AWS Security Hubとは

AWS Security Hubは、AWSクラウド環境におけるセキュリティの統合的な可視化と監視を提供するサービスです。AWS Security Hubは、AWSアカウント内のさまざまなセキュリティソース（例：AWS Guard Duty、AWS Inspector、Amazon Macieなど）からのセキュリティアラートやコンプライアンス情報を収集し、セキュリティダッシュボードで一元管理することができます。

また、自動的にセキュリティチェックを実行し、セキュリティの脆弱性やベストプラクティスに関する推奨事項を提供します。

簡単に言ってしまうと、AWS環境にある”セキュリティの穴”を見える化してくれるサービスなのです。

AWS Security Hubのクロスリージョン集約について

Security Hubは、AWSアカウントが異なるリージョンにまたがっている場合でも、リージョン間でセキュリティデータを集約する機能を提供しています。これにより、セキュリティハブのダッシュボード上で異なるリージョンのセキュリティ情報を一元管理することができます。

クロスリージョン集約を有効にすると、Security Hubは選択したリージョンを集約リージョンとして機能させることができます。この集約リージョンは、異なるリージョンからセキュリティデータを収集し、ダッシュボード上に表示します。セキュリティデータは世界中から収集可能で、Security Hubが利用可能であれば、どのリージョンであってもデータが収集されます。

以下にSecurity Hubのクロスリージョン集約のメリットを箇条書きいたします。

セキュリティデータの一元管理

クロスリージョン集約により、異なるリージョンに分散しているセキュリティデータを一つのダッシュボード上で一元管理することができます。これにより、複数のAWSアカウントやリージョンでのセキュリティ状況を簡単に把握することができます。

統合的なセキュリティ分析

クロスリージョン集約によって、集められたデータを分析することができます。異なるリージョンからのセキュリティアラートやコンプライアンス情報を統合的に評価し、セキュリティインシデントや脅威をより迅速に特定することができます。

セキュリティポリシーの一貫性

クロスリージョン集約により、セキュリティポリシーやベストプラクティスの一貫性を維持することが容易になります。異なるリージョンでのセキュリティ設定やセキュリティコンプライアンスの監視を統合的に行うことで、セキュリティのベストプラクティスに準拠しやすくなります。普段使わないリージョンは見落としてしまうといった、バランスの偏りを解消することにも繋がります。

リソースの可視化と管理

クロスリージョン集約により、異なるリージョンに分散しているAWSリソースのセキュリティ状況を一元的に可視化することができます。ダッシュボード上で、リージョンごとのリソースのセキュリティステータスや脆弱性情報を把握し、必要なセキュリティ対策を実施することができます。さらなる活用方法でもご紹介いたしますが、お客様の個別環境に合わせて管理出来る点も強みと言えるでしょう。

効率的なセキュリティ監視と対応

リージョン集約により、セキュリティハブリージョンで集約されたセキュリティデータをリアルタイムでモニタリングし、セキュリティインシデントに対する迅速な対応が可能になります。異なるリージョンでのセキュリティイベントを集約管理することで、セキュリティチームの効率性が向上するでしょう。

つまり、「東京リージョンにいながら、世界中のセキュリティリスクを管理する」といった使い方が可能になるのです。

どんな方にオススメか

以下のような方々にとって、本日紹介するSecurity Hubのリージョン集約は特におすすめ出来るサービスです。

複数の地域を跨って展開している組織

複数のAWSリージョンにリソースを展開している組織は、各リージョンのセキュリティデータを一元的に管理する必要があります。リージョン集約によって、異なるリージョンでのセキュリティ情報を統合的に監視し、セキュリティの一貫性と可視性を高めることができます。日本国内でも、東京と大阪で分けられているため、どちらも使用している場合には考慮している方もいらっしゃるでしょう。

セキュリティ担当チーム

セキュリティ担当チームは、利用している全てのリージョンでのセキュリティアラートやイベントを統合的に管理する必要があるでしょう。クロスリージョン集約により、セキュリティデータの一元管理と分析が容易になり、セキュリティインシデントへの迅速な対応が可能になるため、活用しきることでより強力な体制と出来るでしょう。

コンプライアンスの担当

コンプライアンスの担当者は、異なるリージョンでのセキュリティポリシーやコンプライアンスの遵守状況を確認する必要があるかと存じます。Security Hubでは結果の出力も可能なため、手入力することなく監査やコンプライアンス報告を行うことができます。

マルチアカウント環境の管理者

検証環境や本番環境など、複数のAWSアカウントを管理しなければいけない際に、発生してしまうのが、統合的な管理という課題。リージョン集約により、異なるアカウントとリージョンでのセキュリティ情報を一つのダッシュボードで表示し、セキュリティの可視性と効率性を向上させることができます。

これらのユースケースに当てはまる方々は、Security Hubのリージョン集約を活用することで、セキュリティ管理と監視の効率化を実現できます。

AWS Security Hubのクロスリージョン集約方法

そんなクロスリージョン集約ですが、使うには設定をしなければいけません。
AWSの公式ドキュメントの方法を以下に記載いたします。

クロスリージョン集約の有効化
https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation-enable.html

1.https://console.aws.amazon.com/securityhub/で AWS Security Hub コンソールを開きます。

2.集約リージョンとして使用するリージョンに変更し、Security Hubのナビゲーションメニューから[設定]、 [リージョン]、[検索結果の集約を設定]を選択します。

3.デフォルトでは、集約リージョンは[集約リージョンなし]に設定されます。

4.現在のリージョンを集約リージョンとして指定します。

5.[リンクされたリージョン]で、データを集約するリージョンを選択します。

6.Security Hub がサポートするパーティション内の新しいリージョンからのデータを自動的に集約し、それらのリージョンをオプトインするには、 [将来のリージョンをリンクする]を選択します。

7.[保存]を選択し、「正常に有効化されました」の文言が出れば保存完了です。

ここまでやってしまえば、現在利用中のリージョン、そしてこれから使うであろうリージョンでもセキュリティ情報を集約することができます。

さらなる活用方法

より使いこなすにはどういった方法があるのでしょうか？
以下に参考となりえる利用方法を記載いたしますので、ぜひご覧ください。

3rd party製品との連携

Security Hubでは、AWS提供サービスのみならず、AWSのパートナーが提供しているセキュリティソリューションとの連携も可能になっております。
有効活用することで、オンプレミス環境のセキュリティリスク低減や、日々更新されていく脆弱性への対策もより強固なものとすることが出来るでしょう。

自動化

ルールを作成することで、個別の環境に合わせて自動化することができます。
そうすることで、特に重要なリソース周りのセキュリティリスクを敏感に察知することや、むしろ検出結果の抑制を利用し結果を逐一確認するという手間を省くことも可能です。

まとめ

本記事ではSecurity Hubの概要のご紹介から、クロスリージョン集約を実際に設定する所まで行いました。
実際に作業された方はいかがだったでしょうか。思っていたよりも簡単に設定出来たと感じていらっしゃるのではないでしょうか。

今回ご紹介したSecurity Hubのクロスリージョン集約以外にもAWSには便利で強力なセキュリティサービスがあります。
活用方法次第では、これまでの負担をグッと減らしながら、よりセキュアな運用を実現する手助けとなるはずです。

今回ご紹介した内容が、皆様のSecurity Hubの活用、ひいてはAWSのサービスを最大限活用することへの入り口になれば幸いです。

最後までご覧いただきありがとうございました。

＜参考＞

クロスリージョン集約の仕組み
https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation-overview.html

クロスリージョン集約の有効化
https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation-enable.html

自動化
https://docs.aws.amazon.com/securityhub/latest/userguide/automations.html