AWS Security Hubの概要
目次
AWS Security Hubの概要
AWS(Amazon Web Services)などのパブリッククラウドに限った話ではないですが、何らかのセキュリティインシデントが発生すると、インシデントの重大性や影響を判別し、暫定対応や恒久的な対応を行うまで管理していくことは非常に重要です。
これは、ITIL(ITサービスの運用における成功事例をまとめた文書)のインシデント管理や問題管理プロセスに定義されている、システム運用上重要な要素の一つです。
AWSにおいては、AWS Security Hubというサービスを利用してAWS上で利用しているサービスのアラートを一元管理することができます。
複数のサービスで発生したセキュリティアラートの集約や整理、優先順位付けを行い、一つの管理画面でわかりやすく見ることができ、複数のサービスにまたがって届く膨大な数のアラートをひとつひとつ確認して処理する手間を減らすことが期待できます。
AWS Security Hubの仕組み
AWS Security Hubは下記の図のように稼働しています。
引用元:AWS Security Hub (https://aws.amazon.com/jp/security-hub/)
具体的には、下記のAWSサービスと統合し、インシデントと疑われる事案や、脆弱性のスキャンを行った結果について集約的に情報を表示することが可能です。
- Amazon GuardDuty
- Amazon Inspector
- IAM Access Analyzer
- Amazon Macie
- AWS Firewall Manager
上記のサービス以外にも、AWSアカウントやサポートされているサードパーティー製品も連携可能である場合があります。ただし、AWS Security Hubで統合されたアラートによる自動修復の機能はありません。したがって、セキュリティインシデントやセキュリティ上の問題が発生したときは管理者自身が対応する必要がある点には注意が必要です。
AWS Security Hubの2つの役割
AWS Security Hubの役割は大きく分けて2つあります。
- セキュリティイベントの集約
- セキュリティチェック
それぞれの役割のユースケースや重要性について、具体的に見ていきます。
セキュリティイベントの集約
セキュリティインシデントが実際発生したときには、どのように対応・解決を進めればいいのでしょうか。内閣府の組織であるJPCERTではインシデント対応時のフローとして、初動で重要な対応としては、『検知』『トリアージ』が挙げられています。
(https://www.jpcert.or.jp/csirt_material/files/manual_ver1.0_20151126.pdf)
検知は、セキュリティイベントを発見したり、連絡を受けたり、といった内容です。トリアージは、検知したイベントの情報に基づいて、事実関係を確認し、対応すべきインシデントか否かを判断することです。セキュリティインシデントの対応時は、何よりも検知とトリアージを迅速に行うかが大切です。
例えば、情報漏洩が疑われる場合は、情報漏洩している経路を特定し、迅速に遮断や対応を行うことで、被害を最小限に抑えることができます。
AWS Security Hubによりセキュリティイベントを集約することは、検知とトリアージを行う上で重要です。セキュリティインシデント発生時に、さまざまなAWSのサービスにおいて発生したアラートをチェックし、それぞれの関連性を調査したうえで優先順位や対処法を決定するには膨大な時間が必要となります。AWS Security Hubは一つの画面でアラートを集約するため、検知やトリアージにかかる時間を大幅に短縮することができます。
AWSを安心、安全に利用するスタイルズのAWSセキュリティサービスはこちら→
セキュリティチェック
AWS Security Hubは、セキュリティチェックやコンプライアンスチェックが可能です。AWSでは、様々な機能についてセキュリティを考慮した設定を行う必要がありますが、数が多いがゆえに場合によっては漏れが生じてしまうことがあります。AWSなどのパブリッククラウドの利用においては、そのような間違った設定は致命的なインシデントにつながる可能性があります。
そのような設定は事前に発見して、必要に応じて是正を行っていくということが何よりも重要です。AWS Security Hubの機能によって、公的またはAWSが推奨するセキュリティ基準に則り、セキュリティチェックを行うことができます。
このように誤ったセキュリティを是正していく考え方を『発見的ガードレール』といい、クラウドセキュリティにおいては非常に重要な考え方の一つです。
AWS Security Hubで設定できるセキュリティチェックのルールセット
セキュリティチェック時に利用できるルールセットがAWS Security Hubでは用意されています。具体的には、下記の基準に沿ってチェックが可能です。
- CIS AWS Foundations Benchmark
米国の非営利団体である CIS (Center for Internet Security) が公開しているAWS アカウントの基本的なセキュリティを実装するための技術的なベストプラクティスです。詳細や具体的な項目については公式サイト(https://www.cisecurity.org/benchmark/amazon_web_services)で内容を確認することができます。 - PCI DSS(Payment Card Industry Data Security Standard)
カード会員情報の保護を目的として、VISAなどのクレジットカードブランド5社が共同で策定したカード情報セキュリティの国際統一基準です。 - AWS 基礎セキュリティのベストプラクティス
AWSが用意しているセキュリティ基準です。クレジットカード情報を扱うなどの特別な要件がなければこちらの『AWS 基礎セキュリティのベストプラクティス』に沿ってチェックを行うことがおすすめです。
AWS Security Hubの料金
Amazon Security Hubは、以下 2種類の料金体系の合算で計算します。
- コンプライアンスチェックの数
- 検出結果取り込みイベントの数
ただし、東京リージョンにおいて1アカウント当たり最初の100,000件分のコンプライアンスチェックが0.0010USD/件であることや、1アカウント当たり最初の10,000件のイベント取り込みについては無料であるなど、非常に格安で利用することができます。またAWS Security Hubでは使用開始後30日は無料期間となっています。料金が発生することなく検証することが可能なので、使用感などの確認で使ってみるのもいいでしょう。
AWSを安心、安全に利用するスタイルズのAWSセキュリティサービスはこちら→
AWS Security Hub の注意事項
AWS Security Hubを利用する上での注意事項としては下記の3点が挙げられます。留意してミスなどの無いように利用していくことが何よりも重要です。
- セキュリティチェックを行う為には、AWS Configの有効化が必要
- リージョン毎に有効化が必要
- 検知したインシデントについては、あくまで利用者側で対応が必要
特に、3点目は非常に重要です。AWS Security Hubを導入することと同時に、インシデント発生時の5W1Hや対応基準についても定めておく必要があります。このように社内のインシデント対応フローを整備、見直しすることで、強固なセキュリティ運用体制を構築することができます。Lambdaなどとも連携して、自動で対応を行うといった作りこみも可能ではありますが、スキルとの兼ね合いで実施することをお勧めします。
AWS Security Hubの具体的な設定方法は、スタイルズのオンラインウェビナー「30分でわかる!30分でわかる!AWS Security Hubによるセキュリティチェック」でわかりやすく解説しています。こちらのページより「330分でわかる!AWS Security Hubによるセキュリティチェック」をお申し込みください。いつでも視聴可能です。