![[速報] 新しくなったAWS Security Hub が一般提供開始(GA)されました #AWSreInvent](https://devio2024-media.developers.io/image/upload/f_auto,q_auto,w_3840/v1764698916/user-gen-eyecatch/qfmzq57ypetkdgj7vbxv.png)
[速報] 新しくなったAWS Security Hub が一般提供開始(GA)されました #AWSreInvent
あしざわです。
AWS re:Invent 2025にて、AWS Security Hub が一般提供開始されました。
概要
AWS Security Hub は、AWS re:Inforce 2025 にてPreview版が発表されていました。
それ以前までSecurity Hubと呼ばれていたサービスは、Security Hub CSPMとしてリネームされています。
Preview版では以下の機能が提供されていました。
- ダッシュボード
- Exposure Findings(アタックパスの可視化)
- パートナー統合機能(Jira, ServiceNow)
本日のGAにあたって、以下の機能が追加されました。
- ダッシュボードの機能追加
- ニアリアルタイムのリスク分析
- パートナー統合機能の拡張
検証と詳細の確認
早速有効化してみましょう。
Security Hubのマネジメントコンソールから有効化を進めてみます
一般提供開始(GA)されたSecurity Hubを有効化するか、無効化するかを選択できます。
これまでのPublic Previewでは無償提供されていましたが、今回のGA版を有効化するにあたってコストが発生するようになることから、ユーザーで課金を
なお、GA版のSecurity Hubの有効化後30日間は無料で利用できる期間があるそうです。
When you continue with General Availability, your current Security Hub configurations (including all enabled Regions) will receive a 30-day free trial for Security Hub essential capabilities. After 30 days, you will transition to paid pricing.
Continue with Security Hub General Availabilityを選択して、有効化してみます。
Security capabilitiesにて、以下の機能をすべて有効化するか、個別に有効化するかを選べます。
- セキュリティ管理
- Amazon Security Hub CSPM
- Amazon GuardDuty
- Amazon Inspector
リージョンも全リージョンで有効化、もしくはリージョンごとで有効化するか選択可能です。
今回はすべての機能、すべてのリージョンで有効化してみます。
有効化できました。
GAにともない追加された機能をそれぞれ確認してみましょう。
ダッシュボードの機能追加
ダッシュボードに追加されたTrend Overviewウィジェットでは、Day-over-day(日次)、Week-over-week(週次)、month-over-month(月次)の単位でセキュリティの改善状況、悪化状況が一目でわかります。
これまであった脅威検出結果や露出検出結果等のウィジェットでは、Serverityごとの検知数のグラフや集計期間の指定(5日・30日・90日・6ヶ月・1年)が可能になりました。
ニアリアルタイムのリスク分析
Security HubはExporsureの計算をニアリアルタイムで計算し、脆弱性や設定ミスだけでなくGuardDutyの脅威分析も取り入れられるようになりました。
これにより、GuardDuty が脅威を検知、Amazon Inspector が脆弱性を特定、または AWS Security Hub CSPM が設定ミスを発見すると、Security Hub はこれらの発見事項を自動的に相関させ、関連するエクスポージャーを更新のような動きをするようになります。
今回は追加されたGuardDutyで検出された脅威分析まではできていないのですが、コンソール上のアップデートを確認しました。
Exposure(露出)タブからアクセスできます。
以前と比べると検出事項がタイトルやSeverityごとに整理されて、可視性が上がっていました。
私の環境ではLowの検出結果が1件だけ出ていたのでみてみましょう。
概要タブを確認すると、Lambda上のコードの脆弱性が検出されていたことがわかりました。
潜在的な攻撃パスでは、可視化されたアタックパスのコンポーネントごとに到達可能性・脆弱性・不適切な設定などの特性カテゴリが新しく付与されるようになっています。
別途検証して、他にどのようなカテゴリが付与されるかみてみたいですね。
パートナー統合機能の拡張
AWS Blogによると、これまで通りJira および ServiceNow との統合をサポートしているようです。
マネジメントコンソールから検出結果を表示し各サービスにチケットを起票したり、Security Hub Automationを使って重大度レベル、リソースタイプ、検出結果タイプに応じた基準に基づいて、チケットの自動起票もできるようです。その他、EventBridgeを介した自動応答ワークフローも作成できる模様。
こちらはすぐに検証できなかったので、追ってやってみたいと思います。
料金
気になる料金ですが、AWS公式のPricingページから確認しました。
Security Hubでは、Security Hub Essential プランとアドオン機能が採用されています。
- Essentialプラン(デフォルト機能)
- リスク分析、脆弱性管理、セキュリティ体制管理、セキュリティ対応管理
- アドオン機能
- Amazon GuardDuty を活用した脅威分析プラン
- Amazon Inspector を活用した Lambda コードスキャン
Essentialプランを利用すると、以下の機能が包括された課金形態で利用できます。※()は対応するサービス
- Risk and exposure analytics (Security Hub)
- Resource inventory (Security Hub)
- Workflow automation (Security Hub)
- Automation rules (Security Hub CSPM)
- Finding ingestion events (Security Hub CSPM)
- Posture management (Security Hub CSPM)
- EC2 vulnerability scanning (Inspector)
- EC2 CIS Benchmark assessment (Inspector)
- ECR vulnerability scanning (Inspector)
- Lambda vulnerability scanning (Inspector)
- EC2/EBS malware protection (GuardDuty)
Essentialプランではないプランもあり、Standard pricing(標準価格)というそうです。こちらはこれまで通り従量課金で利用できるようです。ただし、Security hubの機能は利用できません。
前置きが長くなりましたが、東京リージョンの利用料金が以下です。
4.10 USD (リソースユニットあたりの月額)
リソースユニットとは、Security Hub独自の概念でAWSサービスによって課金されるリソース数が異なります。
- EC2:1インスタンス=1ユニット
- ECRイメージ:18個=1ユニット
- Lambda関数:12個=1ユニット
- IAMユーザーとロール:125個=1ユニット
要するにEC2 1台で月額4.10USD、Lambda関数 12個で月額4.10USDのコストが発生するってことですね。それなりに課金が発生しそうですが、リッチな機能が利用できるので妥当なんでしょうか。
初回有効化後30日間は無料で利用できるので、まず試してみてコストに見合った機能が利用できるか検証することをお勧めします。
利用できるリージョン
Security Hubは米国系のリージョンだけでなく、東京リージョン、大阪リージョンでも利用できます。
最後に
今回は、AWS re:Invent 2025にて一般提供開始(GA)されたSecurity Hubについて紹介しました。
料金が少し気になるところですが、Security Hubは今後のAWSセキュリティの統合管理において非常に重要になるAWSサービスであるに違いないと思います。
本記事が誰かのためになれば幸いです。
以上。
