LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

セキュリティ Qiita Tech Festa 2025
Qiita Tech Festa20252025年7月15日まで開催中!
@HIRA_dayo(平木 佳介)in株式会社サイバーセキュリティクラウド

Organizations に新しいポリシー「Security Hub ポリシー」が追加されていたので試してみる

Last updated at Posted at 2025-07-03

こんにちは、CSC の平木です!

みなさん、Organizations のポリシーは活用してますか?

今回、Organizations に新しいポリシー「Security Hub ポリシー」が追加されていたので、何ができるのか検証し解説します。

3 行まとめ

  • Security Hub CSPM ではなく Security Hub を中央集権管理するもの
  • 「リージョンを指定/すべてのリージョン」において「すべてのアカウント/対象の OU 配下のアカウント」の Security Hub を一括で有効化・無効化できる
  • 中央設定とは別物なので注意

Security Hub ポリシーとは

AWS Organizations と連携し、組織全体の Security Hub の設定を一元的に管理・強制できる仕組みです。
管理アカウントまたは委任管理者がポリシーを定義し、組織や OU(組織単位)に適用することで、全アカウントに一貫したセキュリティ基準を自動的に適用できます。

注意事項
AWS Security Hub の有効化または無効化を強制させる作用が働くのであって、
Security Hub CSPM には適用されないのでご注意ください。

主な特徴・メリット

  • 組織全体・複数リージョンで Security Hub を一元管理
  • 新規アカウント追加時も自動でポリシー適用される
  • OU ごとに柔軟な設定が可能
  • メンバーアカウントによる設定変更を防止
  • 親ポリシー・子ポリシーの継承で細やかな制御

中央設定との違い

AWS Security Hub CSPM という呼称になる前は、
中央設定により、Organizations 配下の AWS アカウントをまとめて中央集権的に管理できました。

Security Hub が Security Hub と Security Hub CSPM に分離したことにより、
Security Hub CSPM は中央設定で管理し、Security Hub は Security Hub ポリシーにより管理する形となります。

詳しいことはまた次の記事で触れていきたいと思います。

ポリシーの動作・継承

  • ポリシーはルート OU や 各 OU にアタッチし、下位アカウントに継承されます。
  • 複数のポリシーが適用される場合、下位(アカウントに近い)ポリシーが優先されます。
  • ALL_SUPPORTEDを指定すると、今後追加されるリージョンも自動的にカバーします。
  • 有効化・無効化の両方に同じリージョンが指定された場合は「無効化」が優先されます。(IAM ポリシーと同じですね)

ポリシーの構造

下記は構造の例です。

{
   "securityhub":{
      "enable_in_regions":{
         "@@append  | @@assign | @@remove":[
            "<リージョン名> | ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@append  | @@assign | @@remove":[
            "<リージョン名> | ALL_SUPPORTED"
         ]
      }
   }
}
  • securityhub
    • ポリシー設定のトップレベルコンテナ(決まり文句的なやつ)
  • enable_in_regions
    • Security Hub を有効化するリージョンのリスト
    • 空の記載でも可
  • disable_in_regions
    • Security Hub を無効化するリージョンのリスト
    • 空の記載でも可
  • 継承演算子(@@assign, @@append, @@remove
    • @@assign: 親ポリシーの値を上書き
    • @@append: 親ポリシーの値に追加
    • @@remove: 親ポリシーの値から指定したリージョンを削除

やってみた

Organizations 内のポリシータブをクリックすると、Security Hub ポリシーが追加されていることがわかります。

まずはここをクリックします。

securityhubpolicy_2025-07-03-18-04-08.png

「Security Hub ポリシーを有効にする」を押すと機能を有効化できます。

securityhubpolicy_2025-07-03-18-06-46.png

有効化できたらまずサンプルで一個ポリシーを作成していきます。

securityhubpolicy_2025-07-03-18-07-55.png

サンプルとして以下のようにポリシーを作成してみました。

{
  "securityhub": {
    "enable_in_regions": {
      "@@append": [
        "ap-northeast-3"
      ]
    },
    "disable_in_regions": {
      "@@append": [
        "ap-northeast-1"
      ]
    }
  }
}

違いがわかりやすいよう大阪リージョンの設定を有効化し、東京リージョンを無効にしてみます。

securityhubpolicy_2025-07-03-18-11-24.png

ポリシーを作成したら OU またはアカウントに割り当てを行う必要があるため、ターゲットから「アタッチ」を押します。

securityhubpolicy_2025-07-03-18-12-00.png

続いて対象の OU またはアカウントにチェックを入れ、「ポリシーのアタッチ」を選択します。

securityhubpolicy_2025-07-03-18-14-01.png

これで割り当ては完了です。

実際に対象のアカウント内で見てみると、有効化または無効化を確認でき、それぞれ無効化・有効化してみたら権限エラーが出ていることも確認できました。

securityhubpolicy_2025-07-03-18-18-12.png

securityhubpolicy_2025-07-03-18-18-57.png

securityhubpolicy_2025-07-03-18-19-42.png

securityhubpolicy_2025-07-03-18-20-27.png

おまけ

ポリシーをデタッチした場合、
既存の設定は残るため切り戻したい場合は手動で対応が必要です。

参考リンク

まとめ

今回は、Organizations で新しくできたポリシー「Security Hub ポリシー」について解説しました。

Security Hub が分裂したことにより、今後 Orgaznitions における Security Hub の集約管理も少し変わってきそうです。

ぜひこの機能を活用しガバナンスを強化いただければと思います。

この記事がどなたかの役に立つとうれしいです。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?