はじめに
現在の携わってるプロジェクトでSecurity Hubを利用しているのですが、
- そもそもSecurity Hubってどういうシステムなの?
- メリットは?
- 料金は?
など基本的な部分が気になったので、自分の学習のためにまとめました。
目次
#1. SecurityHubとは
AWS Security Hub は、お客様の AWS リソースに対して、自動化された継続的なセキュリティのベストプラクティスのチェックを行うクラウドセキュリティ体制管理サービスです。Security Hub は、さまざまな AWS のサービスやパートナー製品からのセキュリティアラート (= 検出結果) を標準化されたフォーマットで集約し、より簡単にアクションを講じることができます。Security Hub は、AWS Config ルールによる自動化されたセキュリティのベストプラクティスのチェックや、何十もの AWS のサービスやパートナー製品との自動統合により、セキュリティ体制の把握と改善を簡素化します。
引用:AWS Security Hub の特徴
Point
・下記の業界標準のセキュリティ基準に沿った、クラウドセキュリティ体制管理を行うことが可能。
※Security Hubで提供しているセキュリティ基準を参照
・AWSの複数の監視リソースを統合して、管理が可能。
・Amazon EventBridge との連携で、特定の結果の修復を自動化するカスタムアクションを定義可能。
Security Hub提供しているセキュリティ基準
-
概要:米国のCIS(Center For Internet Security)が発行しているシステムを安全に構成するための構成基準およびベストプラクティスが記載されたガイドライン
-
監視対象:CISAWS基礎ベンチマークコントロール
-
概要:クレジットカード業界のセキュリティ基準で、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用・管理されている。
-
監視対象:PCI DSS コントロール
-
概要:AWSが定めるセキュリティのベストプラクティスから逸脱しているか検出する。
Security Hubで管理可能なAWSの監視リソース
上記画像(公式)にもあるように、Security Hubで管理可能なAWSの監視リソースは下記になります。
- Amazon GuardDuty
- Amazon Inspector
- IAM Access Analyzer
- Amazon Macie
- AWS Firewall Manager
#2. SecurityHubはなぜ必要なのか
-
複数の監視リソースを使用する場合
-
各リソースのページに行かずとも、Security Hubだけで監視・管理が可能。
-
セキュリティの優先順付けも可能。
-
業界標準のセキュリティ監視を行う必要がある場合
-
CISやPCI DSSの基準に対応したセキュリティ監視が可能。
#3. 料金
下記2つの項目をもとに計算される。
- コンプライアンスチェックの数
- 検出結果取り込みイベントの数
【1アカウント・1リージョンとした場合の1月あたりの算出例】
①セキュリティチェック 料金
最初の 10 万回:0.0010USD/チェック
次の 40 万回:0.0008USD/チェック
50 万回以降:0.0005USD/チェック
②取り込まれた調査結果
最初の 1 万回:無料
1 万回以降:0.00003USD/イベント
Point
・初回利用時:30日間無料 ※中国(北京)リージョンを除く
・別途AWS Configの料金も発生
今後の検討
- Amazon EventBridgeを利用した自動修復
- AWS の基本的なセキュリティのベストプラクティスには、どういう項目があるのか。
最後に
普段意識せず使用していたSecurity Hubですが、今回学習したことによりその恩恵がいかに大きいかわかりました。
今後は検討事項にもあげたように、実際の監視項目、さらに自動修復などもできるようなので取り組んでいきたいと思います。
参考
AWS Security Hub
【AWS Security Hubとは】初心者にもわかりやすく解説
CIS Benchmarksを活用したシステムの堅牢化について
【今さら聞けない】誰でもわかる PCI DSSの要件と対応方法