はじめに
AWS担当者からの情報で「AWS Security Hub で移行作業しないと使えなくなるよ!(大雑把に表現)」とのことで慌てて現状を調査しました。
情報をキャッチアップできていないと色々な変化についていくのが大変ですね。
背景
AWS Security Hubは、2018年11月にリリースされたAWSのセキュリティサービスです。2025年6月に新たなバージョンとしてAWS Security Hub (Advanced) がパブリックプレビューとして発表され、従来のSecurity HubはAWS Security Hub CSPM (Cloud Security Posture Management) として名称が変更されました。本記事では、この2つのサービスの違いを表で比較します。
概要
AWS Security Hub CSPM とAWS Security Hub (Advanced) は、独立したサービスとして提供されています。CSPMは既に一般提供(GA)されており、Advancedは2025年12月2日にGA予定です。従来のSecurity Hubユーザー(現CSPM)は特別な対応が不要で、GA移行対応が必要なのはSecurity Hub (Advanced)のプレビュー参加者のみ です。
内容
基本情報
| 項目 | AWS Security Hub CSPM | AWS Security Hub (Advanced) |
|---|---|---|
| 正式名称 | AWS Security Hub CSPM (Cloud Security Posture Management) | AWS Security Hub (Advanced) |
| 旧名称 | AWS Security Hub(2018年11月リリース) | - |
| 提供状況 | 一般提供(GA)済み | パブリックプレビュー中(2025年6月~) |
| GA予定日 | - | 2025年12月2日予定 |
| コンソールURL | https://console.aws.amazon.com/securityhub/home | https://console.aws.amazon.com/securityhub/v2/home |
| サービスプレフィックス | securityhub |
securityhub(リソースタイプにv2を含む) |
| サービスリンクロール | AWSServiceRoleForSecurityHub |
AWSServiceRoleForSecurityHubV2 |
主な機能
| 項目 | AWS Security Hub CSPM | AWS Security Hub (Advanced) |
|---|---|---|
| 主な目的 | セキュリティポスチャ管理 コンプライアンス評価 |
統合的なセキュリティ管理 優先順位付けと対応 |
| セキュリティチェック | ✅ AWS Configベースの継続的チェック | ✅ Security Hub CSPMからの検出結果を利用 |
| セキュリティ標準 | ✅ CIS、FSBP、PCI DSS、NIST等 | ✅ CSPMから取得 |
| 検出結果の統合 | ✅ GuardDuty、Inspector、Macie等 | ✅ GuardDuty、Inspector、Macie、CSPM |
| 相関分析 | ❌ なし | ✅ 複数サービスの相関分析 |
| 露出(Exposure)検出 | ❌ なし | ✅ リソース関係の分析による露出検出 |
| 攻撃パスの可視化 | ❌ なし | ✅ 攻撃パスグラフの表示 |
| 統合ダッシュボード | ✅ 基本的なダッシュボード | ✅ 高度な可視化とインタラクティブUI |
| 重大度の自動優先順位付け | ⚠️ 基本的な機能 | ✅ コンテキストに基づく高度な優先順位付け |
| データフォーマット | ASFF (AWS Security Finding Format) | OCSF (Open Cybersecurity Schema Framework) |
機能詳細比較
| 機能カテゴリ | AWS Security Hub CSPM | AWS Security Hub (Advanced) |
|---|---|---|
| 脅威検出 | GuardDutyの検出結果を表示 | GuardDutyの検出結果 + サマリー表示 |
| 脆弱性管理 | Inspectorの検出結果を表示 | Inspectorの検出結果 + 相関分析 |
| 体制管理 | ✅ メイン機能 | CSPMの検出結果を利用 |
| 機密データ | Macieの検出結果を表示 | Macieの検出結果 + 相関分析 |
| 露出分析 | ❌ なし | ✅ 6時間ごとに生成、CRITICAL/HIGH/MEDIUM/LOW |
| リソース概要 | 基本的な表示 | 露出・脅威・重大度による優先順位付け表示 |
| セキュリティカバレッジ | ⚠️ 限定的 | ✅ Inspector、GuardDuty、Macie、Security Hubの適用状況確認 |
組織管理
| 項目 | AWS Security Hub CSPM | AWS Security Hub (Advanced) |
|---|---|---|
| Organizations統合 | ✅ 対応 | ✅ 対応 |
| 管理方法 | ローカル設定 または 中央設定 | Security Hubポリシー |
| ポリシータイプ | Security Hub CSPM設定ポリシー (Security Hubリソース) |
Security Hubポリシー (Organizationsリソース) |
| ポリシーARN | arn:aws:securityhub:region:account:configuration-policy/id |
arn:aws:organizations::account:policy/o-org/type/p-id |
| 委任された管理者 | ✅ 管理アカウント自身を指定可能 | ❌ 管理アカウント自身は指定不可 |
| 委任管理者の連携 | ✅ Advancedと連携(一方で設定すると両方に適用) | ✅ CSPMと連携(一方で設定すると両方に適用) |
料金体系
| 項目 | AWS Security Hub CSPM | AWS Security Hub (Advanced) |
|---|---|---|
| 現在の料金 |
有料 - セキュリティチェック数 - 検出結果の取り込み数 - 自動化ルール評価数 |
プレビュー期間中は無料 |
| 無料トライアル | ✅ 30日間(アカウント・リージョンごと) | ✅ 30日間(GA後、Essentialsプラン) |
| GA後の料金プラン | 現行の料金体系継続 |
Essentialsプラン: - リスク分析 - Inspector脆弱性管理 - CSPM体制管理 - セキュリティレスポンス管理 追加機能: - 脅威分析プラン等(別途課金) |
| 料金計算単位 | チェック数、イベント数、評価数 | プランベース + 追加機能 |
利用開始・移行
| 項目 | AWS Security Hub CSPM | AWS Security Hub (Advanced) |
|---|---|---|
| 利用開始方法 | コンソールまたはAPIで有効化 | プレビュー参加 → GA後は有効化 |
| 既存ユーザーへの影響 | なし(継続利用) | プレビュー参加者のみ移行が必要 |
| GA移行日 | - | 2025年12月2日予定 |
| 移行ウィザード | - | ✅ プレビュー利用者に表示 |
| 移行期限 | - | 2026年1月15日 (期限まで対応しないと自動無効化・設定と結果は完全に削除) |
| 既存設定の扱い | - | オプトインすれば継続利用可能 |
2025年12月2日にSecurity Hub (Advanced)にアクセスすると、移行ウィザードが表示されます。ウィザードの指示に従って、Essentialsプランへのオプトインまたはサービス無効化を選択してください。GAでは、コスト見積もりツールがセキュリティハブコンソールに表示されます。
独立性
| 項目 | AWS Security Hub CSPM | AWS Security Hub (Advanced) |
|---|---|---|
| サービスの独立性 | ✅ 独立したサービス | ✅ 独立したサービス |
| 有効化の独立性 | ✅ 個別に有効/無効可能 | ✅ 個別に有効/無効可能 |
| 併用 | ✅ Advancedと併用可能 | ✅ CSPMと併用可能(推奨) |
| 相互関係 | AdvancedにCSPMの検出結果を送信 | CSPMから検出結果を自動的に受信 |
推奨される利用パターン
| パターン | 説明 |
|---|---|
| CSPMのみ | セキュリティポスチャ管理とコンプライアンス評価が主目的の場合 |
| Advancedのみ | 可能だが非推奨(CSPMの検出結果が得られない) |
| CSPM + Advanced | ✅ ベストプラクティス 包括的なセキュリティ管理と高度な分析・優先順位付けが可能 |
注意事項
AWS Security Hub CSPM
- 従来からのユーザーは特別な対応不要
- 継続して通常通り利用可能
- 料金体系に変更なし
AWS Security Hub (Advanced)
- プレビュー利用者のみ が2025年12月2日のGA移行対応が必要
- 2026年1月15日までに対応しない場合、自動無効化・設定と結果は完全に削除
- プレビュー期間中は無料、GA後は料金発生
- プレビュー版のため仕様変更の可能性あり
終わりに
従来のSecurity Hubユーザー(現CSPM)はこの移行案内は対象外 で、引き続き通常通り利用可能です。必要に応じてGA後にAdvancedを追加導入可能です。
新しいSecurity Hub (Advanced)プレビュー参加者は、2025年12月2日に移行対応が必要 です。Essentialsプランへのオプトインまたは無効化を選択し、2026年1月15日が最終期限となっています。期限までに何もしなければ、Security Hubは自動的に無効になり、設定と結果は完全に削除されますのでご注意ください。
一言
もしこの記事が気に入って頂けたらここでのいいね&フォローとX( @___nix___ )でのフォローもお願い致します。
参考
参考にさせて頂きました。
ありがとうございます。