AWS Security Hub徹底ガイド:一元管理でセキュリティを強化する方法
要約(Summary)
- AWS Security Hubとは?
AWS 環境全体のセキュリティ検出結果を一元管理し、CIS ベンチマークやAWS ベストプラクティス準拠チェックを自動実行するマネージドサービスです。 - 主な機能
- マルチアカウント/マルチリージョンの Findings 自動集約
- セキュリティ標準(CIS AWS Foundations、PCI DSS など)の自動チェック
- カスタムアクション&自動リメディエーション
- 他サービス(GuardDuty, Inspector, Macie など)とのシームレス連携
- 活用シナリオ
- ガバナンス要件に即した監査レポート作成
- インシデント対応ワークフローの自動化
- セキュリティ運用ダッシュボード構築
- 対象読者
- セキュリティ責任者、ガバナンス/コンプライアンス担当
- DevOps/SRE チーム、クラウド管理者
1. はじめに:AWS 環境でのセキュリティ一元管理の必要性
クラウドネイティブな組織では、アカウント/リージョンが増えるほどセキュリティ設定や検出ログのばらつきが生じやすくなります。
個別サービス(GuardDuty や Inspector)の Findings を分散管理すると、全体の健全性把握やコンプライアンス遵守が困難になりがちです。
AWS Security Hub はこうした課題を解消し、「一つのダッシュボードで全体像を把握し、自動的に標準チェックを実行する」 ことで、セキュリティ運用の効率化と可視化を同時に実現します。
2. AWS Security Hub とは
2.1 サービス概要
AWS Security Hub は、複数の AWS アカウント・リージョンからのセキュリティ Findings を自動で集約し、統一フォーマットで可視化します。
さらに、CIS AWS Foundations ベンチマークや PCI DSS、AWS Foundational Security Best Practices といった標準チェックを 自動実行 し、準拠・非準拠状態を明確にレポート化します。
2.2 主な機能
- Findings の集約・フィルタリング
- GuardDuty、Inspector、Macie、Amazon Firewall Manager などの Findings を一元管理
- Severity(重大度)、リソース種別、作成日時などで動的フィルタ
- 標準セキュリティチェック
- CIS AWS Foundations の 43 項目チェック自動実行
- PCI DSS、GDPR などのカスタム標準追加も可能
- カスタムアクション
- Finding ごとに SNS/EventBridge/Lambda アクションを紐付け
- 手動/自動リメディエーションのワークフロー構築
- ダッシュボード&レポート
- リアルタイムダッシュボードでコンプライアンス進捗を可視化
- PDF/CSV レポートのエクスポートサポート
3. セットアップと初期設定
3.1 有効化手順
- AWS マネジメントコンソール → Security Hub → サービスの有効化 をクリック
- マスターアカウントを決定し、メンバーアカウントを招待
- 招待リンクを受諾したメンバーアカウントが自動的に Findings を送信
3.2 標準チェックの設定
- CIS AWS Foundations
- デフォルトで有効。43 項目すべてをスケジュール実行
- 追加のセキュリティ標準
- PCI DSS、HIPAA、GDPR など組織要件に合わせて選択・有効化
3.3 通知チャネルの準備
# EventBridge ルール例:HIGH/CRITICAL Findings を SNS 通知
Resources:
CriticalFindingRule:
Type: AWS::Events::Rule
Properties:
EventPattern:
source:
- "aws.securityhub"
detail-type:
- "Security Hub Findings - Imported"
detail:
severity:
label:
- "HIGH"
- "CRITICAL"
Targets:
- Arn: arn:aws:sns:ap-northeast-1:123456789012:SecurityAlerts
Id: "SendCriticalAlerts"
4. 実践ユースケースと運用パターン
4.1 マルチアカウント/マルチリージョンガバナンス
- シナリオ:グローバル展開する組織で各リージョン・アカウントのセキュリティ状況を統括
- ポイント:
- マスターアカウントで全体ダッシュボードを参照
- メンバーアカウントへ自動標準チェックを強制
4.2 自動リメディエーションワークフロー
- シナリオ:EC2 で管理者権限 SSH ポートを80番で開放してしまった場合
- ワークフロー例:
- Security Hub が「SSH public access」を検出
- EventBridge → Lambda → AWS Config Remediation を自動実行
- 不要ポートを閉じる AWS CLI コマンドを発行
4.3 コンプライアンスレポート作成
- シナリオ:月次監査向けに PCI DSS 準拠状況を報告
- 手順:
- Security Hub ダッシュボードで PCI DSS 標準をフィルタ
- 「コンプライアンスレポートをエクスポート」
- PDF を監査チームに共有
5. 他サービス連携で広がる活用
5.1 GuardDuty / Inspector との連携
- Security Hub が自動で Findings を取り込み、統一ビューを提供
- 例:GuardDuty の脅威検出と Inspector の脆弱性報告を横断表示
5.2 EventBridge / Lambda 連携
# Python Lambda:Security Hub の Findings を Slack に通知
import json, os, boto3, requests
SLACK_WEBHOOK = os.environ['SLACK_WEBHOOK']
def lambda_handler(event, context):
detail = event['detail']
message = f"*Security Hub Finding*\nSeverity: {detail['severity']['label']}\nResource: {detail['resource']['id']}\nTitle: {detail['title']}"
requests.post(SLACK_WEBHOOK, json={'text': message})
return {"status": "ok"}
5.3 SIEM/SOAR 連携
- Splunk、Sumo Logic、IBM QRadar など外部 SIEM に Findings をストリーミング
- SOAR ツール(Demisto、Phantom)と連携し、エスカレーションを自動化
6. コスト最適化と運用ベストプラクティス
- 従量課金モデル:検出したリソース数・チェック実行回数に応じて課金
- 最適化ポイント:
- 必要な標準チェックのみ有効化
- メンバーアカウントの統制を強化し、重複検出を抑制
- 運用ルール(タグベースフィルタなど)でノイズを削減
7. まとめと今後の展望
AWS Security Hub は、複数サービスの Findings を集約し、標準チェックを自動化することで、「可視化」+「準拠チェック」+「自動化」 の三位一体でセキュリティ運用を強化します。
今後は、AI/ML を活用したアノマリ検知や、より詳細なカスタム標準対応が期待されており、クラウドセキュリティの次世代基盤としての進化が楽しみです。
ポイント再確認
- 一元管理:マルチアカウント・マルチリージョンの Findings 集約
- 標準チェック:CIS/AWS ベストプラクティスを自動実行
- 自動化連携:EventBridge, Lambda, SIEM などとのシームレス統合
ぜひこの記事を参考に、AWS Security Hub を活用して堅牢で効率的なセキュリティガバナンスを実現してくださいね。