2025 年 6 月に開催された AWS re:Inforce 2025 で発表された新しい AWS Security Hub ですが、AWS re:Invent 2025 で正式に GA されました。
これまでの Security Hub の機能は Security Hub CSPM となり、それ以上の情報集約や管理を担う、本当の意味でのセキュリティのハブとなりました。
可視化、脆弱性管理、脅威検知、攻撃経路分析をひとまとめに扱える統合セキュリティプラットフォームへと進化しているので、新生 Security Hub の機能について整理してみましょう。
1. 元ネタ
AWS re:Invent 2025 で参加したワークショップです。
Security posture and exposure management using AWS security services (SEC315)
セッション説明 (原文)
Join this hands-on deep dive to learn how AWS Security Hub and Amazon Inspector can work together to help you strengthen your security posture and streamline security operations across your entire AWS environment. We'll show you how AWS Security Hub performs security best practice checks, aggregates alerts, supports automated remediation, and provides a comprehensive view of your security state in AWS. Explore how Amazon Inspector continually scans Amazon Elastic Compute Cloud (Amazon EC2), AWS Lambda functions, and container workloads for software vulnerabilities and unintended network exposure.
セッション説明 (日本語訳)
この実践的な詳細解説セッションに参加し、AWS Security Hub と Amazon Inspector が連携してセキュリティ態勢を強化し、AWS 環境全体のセキュリティ運用を効率化する方法を学びましょう。AWS Security Hubがセキュリティのベストプラクティスチェックを実行し、アラートを集約し、自動修復をサポートし、AWSにおけるセキュリティ状態の包括的なビューを提供する方法を紹介します。Amazon InspectorがAmazon Elastic Compute Cloud(Amazon EC2)、AWS Lambda関数、コンテナワークロードを継続的にスキャンし、ソフトウェアの脆弱性や意図しないネットワーク露出を検出する方法を探ります。
2. セキュリティ運用の課題
システムに設定不備がないか、脆弱性がないか、怪しい挙動がないか。
セキュリティで押さえるべきポイントは多岐に渡ります。
運用上の課題として、しばしば以下のようなハードルがあると言います。
包括的な可視化
可視化が十分ではなく、結局全体像が分かりにくいことがあります。
設定情報自体はあるが、それがどんなリスクに値するのか、リスクが大きくなっているのか小さくなっているのか、を判定できないような状況です。
文脈の理解
文脈が分からず、正しいリスク評価ができない場合もあります。
コードの脆弱性見つかっているけど、実際はスルーして問題ないんだっけ?のような状況です。
分析
データの統合が不十分で、多大なマニュアル作業を要するケースも考えられます。
VPC や EC2 のログは取っているけど、実際に攻撃を受けたのかどうかはよく分からない、のような状況です。
迅速対応
これは想像しやすいですね。
意図しないリソース作成があったが、影響範囲や対応完了までの道筋が見えずにあたふたする、のような状況です。
もちろんこれらは Security Hub で対策が可能です。
3. AWS Security Hub の機能
現時点での機能をさらっとご紹介します。
Dashboard
脅威、公開リスク、リソースごとのリスクなど、全体情報を確認できます。
情報が集約されるので、日々の確認が楽になりそうです。
またそれらのトレンド状況も確認可能です。
Exposure
インターネットに公開されているリソース情報を確認できます。
セキュリティグループの設定状況とソフトウェアの脆弱性情報を組み合わせて重要度を表示してくれるため、リスクの高いものから対応することが可能です。
またそれぞれの項目について、どのような進入経路が考えられるのか、攻撃パスも表示できます。
リスクがあることをリアルに感じられますね。
Findings & Resources
どの機能でリスクが発見されたか検索することができます。
Automations
発見されたリスクに対して、自動ルールを作成することができます。
Inspector で検知された重要度 Low のものに関しては、優先順位をさらに下げて、重要度 Info に自動で設定し直す、のような使い方をします。
Posture management
旧 Security Hub の CSPM 機能です。
ベストプラクティスやフレームワークに沿って、クラウド環境の設定を評価した結果を表示します。
Vulnerabilities
ワークロードの脆弱性を管理する機能です。
Amazon Inspector が情報源となります。
インフラ設定だけでなく、ソフトウェアの脆弱性までカバーできます。
Threats
クラウド環境への脅威を管理する機能です。
Amazon GuardDuty が情報源となります。
(おまけ) Automated Security Response
これは Security Hub の機能ではないのですが、セキュリティ対応を自動化する AWS ソリューション Automated Security Response の紹介がありました。
CloudFormation テンプレートを実行すると、アプリの URL が生成され、アプリ上で Security Hub の Finding に対して手当てができるようになっています。
典型的な修正であればほとんどカバーできそうです。
まとめ
GA された新生 Security Hub の機能について見てきました。
AWS の機能拡張のスピード感はいつも目を見張るものがあります。
全てをキャッチアップし切ることはできませんが、新しい波に乗りつつ上手に活用していきたいものですね。
今日も小さな学びを。