内容
下記勉強会での発表内容になります。Security Hubを分かりやすく説明します。
Security Hubの機能
Security Hubは大きく分けると下記2つの機能があります。
セキュリティサービスの情報集約はGuardDutyやConfig等様々なAWSサービスを統合することが出来ます。統合することによりSecurity Hubに情報を集約することが可能になり、集約した情報からアラート通知も送付することが出来ます。
今回は情報集約の話ではなく、ベストプラクティスチェックの話をメインで行います。
ベストプラクティスチェック
記載のあるセキュリティ基準に沿ったチェックをしてくれます。
ベストプラクティスチェックは各種AWSサービスに対してセキュリティ基準のチェック内容を一つずつ行っていきます。チェック内容はセキュリティ基準により異なりますが「例えば」の箇所に記載があるような内容のものです。
セキュリティスコアの算出方法
ここから本題に入っていきます。チェック内容はコントロール項目といいます。例えば図にあるような「S3バケットのイベント通知が有効になっているか」、「S3のアクセスログが取得されているか」などがあります。これらの結果が失敗や成功としてカウントされ、成功、失敗、不明の値からセキュリティスコアが計算されます。
ではコントロール項目の結果はどのように成功・失敗が判定されるのでしょうか。例えば「S3のアクセスログが取得されているか」のコントロール項目でS3バケットが3つある場合、3つの検出結果があります。この検出結果のステータスの組合せで一つのコントロール項目の結果が決まります。
では検出結果のステータスはどうやって決まるかというと。。
下記2つのステータスがあってその組み合わせによって決まります。
コンプライアンスステータスとワークフローステータスは下記の種類があります。
そしてコンプライアンスステータスとワークフローステータスの組合せによって検出結果は下記のようになります。
先ほどの例だと、上記の組合せから3つの検出結果は無効・無効・失敗になります。
では検出結果の組合せが無効・無効・失敗の場合、コントロール項目はどのようなステータスになるのでしょうか。
検出結果の組合せによってコントロール項目のステータスが決まりますが、検出結果で1つでも失敗があればコントロール項目のステータスは失敗になります。
なので無効・無効・失敗の場合は失敗が1つあるのでこのコントロール項目は失敗としてカウントされます。
その他コントロール項目のステータスは下記検出結果の組合せにより決定されます。
まとめ
- セキュリティスコアはコントロール項目の成功・失敗・無効などのステータスから計算されます。
- コントロール項目のステータスは検出結果の組合せで決まります。
- 検出結果のステータスはコンプライアンスステータスとワークフローステータスの組合せで決まります。
資料