Blog

ブログ

AWS Security Hub とは？当社のAWSクラウドセキュリティ設定監査サービスと比較してみた

2024年7月25日

はじめに

EGセキュアソリューションズ　コンサルティングチームの小林です。
初めまして、どうぞよしなに。

突然ですが、AWSを使用するときにセキュリティを気にしているでしょうか？

Amazonだから信用できる！

確かにそういう面もありますが、実はAWS自体に問題はなくても不十分な使い方をしていて事故につながるパターンがしばしばあります。

当社では、そんなインシデントにつながりかねない設定の不備を、ベストプラクティスに則って洗い出す「AWSクラウドセキュリティ設定監査」というサービスを提供しておりますが、AWS自体にも「AWS Security Hub」という設定不備の確認ができるサービスが存在します。

しかし、「AWSクラウドセキュリティ設定監査サービス」を提供している限りでは、あまり「AWS Security Hub」の知名度は高くないようです。
そこで、本記事ではそんな「AWS Security Hub」とはなんなのか、EGセキュアソリューションズの提供する「AWSクラウドセキュリティ設定監査サービス」とは何が違うのかについて紹介します！

この記事の結論（伝えたいこと）

「AWS Security Hub」はデイリーユースに最適！とりあえず設定しておこう！
不十分な部分もあるので設定監査サービスとの併用がおすすめ！

「AWS Security Hub」とは？

それでは早速「AWS Security Hub」についてみていきましょう。
今回紹介する機能を一言で説明すると

各種設定が、[条件]を満たしているか定期的にチェックする

というものです。
その満たすべき[条件]として、各種ベストプラクティスがテンプレートとして用意されており、なんと7種類もあります。

AWS 基礎セキュリティのベストプラクティス v1.0.0
AWS リソースタグ付け標準 v1.0.0
CIS AWS Foundations Benchmark v1.2.0
CIS AWS Foundations Benchmark v1.4.0
CIS AWS Foundations Benchmark v3.0.0
NIST Special Publication 800-53 Revision 5
PCI DSS v3.2.1

1_SecurityHub_base_2 — （古いバージョンのものもあるので実質5種類）

これらを「有効」に設定しておくとこのような感じで、それぞれのベストプラクティス設定を満たせてる？満たせてない？を自動で定期的（※）にチェックし、セキュリティスコアとして表示してくれます。
※12, 24時間おきに全項目、または即座に個別項目のチェック（1分あたり1つ）ができます。

2_SecurityHub_result_Before_2 — （動作検証用にあえて低い結果にしてるだけですよ・・・！）

結果レポートの中身を見てみると、

このように、対象の中にひとつでも不備が見つかれば、不適合(Failed)として評価されます。
この例では各S3バケットに"ブロックパブリックアクセスが設定されていないもの"が不備として検出されていますね。

不適合となっている項目が分かったら修正もセットでやっておきましょう！

とりあえず重要度が高い項目から見直してみてください。
（この重要度はAWSが独自に決めたものなので、責任という観点もあるのかやや偏りがあるかもしれません）

ただ、詳細な手順が書いているわけではないので、書いてある英語や公式ドキュメントを見ながら頑張って直していく必要があり大変ではあります。

今回の例の場合だと、S3バケットのブロックパブリックアクセスの設定なので、 4_before_5_after

一日置くと・・・ 6_Before_7_after

こんな感じで、"成功"の個数が一つ増え、適合した状態に修正することができます。

「AWS Security Hub」の注意点

さて、そんな便利な「AWS Security Hub」ですが、特に自動チェックゆえの注意しておくべき点もあります。

機械的に判定できるものしか評価できない
リージョンに紐づくサービスなため、すべてのリージョンに設定が必要
修正方法が分かりづらい

それぞれ簡単に見ていきましょう

機械的に判定できるものしか評価できない

「人間が判断しないと分からない」、自動化ツールを使う上でよく論点になることの一つです。

「AWS Security Hub」もそれに漏れず、ON, OFFのような機械的に判断できるものしかチェックすることができません。

例えば、通知の設定ができているか、権限が最低限になっているか、というようにセキュリティ上考慮が必要でも、人が見ないと判断ができない項目は対象外となってしまいます。

もちろん機械的に判断できるところもしっかり設定する必要がありますが、実際にはこのような判断が微妙な項目にも大きなリスクが潜んでいることもあり、「AWS Security Hub」だけで満足してはいけない理由の一つとなってます。

（正確には外部監査人の判断による設定監査でも同じことが言えますが、構成情報から懸念がありそうであれば報告は可能です！）

リージョンに紐づくサービスなため、すべてのリージョンに設定が必要

「AWS Security Hub」は、個別のリージョンに紐づくサービスとなっています。

そのため、組織内の確認可能な範囲すべてを対象に入れるためには、全アカウントの全リージョンで有効化しておく必要があります。

AWS Control Towerのような、マルチアカウント環境の制御ができるサービスを利用すれば、一括で設定・統制をすることも可能ですが、使用が制限されている場合や、さらにControl Towerの設定もすることになりますので、多少手間になるかもしれません。
（マルチアカウント環境であればCotrol Towerもセキュリティ的にかなり効果的です。こちらの設定についてもAWSクラウドセキュリティ設定監査サービス内でご相談いただけます！）

また、例えばVPCのようなリージョンを超える場合などは、そもそも確認対象になっていない可能性もありますので留意しておきましょう！

修正方法が分かりづらい

単純ですが、これも実際に使っていると結構困ります。
下の画像のような感じで、検出された項目の詳細ページから[修復手順]と書いてあるところに飛べるのですが、 8_recovery_procedure1

下の画像のように難しいことが書いてあるうえ、肝心のRemediation（修正手順）にはさらに別のリンクが貼ってあることもあり、やや不親切な感じがします... 9_recovery_procedure2

ひとつひとつちゃんと読んで直してもよいのですが、AWSに慣れていないと分かりにくいものも多くあります。そのうえ、ものによっては適当に直すと、正常に動いているものに影響を与えかねないものもあるという罠も...。

章のまとめ

「AWS Security Hub」は、使いたいベストプラクティスを選んで有効化すれば、簡単に現状の不備を確認してくれるサービスです。

使い勝手がよくとりあえず有効化しておくべきサービスといえますが、不十分な点もあるため、セキュリティ対策として完璧にはならないことに注意してください。 10_cons

当社のAWSクラウドセキュリティ設定監査サービス vs AWS Security Hub

ここまでで「AWS Security Hub」とは何なのかについて見ていきましたが、ここでその不十分な点を補う形で手動の設定監査が有効です。

そこで、当社の「AWSクラウドセキュリティ設定監査サービス」と「AWS Security Hub」の特徴の違いについて、まずは比較表をご覧ください。
（AWSクラウドセキュリティ設定監査のサービス概要についてはこちらから） 11_compare

表にあるとおり当社の「AWSクラウドセキュリティ設定監査サービス」はCIS Amazon Web Service Foundation Benchmark（※）に沿って確認していきます。（以下、CISベンチマーク）※現在の最新版(v3.0.0)に対応済み、今後も継続的に最新版に対応していく予定です！

CISベンチマークとは、国際的なセキュリティ専門家ネットワークの中で議論・合意されたベストプラクティスの文書です。

AWS以外にも多くの基準があり、国際的にも評価されているものなので安心できますね
（項目自体は正しくても、説明部分で不親切なことが多いのですが...）

「AWS Security Hub」と当社の「AWSクラウドセキュリティ設定監査サービス」の比較としては、手動で監査を実施する分コストはかかるものの、監査項目数も多くより詳細に確認できるうえ、セキュリティ専門家としての判断や、具体的な修正手順を含めてまとめているという点が大きく異なります。

特に現状全然セキュリティ対策に自信が無いという方にこそ、一回設定監査サービスを受けていただくことで、AWSセキュリティ対策の要所が分かり安定的な事業の継続につながるため、費用対効果が大きくお勧めです。

設定監査サービスの中で、「AWS Security Hub」の設定についても支援しておりますので、監査実施後のセキュリティレベルも維持できるようご協力いたします！