AWS re:Invent 2023 期間中 AWS Security Hub が素敵なアップデートを遂げていました

GENSAI

AWS

2023.12.14

Topics

AWS Security Hub とは
新しいダッシュボードの機能強化
セキュリティコントロールのパラメーター値がカスタマイズ可能に
Organizations 単位の Security Hub 管理機能が向上
AWS Config で 24 時間ごとの記録が可能に
検出結果に表示されるメタデータ追加
さいごに

こちらの記事は Japan AWS Ambassadors Advent Calendar 2023 14 日目の記事となります。

AWS re:Invent 2023 では AI 関連のアップデートが目白押しでしたが、日頃お世話になっている AWS Security Hub もまた、素敵なアップデートを遂げておりました。

AWS Security Hub とは

AWS アカウント内の設定を横断的にチェックし、セキュリティ基準への準拠状況を確認するクラウドセキュリティ体制管理サービスです。AWS およびパートナーサービスからのセキュリティ検出結果を一元的に集約し、可視化する機能も有しています。

新しいダッシュボードの機能強化

Announcing major dashboard enhancements in AWS Security Hub

今回のアップデートでまず目を引くのが、ダッシュボードの変更です。新規項目として、AWS アカウント内で検出された脅威のうち上位 10 項目をグラフ表示する “Most common threat type” や、既知のソフトウェア脆弱性に関する調査結果を示す “Software vulnerabilities with exploits” といったウィジェットが追加されました。

また、各種ウィジェットの追加や配置換えといったカスタマイズ機能や、AWS アカウントやリソースタグによるフィルタリング機能も追加されたため、より各々の利用方法に合わせた使い方ができるようになりました！

セキュリティコントロールのパラメーター値がカスタマイズ可能に

AWS の新機能: AWS Security Hub でセキュリティコントロールのカスタマイズが可能に

Security Hub が評価するセキュリティチェック項目を “コントロール” と呼びます。Security Hub はこちらのコントロールに基づいて AWS アカウント内のリソースを自動チェックし、デフォルトのパラメーター値に準拠していないものを “Failed” として出力します。

今回のアップデートによって、評価基準となるパラメーター値をユーザーがカスタマイズできるようになりました。例えば、以下のようなコントロールです。

コントロール ID	タイトル
IAM.7	IAM ユーザーのパスワードポリシーには強力な複雑さの要件が必要です

今までは AWS が推奨するパスワードポリシーがパラメーター値として固定されていましたが、今後はパスワードの長さや記号など、各々のセキュリティポリシーに準拠した値にカスタマイズできます。セキュリティ要件は企業やワークロードによって異なりますので、このアップデートは助かります。

Organizations 単位の Security Hub 管理機能が向上

AWS Security Hub の新しい一元的な設定機能の発表

このアップデートによって、Organizations 単位の Security Hub 管理が柔軟に行えるようになりました。例えば以下のようなセキュリティポリシーを作成し、Organizations メンバーアカウントに対して一元的に適用できるようになっています。

セキュリティ基準 “CIS AWS Foundations Benchmark v1.4.0” のみ有効化
コントロール “IAM.6 : Hardware MFA should be enabled for the root user” を無効化

今までも Organizations 単位で Security Hub を管理することは可能でしたが、一律適用するセキュリティ基準が選択できない、特定のコントロールを無効化するためには個々のメンバーアカウントで個別に設定する必要があるなど、運用にはやや手間がかかっていました。今回のアップデートによって、従来ネックとなっていた不便な点は一掃されています！

AWS Config で 24 時間ごとの記録が可能に

AWS Config、定期記録をサポートし、変更の追跡を効率的にスケール可能に

Security Hub のセキュリティ自動チェック機能は、裏側で AWS Config ルールが使用されています。そのため Security Hub の利用料金に関しては、AWS Config ルールのチェック回数を考慮する必要があります。

従来は AWS リソース上で構成変更があるたびにチェックが実行されていたため料金試算しづらく、オートスケーリングを行うなど変更頻度が高い環境においては想定外の課金が発生してしまうといった課題がありました。

今回のアップデートによって、チェック頻度を従来の「変更が発生するたびの継続的な記録」から「24 時間ごとの日時記録」に変更できるようになり、変更頻度の高い環境でもコストを抑えることが可能となりました。料金の予測も立てやすくなりますので、とても素敵なアップデートだと思います！

検出結果に表示されるメタデータ追加

AWS Security Hub での新しい検出結果のエンリッチメントを発表

AWS Security Hub の検出結果に、AWS アカウント名、リソースタグ、アプリケーションタグのメタデータが追加されました。アプリケーションタグについては AWS マネジメントコンソールの myApplications 機能がリリースされましたので、今後アプリケーション単位での管理に活用できそうです。