はじめに
こんにちは、エンジニアの わた です。
今回は、AWSの基本的な構成であるSecurityHubからSNSを利用したアラートのメール通知環境の構築を行ってみます。
SecurityHub CSPMとは
AWSにおいてセキュリティ管理を行うサービスとして位置づけられ、「セキュリティ標準」と呼ばれるチェック項目に基づいて、AWSアカウントのセキュリティ状態をチェックします。
※もともとはSecurity Hub内の1つのサービスでしたが、2025年6月にSecurity Hub と Security Hub CSPM の2つのサービスに分かれました。
セキュリティ標準一覧
| セキュリティ標準 | 説明 |
|---|---|
| AWS 基礎セキュリティのベストプラクティスv1.0.0 | AWS が推奨する基本的なセキュリティ設定を幅広くチェックする標準。実運用向けの実践的な内容。 |
| CIS AWS Foundations Benchmark | CIS が定める AWS 向けの厳格なセキュリティ基準。監査やコンプライアンスでよく利用される。 |
| NIST SP 800-53 Rev.5 | 米国政府向けのセキュリティ管理基準。統制ベースでガバナンスやリスク管理を重視。 |
| PCI DSS | クレジットカード情報を扱う環境向けの基準。ログ、暗号化、アクセス管理などを重点的に評価。 |
| AWS リソースタグ付け標準 | AWSリソースにタグがあるかどうかを判断する。 |
構成図
やってみる
流れ
・AWS Config の有効化
・Security Hub CSPM の有効化
・EventBridge の設定
・SNS の設定
・動作確認
AWS Configの有効化
Security Hub のセキュリティ標準機能は内部的にはAWS Config Rules を使用しているため、まずはAWS Configの有効化を行う必要があります。
今回はとりあえずAWS Configを有効化するだけなので、「1-clickセットアップ」でセットアップを行います。
セットアップが完了し、ダッシュボードが表示されました。
Security Hub CSPM の有効化
今回はデフォルトのセキュリティ基準を使用することにします。
セットアップが完了し、ダッシュボードが表示されました。
SNS の設定
トピックを作成します。
サブスクリプションを作成します。
今回はメールで通知させるため「プロトコル」は「Eメール」を選択します。
サブスクリプションの許可メールがくるため承認します。
サブスクリプションの登録が完了しました。
サブスクリプションのステータスが「承認済み」となってことを確認できました。
テストメッセージの発行を行い、正常にメールが届くことを確認します。
正常にメッセージの発行および受信ができていることが確認できました。
EventBridge の設定
画面に従って設定していきます。
(2025年11月にUIの更新があり、新たにビジュアルルールビルダーというものが使用できるようになりました。ただ、私のほうではまだ慣れていないため、今回は旧式のUIで設定を行っていきます。)
「イベントバス」とは、アプリケーション間でのデータ受け渡しを行うコンポーネントのことであり、今回はAWSサービスからイベントを受け取るため「default」を使用します。
イベントバスにはそのほか、「カスタムイベントバス」、「パートナーイベントバス」があります。
イベントパターンは「パターンフォームを使用する」を選択。
また、今回は新しいイベントを検知したら通知させたいためイベントタイプは「Security Hub Findings - Imported」を選択。
先ほど作成したSNSトピックを選択し、IAMロールは新規で作成します。
無事作成できました。
動作確認
Security Hub CSPM で検知たアラートをメールで通知させることを確認できました。
まとめ
今回はSecurity Hub CSPM を用いたアラートメールの通知環境の構築を行いました。
現在のメールのフォーマットだと内容がわかりづらいので、次回はEventBridgeの入力トランスフォーマーを用いたアラートメールの整形を行いたいと思います。
ではでは。