSS 要件にどのようにマッピングされるかについての詳細な記載があります。

はい。Security Hub と Security Hub CSPM の両方を同時に使用できます。強化された Security Hub は、コアサービス (Security Hub CSPM と Amazon Inspector) を含み、追加のサービス (Amazon GuardDuty と Amazon Macie) と統合される統合クラウドセキュリティソリューションで、クラウド環境を保護するのに役立ちます。どのサービスを有効にするかはお客様次第ですが、セキュリティシグナルにわたる関連付けの自動化と強化されたコンテキストにより、重大なセキュリティ問題の優先順位付けと大規模な対応に役立つ完全な統合ソリューションを使用することをお勧めします。