AWS Security Hubとは? 機能や料金、使用時の注意点を解説
AWSを使う上で、環境全体のセキュリティ状態の把握や、膨大な量のアラートへの対応が難しいと感じているユーザ多いのではないでしょうか。
本記事では、これらの課題を解決するサービス「AWS Security Hub」の概要から機能、使用するうえでの注意点、料金を解説します。
この記事の目次
AWS Security Hubとは
AWS Security Hubとは、AWSリソースのセキュリティ設定がベストプラクティスに準拠しているかどうかを自動的にチェックし、推奨される設定を提案するサービスです。CSPM※に相当するサービスであり、人の手による設定ミスを機械的にチェックすることが可能です。
ユーザはAWS上で動作するシステムやアプリケーションのセキュリティ状態をダッシュボードで一元的に確認することができます。組織内のさまざまなセキュリティデータを収集して可視化可能です。
※CSPM(Cloud Security Posture Management)・・クラウド環境のセキュリティ設定を監視し、リスクを軽減するためのツールやプロセスのこと
AWS Security Hubの機能
AWS Security Hubの主な機能は次のとおりです。
自動セキュリティチェック
AWS Security Hubは、業界標準やAWSのベストプラクティスに基づいたセキュリティ基準を用いて、セキュリティチェックを自動で行います。チェック結果は100点満点のスコアで表示され、高いほど基準に沿った設定になっていることを示します。Security Hubで失敗している項目を確認し、優先度の高い項目から改善を行うことで、セキュリティレベルを向上させることができます。
セキュリティ基準は以下のとおりです。
AWS Foundational Security Best Practices (FSBP) 標準
AWSが独自に開発した基準で、AWSのサービスにおけるセキュリティのベストプラクティスをまとめたものです。AWSサービスの設定不備を見つけ出し、基本的なセキュリティ対策の実装状況を確認できます。小規模プロジェクトのセキュリティ基準として使用するのがおすすめです。
Center for Internet Security (CIS) AWS Foundations Benchmark
Center for Internet Security(CIS)という非営利組織が公開している、AWS環境のセキュリティ評価基準です。AWSアカウントのセキュリティ設定に関する包括的なガイドラインを提供しているのが特徴です。基幹業務を支えるシステムのセキュリティとして向いています。
米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5
米国連邦政府機関の情報システムとデータを保護するためのセキュリティ管理基準です。政府機関が遵守すべき詳細な管理策を規定しています。NISTによって策定・更新が行われ、連邦情報セキュリティマネジメント法(FISMA)に基づく要件となっています。米国の政府機関と取引を行う企業で活用されています。
Payment Card Industry Data Security Standard (PCI DSS)
クレジットカード業界のセキュリティ基準で、カード会員データを扱う組織が遵守すべき要件をまとめたものです。カード情報を扱うシステムを構築・運用する場合は、この基準が必須です。
AWS Security Hubを有効化する際は、デフォルトでFSBPとCIS AWS Foundations Bench Mark v1.20の二つの基準が選択されています。他の標準を選択させたい場合は、コンソール上で設定ができます。複数の基準を適応させることも可能です。
セキュリティアラートの集約
AWS Security Hubは、Amazon GuardDutyやAmazon InspectorなどのAWSのセキュリティサービスのほか、サポートされているパートナー製品で検知されたセキュリティアラートを統合してダッシュボードに表示します。
通常、それぞれのサービスのアラートを確認して関連性を調査し、優先順位をつけて対応することになりますが、それには膨大な時間と手間がかかります。AWS Security Hubを利用すると1つのダッシュボードで管理できるため、インシデントや不審な動きを検知・対応しやすくなります。
また、各サービスの管理画面を行き来する必要がなく、アラートの設定もAWS security Hubの画面上でできるため、管理の効率化にもつながります。
Amazon GuardDuty やAmazon inspectorについては以下の記事で説明しています。
ぜひご確認ください。
Amazon Inspectorとは? AWSの脆弱性管理サービスについて概要や特徴や料金について解説 |ベアサポートブログ
Amazon GuardDutyとは?AWS環境の脅威検出サービスを解説|ベアサポートブログ
AWS他サービスを使った自動対応
AWS Security Hub自体にはセキュリティ上の問題やアラートを検知しても自動で対応する機能はありません。しかしAmazon EventBridgeなどの他サービスと連携することで自動対応と修復まで実施することも可能です。たとえば次のようなカスタムができます。
- AWS Security Hubが特定のセキュリティの問題を検出したときに、自動的にLambda関数を実行して修復スクリプトを実行する
- AWS Security Hubが特定の条件を満たすアラートを検知した際に通知を送信する
AWS Security Hub使用時の注意点
AWS Security Hubを使用する際には、以下のポイントに注意しましょう。
利用中のリージョンごとに有効化が必須
AWS Security Hubは利用中のリージョン全てで有効化する必要があります。リージョン単位で動作し、他リージョンのリソースは評価対象にならないためです。そのため、AWS Security Hubを有効化させたいシステムが複数のリージョンを跨ぐ場合、それぞれのリージョンで有効化しましょう。
AWS Configの有効化が必須
セキュリティ基準を使ったセキュリティチェックを使う際、AWSリソースの設定を継続的に監視・記録・評価するサービスであるAWS Configの有効化が必須です。有効化することで、リソース設定の不備やコンプライアンス違反を早期に検出し対処できるようになります。
セキュリティチェック項目の選別
AWS Security Hubでは、セキュリティ基準の中から個別のチェック項目を無効化することができます。セキュリティチェックは実行回数に応じて課金され、有効化したコントロールごとに料金が発生します。そのため、利用にあたって不要なチェック項目を無効化することで、コストを削減できます。
AWS Security Hubの料金
最後に、AWS Security Hubの料金について解説します。次の3つの要素別に料金が設定されており、これらの組み合わせで算出されます。
またAWS Security Hubには30日間の無料トライアルが用意されており、すべての機能を試すことができるため、事前にコストを試算してみると良いでしょう。
セキュリティチェック
AWSリソースに対して実施したセキュリティチェックの回数に応じて算出される料金です。
| 最初の 100,000 件のチェック/月 | 0.0010USD/チェック |
| 以後 400,000 件のチェック/月 | 0.0008USD/チェック |
| 500,000 件以上のチェック/月 | 0.0005USD/チェック |
検出結果の取り込みイベント
AWSのサービス、パートナー製品からの検出結果を取り込む回数に応じて算出される料金です。ただしAWS Security Hubのセキュリティチェック結果の取り込みは無料です。
| 最初の 10,000 イベント/月 | 無料 |
| 10,000 以上のイベント/月 | 0.00003USD/イベント |
自動化ルール
検出結果をほぼリアルタイムで自動的に更新する自動化ルールを適用する件数に応じて算出される料金です。
| 最初の 100 万件のルール評価/月 | 無料 |
| 以後 9,900 万件のルール評価/月 | 100 万件の評価につき 0.15USD |
| 以後 9 億件のルール評価/月 | 100 万件の評価につき 0.075USD |
| 10 億件以上のルール評価/月 | 100 万件の評価につき 0.023USD |
上記の料金は、リージョンを「アジアパシフィック(東京)に設定した際の金額です。異なるリージョンや最新の金額を知りたい場合は以下のサイトをご確認ください。
AWS「AWS Security Hub の料金」(2024/11/21 参考)
まとめ
AWS Security Hubは、AWS上で動作するアプリケーションやシステムのセキュリティ状態を一元的に管理できるサービスです。複雑なシステム構成の場合でも、セキュリティ設定の問題やアラートを一箇所で可視化して、トラブルを未然に防ぎます。まずは無料トライアルで試してみてはいかがでしょうか。
