全体像
| レイヤ |
サービス |
主な目的 |
スコープ |
| ネットワーク制御 |
AWS Network Firewall |
VPCレベルで通信をフィルタリング |
個々のVPC単位 |
| セキュリティ一元管理 |
AWS Firewall Manager |
各アカウント/VPCのFirewall設定を一括管理 |
組織(Organizations)全体 |
| ガバナンス基盤 |
AWS Control Tower |
組織全体のアカウント・セキュリティベースラインを自動設定 |
組織単位(マルチアカウント) |
| 脅威検出・可視化 |
AWS Security Hub |
AWS全体のセキュリティ状態を集約・スコアリング |
全サービス横断 |
① AWS Network Firewall
概要
-
VPC内部のトラフィック制御を行うマネージドファイアウォールサービス
- **レイヤ3~7(IP, ポート, アプリケーション層)**での高度なパケット検査が可能
- 通常の Security Group や NACL では対応できない、ドメインベース/パターンマッチング検知に強い
主な機能
| 機能 |
説明 |
| ステートフルルール |
通信の状態を保持し、リクエスト/レスポンスを関連付けて許可/拒否 |
| ステートレスルール |
単発パケットを条件にフィルタリング(軽量) |
| ドメイン/URLベース制御 |
example.com のようなドメイン指定で許可/拒否可能 |
| Suricata互換ルール |
侵入検知システム(IDS/IPS)向けの高度な署名ルールをサポート |
| ログ出力 |
CloudWatch Logs / S3 / Kinesis Firehose へ転送可 |
典型構成
VPC
├── Subnet A (Public)
│ └── Internet Gateway
├── Subnet B (Firewall Endpoint)
│ └── AWS Network Firewall
└── Subnet C (Private)
└── EC2 Instances
トラフィックは「Firewall Subnet」を経由するようにルーティング設定します。
② AWS Firewall Manager
概要
-
AWS Organizations 全体でのセキュリティポリシー一元管理ツール
- WAF、Shield Advanced、Network Firewall などの設定を複数アカウントに一括適用できる
- セキュリティ標準の「徹底的な運用統制」に使うサービス
主な役割
| 管理対象 |
説明 |
| AWS WAF ポリシー |
共通のルールセットを全アカウント/全リージョンに適用 |
| AWS Shield Advanced |
DDoS保護設定を集中管理 |
| AWS Network Firewall |
各VPCへのファイアウォールルールを自動適用 |
| Security Group 監査 |
不適切なルール(例:0.0.0.0/0許可)を検出 |
特徴
- AWS Organizations との連携が前提
- **セキュリティ運用チーム(管理アカウント)**がルールを定義し、メンバーアカウントに自動配布
- 各アカウントの設定逸脱(ドリフト)検知も可能
③ AWS Control Tower
概要
- マルチアカウント環境のベースライン構築・運用ガバナンスを自動化
- 新しいAWSアカウントを作成するときに、セキュリティ・ネットワーク・ログ設定を自動適用
- 組織全体でのセキュリティ運用を標準化する「ガバナンス基盤」
主な構成要素
| コンポーネント |
説明 |
| Landing Zone |
セキュリティベストプラクティスが組み込まれたAWS環境テンプレート |
| Guardrails |
強制ポリシー(例:特定リージョンの使用禁止)を適用 |
| Account Factory |
新しいアカウントをポリシー準拠で自動生成 |
| Integration |
AWS Organizations、Service Catalog、Config などと統合 |
Control Tower は「マルチアカウント・ガバナンスの入口」的存在であり、
Firewall Manager や Security Hub の土台になるサービスです。
④ AWS Security Hub
🔍 概要
- AWS全体のセキュリティデータを集約・可視化・スコアリングするサービス
- GuardDuty, Inspector, Macie, Config, IAM Access Analyzer などと連携して
「全体のセキュリティ状況」を一元管理
主な特徴
| 機能 |
説明 |
| セキュリティスコア |
CISベンチマークなどの基準に基づき自動評価 |
| セキュリティ検出結果集約 |
GuardDuty・Inspector・Macieの検出内容を統合表示 |
| 自動修復連携 |
EventBridgeやSystems Manager Automationと連携し、自動対応可能 |
| 組織統合 |
AWS Organizations対応。複数アカウントのセキュリティを集中監視可能 |
活用イメージ
- GuardDuty → 不審なアクセスを検知
- Inspector → 脆弱性を発見
- Macie → 機密データの漏洩リスクを検出
- Security Hub → これらをダッシュボードで統合・可視化
まとめ
| カテゴリ |
サービス |
主な役割 |
管理スコープ |
| ネットワーク制御 |
Network Firewall |
VPCレベルの通信検査・制御 |
個別VPC |
| セキュリティ統制 |
Firewall Manager |
WAF / Firewall / SGを組織全体で一括管理 |
複数アカウント |
| ガバナンス基盤 |
Control Tower |
アカウント作成・ガードレール自動設定 |
組織単位 |
| 可視化・監査 |
Security Hub |
セキュリティ検出結果の集約・スコアリング |
全サービス横断 |
関連性
[AWS Control Tower] → アカウント作成とガードレール適用
↓
[AWS Firewall Manager] → 各アカウントへWAFやNetwork Firewallポリシー配布
↓
[AWS Network Firewall] → 実際の通信を検査・ブロック
↓
[AWS Security Hub] → 検出結果を集約し可視化(GuardDuty等も統合)
ポイント
| 例 |
使用サービス |
| 「複数アカウントに共通のWAFポリシーを展開したい」 |
→ Firewall Manager
|
| 「VPC間通信をドメインレベルで制御したい」 |
→ Network Firewall
|
| 「AWSアカウントを自動でガードレール付きで作りたい」 |
→ Control Tower
|
| 「AWS全体のセキュリティ検出を一元監視したい」 |
→ Security Hub
|
