6
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Security HubとTrusted Advisorを比較してみた

Posted at

はじめに

「AWSの社内標準CSPM(※)ツールとしてどのAWSサービスを案内すべきか。無料のTrusted Advisorは充足しないのか。」という主旨のお問い合わせのご対応で、Security HubとTrusted Advisorの「セキュリティチェック」の機能比較をおこなう機会がありました。
ニッチなのか意外と記事を見つけられなかったので、当時(2023年)の調査結果を現時点の情報で最新化しながら書き記しておきたいと思います。

※CSPM=Cloud Security Posture Management。クラウドセキュリティの状態管理のソリューションの総称であり、クラウドサービスの設定値にセキュリティポリシーやベストプラクティスからの逸脱がないかチェックする機能を持つ。

Security Hubとは

AWS内のセキュリティの状態と、セキュリティ基準およびベストプラクティスに準拠しているかどうかを、包括的に把握できるサービスです。

Trusted Advisorとは

「コスト最適化」、「パフォーマンス」、「セキュリティ」、「耐障害性」、「サービス制限」「運用上の優秀性」の6つの観点から、利用者のAWS環境をAWSが自動で精査し、推奨設定のお知らせをしてくれるサービスです。

セキュリティチェック利用の観点でのサービス比較

2024年3月時点の比較表です。注意すべき差異は太字で強調しています。

比較対象 Security Hub Trusted Advisor
主な用途 設定値チェック(主にセキュリティ) 、複数サービス統合ダッシュボード 設定値チェック(セキュリティ含む6カテゴリ)
サービス種別 リージョナルサービス グローバルサービス
コスト 有償 無償
サービス利用開始処理
(Security Hub有効化に加え、チェック開始にはAWS Config、セキュリティ基準の有効化が必要)
不要
(自動的にチェック開始)
サポートプランによる機能制限 特になし デベロッパープラン以下では下記の機能制限あり
 •Trusted Advisor標準のチェック項目が限定的(「セキュリティ関連チェック項目数」参照)
 •他サービス統合表示不可(「サービス統合表示」参照)
 •他アカウント統合表示不可(「アカウント統合表示」参照)
 •EventBridgeのTrusted Advisor項目ステータス更新イベント作成不可(「検出通知」参照)
 •CLIコマンド利用不可(「検出結果エクスポート」参照)
検出抑制 リソースの「抑制」や項目の「無効」処理が可能 リソース単位での「非表示」処理によって抑制可能
サービス統合表示 GuardDuty、Inspector等多岐
参考: AWS のサービス と AWS Security Hub との統合
なし(ビジネスプラン以上のみSecurity HubCompute Optimizer統合表示可)
アカウント統合表示 •OrganizationsまたはSecurity Hubの招待機能にて可能
•Organizations管理アカウント以外へのSecurity Hub管理委任可能
参考: 管理者アカウントおよびメンバーアカウントの管理
•Organizations管理アカウントのTrusted Advisor組織ビューにて可能(Organizations利用および管理アカウントのビジネスプラン以上が前提)
•Organizations管理アカウント以外へのTrusted Advisor管理委任は不可
参考: AWS Trusted Advisor の組織ビュー
リージョン統合表示 リージョン集約機能にて可能
参考: クロスリージョン集約
グローバルサービスのためデフォルトでリージョン集約可
検出通知 EventBridge、SNSで実装可能(Security Hub有効化リージョン利用)
通知設定したアカウントに統合されている検出内容をまとめて通知可能
参考: 自動的に送信される結果の EventBridge ルールの設定
ビジネスプラン以上のみのEventBridge、SNSで実装可能(バージニア利用)
参考: Amazon EventBridge を使用した AWS Trusted Advisor チェック結果のモニタリング
•無償の週次レポーティング機能あり
参考: 通知設定の設定
ただしいずれも通知設定したアカウント以外の検出内容は通知されない
検出結果エクスポート •CSVダウンロード
(チェック対象リソースなどの詳細はチェック項目ごとにダウンロードが必要)
参考: コントロールリストのダウンロード
•CLI
参考: get-findings
•Excelダウンロード
(チェック項目ごとにシートが分かれるため、チェック項目ステータスを一覧化したい際は加工が必要)
参考: 結果のダウンロード
•CLI
(ビジネスプラン以上のみ可かつコマンド組み合わせ必要)
参考: AWS-CLIでTrusted Advisorのステータスを見たい
チェック項目カテゴリ AWS基礎セキュリティベストプラクティス (FSBP)の場合、5つの大カテゴリ 検出・識別・保護・応答・復旧
参考: コントロールのカテゴリ
「復旧>耐障害性」以外はTrusted Advisorセキュリティカテゴリ連携対象となっているため、概ねセキュリティ関連の項目とみなせる
参考: AWS Security Hub のコントロールを AWS Trusted Advisor で表示する
6つのカテゴリ
 •コスト最適化(デベロッパープラン以下は不可)
 •パフォーマンス(デベロッパープラン以下は不可)
 •耐障害性(デベロッパープラン以下は不可)
 •セキュリティ(デベロッパープラン以下は一部可)
 •サービス制限(全サポートプラン可)
 •運用上の優秀性(デベロッパープラン以下は不可)
参考: AWS Trusted Advisor チェックリファレンス
チェック項目識別子 コントロールID
(Trusted Advisorに統合されるとチェックIDもアサインされることがTrusted AdvisorのCLIで確認可能)
チェックID
セキュリティ関連チェック項目数 AWS基礎セキュリティベストプラクティス (FSBP)の場合、248項目(過去情報:2023年3月時点198項目、2022年8月時点134項目)
参考: AWS Foundational Security Best Practices (FSBP) 標準
デベロッパープラン以下:6項目(過去情報:2023年3月・2022年8月時点6項目)
ビジネスプラン以上:上記6項目を含んで30項目(過去情報:2023年3月・2022年8月時点20項目)
参考: セキュリティ 

おわりに

初期設定不要・無償という手軽さの面ではTrusted Advisorにメリット有ですが、そもそもセキュリティに特化したサービスではないことから、サポートプランによってチェック機能、アカウント統合機能、検出通知機能が大きく制限されるデメリットがあり、セキュリティチェックツールとしてはやはりSecurity Hubに軍配が上がります。

また、ビジネスプラン以上のサポートを保有しTrusted Advisorのフル機能(Security Hubのチェック結果取込含む)が利用可能になっている状況においても、管理委任不可・通知集約不可といったアカウント統合機能の自由度の低さがネックになるため、CSPM運用を考える際にはマルチアカウント管理をおこないやすいSecurity Hubをメイン利用していくことが第一選択肢となりそうです。
ご覧くださった方にとって少しでもご参考になれば幸いです。

6
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
6
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?