AWS Security Hubとは？利点と利用方法について解説します！

「AWS Security Hub」とは？

「AWS Security Hub」とは、AWS上のサービスが出力するアラートやセキュリティの状況を一元管理できるサービスです。

特に、セキュリティが維持されていることやセキュリティに関するベストプラクティスに準拠していることをコンソール画面に集約してチェックできます。

またセキュリティのチェック結果をまとめて優先順位を設定することで、AWSサービスやアカウントの全体でのセキュリティ対応の傾向を分析し、セキュリティの重要問題を特定することが可能です。

「AWS Security Hub」の利点1：管理コスト削減

「AWS Security Hub」の利点の1つは、AWSサービス等からセキュリティに関するアラート等の結果に対して、管理コスト（結果収集作業、セキュリティ対応の優先順位付け作業等）を削減してくれます。

上記のアラート等の収集等の作業において重要なのは、「AWS Security Hub」が結果データを標準的なデータフォーマットに整形し直す点です。つまり多種多様なデータフォーマットを個別に処理することによる作業負荷を軽減することが可能となります。

そして整形された結果データは、「AWS Security Hub」によってセキュリティ上の優先順位を判断され、ユーザーに緊急で対応が必要な事項についてレポートしてくれます。

「AWS Security Hub」の利点2：セキュリティチェックの自動化

「AWS Security Hub」の利点2として、「ベストプラクティス（推奨及び優良事例）」や業界標準ルール（CIS AWS Foundations Benchmark等）に基づいて、セキュリティチェックを自動で実行してくれる点です。

「AWS Security Hub」は、このセキュリティチェックの結果を「準備状況スコア」として表示し、セキュリティ上の対応が必要なアカウントやリソースをレポートしてくれます。

「AWS Security Hub」の利点3：セキュリティ情報の集約

「AWS Security Hub」の利点3として、セキュリティチェック結果が集約して表示される「ダッシュボード」を参考にして、迅速に必要な対応が行いやすくなる点です。

例えば、「Amazon CloudWatch Events」と連携することで、メール、チェット、チケット発行、自動修復システムにチェック結果をアラートとしてレポートすることが可能です。

事前に構築しておいた「ダッシュボード」には、サービスを提供しているAWSの環境に関して、セキュリティのステイタスとトレンドを表した折線グラフ、棒グラフ、テーブルがリアルタイムで表示されます。

つまりダッシュボードを通じて、セキュリティ状態をリアルタイムで表示し、各種メトリクス値の傾向を検討し、発生が予想されるトラブルを見極め、必要な予防処置をとることが可能です。

「AWS Security Hub」の利点4：修復作業を自動で行う

「AWS Security Hub」の利点4として、セキュリティチェックの結果を元に、必要な修復作業を自動で実施してくれる点です。

具体的には、「Amazon EventBridge」との連携がサポートされており、このサービスを利用することで特定のセキュリティチェック結果の修復を自動化するために、「カスタムアクション」設定を定義します。

例えば、システムダウンしたインスタンスのリブートを実行する自動リカバリーシステム、「Redmineチケット」を発行して関係者にメールで通知するシステム、等のカスタムアクションを設定可能です。

なお「Amazon EventBridge」とは、AWS内で発生する「イベント」を契機として、他のAWSサービスと連携するといった「イベント駆動型ソリューション」を構築できるサービスです。

「AWS Security Hub」の利用準備

「AWS Security Hub」を利用する前に、準備作業や関連用語の把握が必要になります。

具体的には、「AWS Security Hub」を有効にする方法や「IAMロール」等の用語の理解が必要です。

それでは、準備作業や関連用語について解説していきます。

「AWS Security Hub」の有効化

最初に「AWS Security Hub」を有効化する必要があります。

具体的には、「AWS Security Hub」コンソール画面を開いて、そのページのメニューで「開始」、「有効にする」の順番に選択することで有効化します。

なお「AWS Security Hub」がセキュリティチェックを実施するためには、「AWS Config」が有効なアカウントで行う必要があります。

「AWS Security Hub」で使用するIAMロール

「AWS Security Hub」で使用する「IAMロール」は、利用対象のサービスがリンクされたものを利用します。

具体的には、この「IAMロール」は、利用対象サービスに関する「アクセス許可」と「信頼ポリシー」が設定されています。

またセキュリティチェック結果の検出と集約、セキュリティチェックの前提条件となる「AWS Config インフラストラクチャ」設定も必要となります。

なお「IAMロール」とは、ユーザーのアカウントに対してではなく、AWSサービス（例「Amazon EC2」等）に対して利用権限を付与できるサービスです。

例として、「Amazon EC2」から「Amzon RDS」にアクセスするアプリケーションを開発する際は、「Amazon EC2」に「Amzon RDS」へのアクセス権限を設定した「IAMロール」を付与します。

「AWS Security Hub」の利用方法

「AWS Security Hub」の利用方法は、前提となる作業が終了していれば、「IAMロール」を付与するだけで開始することが可能です。

それでは、具体的な操作方法について解説していきます。

「AWS Security Hub」の利用方法1：サービス有効化

最初にAWSコンソールにログインして、「AWS Security Hub」サービスの画面まで遷移します。

次に「AWS Security Hub」コンソール画面で選択する、もしくは用意されているAPIで呼び出しを実行します。

なおこの場合は、1個のアカウントでサービスを有効化されます。

またコンソール画面で同様の操作を複数回実施することで、複数のアカウントに対しても有効化することができます。

この有効化によって、「AWS Security Hub」のセキュリティチェック等が開始となります。

「AWS Security Hub」の利用方法2：セキュリティ警告の管理

「AWS Security Hub」を有効化した後は、特に操作不要でセキュリティ警告の管理が自動で開始されます。

「AWS Security Hub」の対象として設定したAWSアカウントに対して、セキュリティのアラート発生状況やセキュリティチェック状況をコンソール画面で一元管理して確認できるようになります。

「AWS Security Hub」の利用料金

「AWS Security Hub」の利用料金については、30日間の無料トライアルが用意されているので、サービスの有効性を無料で確認することが可能です。

また「AWS Config」が記録した設定項目について、「AWS Security Hub」のセキュリティチェックの対象とします。この設定項目に対して、別途料金が発生する点に注意が必要です。

なお「AWS Security Hub」で用意されている「設定ルール」については、無料で利用できます。

「AWS Security Hub」の利用料金の詳細

「AWS Security Hub」の利用料金の詳細は、東京リージョンを例とすると以下のように設定されています。

セキュリティチェックについては、1チェック/1アカウント/1リージョン/1月辺りの最初の10万回で0.0010[USD/チェック]、次の40万回で0.0008[USD/チェック]、50万回を超える場合は0.0005[USD/チェック]と設定されています。

また検出結果の取り込みイベントでは、セキュリティチェックに関連する検出結果の取り込みイベントと、1イベント/1アカウント/1リージョン/1月辺りの最初の1万回までは無料で、1万回を超える場合は0.00003[USD/イベント]と設定されています。

これらの無料枠を上手く活用することで、セキュリティ監視に関するコスト削減を目指してみてはいかがでしょうか？