はじめに
AWSのセキュリティサービスであるSecurityHubは、基本的に取り敢えず有効化はされるけど全く使われることのない悲しきサービスと思っています。
SecurityHubは簡単に利用を開始することが出来ますが、故に利用者が一つ一つの機能を理解するステップを省略してしまうので、「有効化したけど見方が良くわかないから後で整備しよう」となってそのまま放置されてしまうわけです。
そんなSecurityHubを有効活用していくために、本記事ではSecurityHubの基本となるベストプラクティスを一つ一つ解説していこうと思います。
概要
SecurityHubとは
AWS Security Hubは、AWS環境全体のセキュリティ状態を一元管理するためのサービスです。
アカウント内のAWSサービスからデータを収集し、セキュリティリスクを分析することで、効率的なセキュリティ管理をガイドしてくれます。
あくまでガイドを提示してくれるだけで、自動修復機能はないため、実際に活用する場合は利用者側がそのガイドを組織に合せた解釈し、修復対応を実施する必要があります。
具体的には、以下の機能を利用することができます。
-
セキュリティチェック
AWSのベストプラクティスや業界標準に基づいて、自動的にセキュリティ設定を評価し、不備を特定します。 -
統合データ表示
Amazon GuardDuty、AWS Config、AWS Inspectorなど、複数のセキュリティ関連サービスからのデータを集約し、1つのダッシュボードで確認できます。 -
コンプライアンス評価
CISベンチマークやPCI DSSなど、主要なコンプライアンス基準に準拠してセキュリティ設定の適合状況を確認できます。 -
インサイト機能
セキュリティイベントや傾向を把握し、リスク軽減のための優先順位を付けたアクション計画を作成する支援を行います。
これらの機能は、セキュリティ管理の効率化を目指す組織にとって非常に役立つものですが、活用する際には組織独自のニーズに合わせた解釈とアクションが求められます。
セキュリティ基準とは?
AWS Security Hubにおけるセキュリティ基準とは、AWS環境のセキュリティ状態を評価するための指針やルールのことを指します。
具体的には、業界の標準規約(クレジットカード標準のPCI DSSなど)やAWSが提唱するベストプラクティスなどになります。
これらの基準にはそれぞれコントロールが設定されており、基準を満たしていない場合にはアラートとして検知されます。
セキュリティ基準
セキュリティ基準一覧
| 基準名 | 説明 | 向いてる組織 | 向いてない組織 |
|---|---|---|---|
| AWS基礎セキュリティのベストプラクティスv1.0.0 | AWSリソースのセキュリティ体制を改善するためのベストプラクティスを網羅。自動化されたセキュリティチェックを提供。 | AWSを広範囲に利用し、セキュリティ体制を強化したい組織。 | AWSの利用が限定的で、セキュリティチェックの必要性が低い組織。 |
| AWSリソースタグ付け標準v1.0.0 | AWSリソースが適切にタグ付けされていない場合を検出するセキュリティチェック。 | リソース管理を効率化し、タグ付けポリシーを徹底したい組織。 | タグ付けを必要としない小規模な環境の組織。 |
| CISAWSFoundationsBenchmarkv1.2.0 | AWSのセキュリティ設定に関するベストプラクティスを提供。CIS要件のサブセットをチェック。 | 業界標準に準拠したセキュリティ管理を求める組織。 | 業界標準への準拠が不要な組織。 |
| CISAWSFoundationsBenchmarkv1.4.0 | v1.2.0の改訂版。より最新のセキュリティ設定ベストプラクティスを提供。 | 最新のセキュリティ基準を求める組織。 | 古い基準で十分なセキュリティ管理が可能な組織。 |
| CISAWSFoundationsBenchmarkv3.0.0 | AWSのセキュリティ設定に関する最新のベストプラクティスを提供。 | 最新のセキュリティ基準を求める組織。 | 古い基準で十分なセキュリティ管理が可能な組織。 |
| NISTSpecialPublication800-53Revision5 | 情報システムおよび組織のセキュリティとプライバシーコントロールを提供。 | 米国連邦機関や規制遵守が必要な組織。 | 米国規制に準拠する必要がない組織。 |
| PCIDSSv3.2.1 | クレジットカード情報を保護するための情報セキュリティ基準。 | クレジットカード情報を扱う組織。 | クレジットカード情報を扱わない組織。 |
| PCIDSSv4.0.1 | PCIDSSの改訂版。より最新のセキュリティ基準を提供。 | 最新のクレジットカード情報保護基準を求める組織。 | クレジットカード情報を扱わない組織。 |
AWS基礎セキュリティのベストプラクティスv1.0.0
概要
AWSが提唱するAWSアカウントやリソースがセキュリティのベストプラクティスに一致しているかを評価するための自動化されたセキュリティチェックのセットです。
AWSの主要なサービスを網羅しており、AWSのベストプラクティスに沿ったセキュリティ体制を構築することが可能です。
向いてる組織
- システム基盤にAWSを広範囲に利用している組織
- 大規模な環境で、セキュリティ体制を強化したい場合
向いてない組織
- AWSの利用が限定的で、セキュリティチェックの必要性が低い組織
- 小規模な環境で、セキュリティ管理が簡易で済む場合
AWSリソースタグ付け標準v1.0.0
概要
AWSリソースに適切なタグが付けられているかを検出するための自動化されたセキュリティチェックのセットです。
100個弱のコントロールがサポートされており、それぞれのコントロールは「このリソースタイプにタグが設定されているか」をチェックするものとなっています。
また、タグ付けを評価する基準であるため、こちらのコントロールのセキュリティレベルは全て「Low」をなっています。
例えば、リソースにタグが付いていない、「Environment」などのポリシーに沿ったタグが付いていない、タグ値が不適切である場合に検知がされます。
向いてる組織
- AWSリソースを大量に使用しており、タグ付けポリシーを徹底したい組織
- リソースの管理やコスト分析を効率化したい企業
- 複数のチームやプロジェクトでAWSリソースを共有している環境
向いてない組織
- AWSリソースの利用が限定的で、タグ付けの必要性が低い小規模な組織
- タグ付けを必要としない単純な環境、もしくは独自のタグ設計下で運用している場合
CIS AWS Foundations Benchmark v1.2.0 or v1.4.0
概要
Center for Internet Security (CIS) という米国政府機関や企業、学術機関などが運営する組織によって策定されたAWS環境のセキュリティ設定に関するベストプラクティスのセットです。
CISとは、Center for Internet Securityの略称で、インターネットセキュリティの向上を目的とした非営利団体です。この団体は、セキュリティベストプラクティスやガイドラインを策定し、企業や組織が情報セキュリティを強化するための指針を提供しています。
CIS Benchmarks
v1.2.0 と v1.4.0 の違い
v1.4.0では最新のセキュリティ要件に対応しており、主にストレージや暗号化に関するコントロールが強化されています。
具体的な差分は以下のAWS公式サイトにまとまっています。
向いてる組織
- グローバルに準拠したセキュリティ管理を求める組織
- 規制やコンプライアンス要件(例:金融、医療、政府機関)を満たす必要がある企業
- AWS環境を広範囲に利用し、セキュリティリスクを効率的に特定・改善したい組織
向いてない組織
- 業界標準への準拠が不要な小規模な組織やスタートアップ・ベンチャー企業
- AWSの利用が限定的で、セキュリティチェックの必要性が低い環境
- 他のセキュリティサービスによる対応で十分な場合
NIST Special Publication 800-53 Revision 5
概要
米国国立標準技術研究所(NIST)によって策定されたセキュリティおよびプライバシー管理のフレームワークです。
この基準は、連邦政府機関などの米国組織を対象とした、情報システムや組織のセキュリティリスクを軽減し、プライバシーを保護するための包括的なコントロールを提供します。
向いてる組織
- 米国連邦政府機関や、FISMA(連邦情報セキュリティ管理法)に準拠する必要がある組織。
- 金融、医療、エネルギーなど、セキュリティリスクが高い業界の企業。
- 個人情報や機密データを扱う企業や団体。
向いてない組織
- セキュリティ管理が簡易で済む環境や、リソースが限られている組織
- 米国の規制や基準に準拠する必要がない場合
PCIDSS v3.2.1 or v4.0.1
概要
ざっくり言うと、クレジットカード情報を安全に取り扱うための国際基準です。
v3.2.1は従来の基準であり、基本的なセキュリティ要件を網羅しています。一方、v4.0.1は最新バージョンであり、リスクベースの考え方や新しいセキュリティ要件を追加し、既存の対策をさらに強化しています。これにより、クラウド環境やフィッシング攻撃など、現代のセキュリティ課題に対応する内容となっています。
v3.2.1 と v4.0.1の違い
v4.0.1では、リスクベースの考え方が取り入れられ、組織が自社のリスクに基づいて柔軟にセキュリティ対策を実施できるようになり、要件の実施頻度や方法をリスク分析に基づいて調整可能になりました。
また、PCI DSSを規格として取得している場合、必要なバージョンはv4.0.1になりますので、こっちを有効化しておく必要があります。
向いてる組織
- クレジットカード情報、具体的にはカード会員データや機密認証データを安全に管理する必要がある組織
向いてない組織
- クレジットカード情報を扱わない、PCI DSSの適用対象外である場合
まとめ
基本的な説明だけを記載しますので、実際に有効化するかどうかは各利用者の解釈によるところだと思います。
例えば、グローバルなサービスを展開してる組織であればNISTを有効化、国内利用であれば無効化にするなど、組織の特性に合わせて変えていく必要があります。
また、セキュリティ標準だけでなく、各コントロール単位でも検知の無効化を行うことができますので、SecurityHubを利用してる組織は一度設定を見直してみるのがオススメです。