developersIO
[速報] 新しくなったAWS Security Hub が一般提供開始(GA)されました #AWSreInvent

[速報] 新しくなったAWS Security Hub が一般提供開始(GA)されました #AWSreInvent

AWS re:Invent 2025
AWSAWS Security Hub
FacebookHatena blogX
2025.12.03

あしざわです。

AWS re:Invent 2025にて、AWS Security Hub が一般提供開始されました。

https://aws.amazon.com/about-aws/whats-new/2025/12/security-hub-near-real-time-risk-analytics/

https://aws.amazon.com/blogs/aws/aws-security-hub-now-generally-available-with-near-real-time-analytics-and-risk-prioritization/

概要

AWS Security Hubは、AWSのセキュリティサービスで検出された結果を一元管理する統合セキュリティソリューションです。

今回GAとなるAWS Security Hubは、AWS re:Inforce 2025 にてPreview版が発表されていたサービスです。

https://dev.classmethod.jp/articles/aws-security-hub-unified-solution/

それ以前までAWS Security Hubと呼ばれていたサービスはAWS Security Hub CSPMという名前にリネームされています。

Preview版では以下の機能が提供されていました。

  • ダッシュボード
  • Exposure Findings(アタックパスの可視化)
  • パートナー統合機能(Jira, ServiceNow)

本日のGAにあたって、以下の機能が追加されました。

  • ダッシュボードの機能追加
  • ニアリアルタイムのリスク分析
  • パートナー統合機能の拡張

検証

早速有効化してみましょう。

Security Hubのマネジメントコンソールから有効化を進めてみます

CleanShot 2025-12-02 at 08.29.17@2x.png

このアカウントでは、プレビュー版のSecurity Hubを有効化していました。

そんな背景から以下の画面では一般提供開始(GA)されたSecurity Hubを有効化するか、プレビュー版を無効化するかを選択させるようになっています。

そのままGA版を使いたいので、Continue with Security Hub General Availabilityを選択して、有効化しました。

CleanShot 2025-12-02 at 08.30.02@2x.png

プレビュー版を使っている環境で勝手にGA版が有効化されないのかな...?と気になりましたが、コンソールに以下の記載があるとおりプレビュー版は2026/1/15までに自動で無効化されるようです。心配ないですね。

Security Hub preview has ended
If you don't continue with the Security Hub General Availability (GA) by January 15, 2025, Security Hub preview service will be automatically disabled. Disabling the Security Hub preview service will have no impact to your existing Security Hub CSPM, Inspector, and GuardDuty configurations and any findings in those respective services.

Security capabilitiesにて、以下の機能をすべて有効化するか、個別に有効化するかを選べます。

  • セキュリティ管理
  • Security Hub CSPM
  • GuardDuty
  • Inspector

CleanShot 2025-12-02 at 08.37.21@2x.png

CleanShot 2025-12-02 at 08.37.54@2x.png

リージョンも全リージョンで有効化、もしくはリージョンごとで有効化するか選択可能です。

CleanShot 2025-12-02 at 08.38.36@2x.png

今回はすべての機能、すべてのリージョンで有効化してみます。

CleanShot 2025-12-02 at 08.39.21@2x.png

有効化できました。

ダッシュボードの機能追加

ダッシュボードに追加されたTrend Overviewウィジェットでは、Day-over-day(日次)、Week-over-week(週次)、month-over-month(月次)の単位でセキュリティの改善状況、悪化状況が一目でわかります。

CleanShot 2025-12-02 at 08.54.24@2x.png

これまであった脅威検出結果や露出検出結果等のウィジェットでは、Serverityごとの検知数のグラフや集計期間の指定(5日・30日・90日・6ヶ月・1年)が可能になりました。

CleanShot 2025-12-02 at 09.01.33@2x.png

ニアリアルタイムのリスク分析

Security HubはExposureの計算をニアリアルタイムで計算し、脆弱性や設定ミスだけでなくGuardDutyの脅威分析も取り入れられるようになりました。

これにより、GuardDuty が脅威を検知、Amazon Inspector が脆弱性を特定、または AWS Security Hub CSPM が設定ミスを発見すると、Security Hub はこれらの発見事項を自動的に相関させ、関連するエクスポージャーを更新のような動きをするようになります。

今回は追加されたGuardDutyで検出された脅威分析まではできていないのですが、コンソール上のアップデートを確認しました。

Exposure(露出)タブからアクセスできます。

以前と比べると検出事項がタイトルやSeverityごとに整理されて、可視性が上がっていました。

CleanShot 2025-12-02 at 09.05.31@2x.png

私の環境ではLowの検出結果が1件だけ出ていたのでみてみましょう。

概要タブを確認すると、Lambda上のコードの脆弱性が検出されていたことがわかりました。

CleanShot 2025-12-02 at 09.14.36@2x.png

潜在的な攻撃パスでは、可視化されたアタックパスのコンポーネントごとに到達可能性・脆弱性・不適切な設定などの特性カテゴリが新しく付与されるようになっています。

CleanShot 2025-12-02 at 09.10.18@2x-1.png

別途検証して、他にどのようなカテゴリが付与されるかみてみたいですね。

パートナー統合機能の拡張

AWS Blogによると、これまで通りJira および ServiceNow との統合をサポートしているようです。

マネジメントコンソールから検出結果を表示し各サービスにチケットを起票したり、Security Hub Automationを使って重大度レベル、リソースタイプ、検出結果タイプに応じた基準に基づいて、チケットの自動起票もできるようです。その他、EventBridgeを介した自動応答ワークフローも作成できる模様。

こちらはすぐに検証できなかったので、追ってやってみたいと思います。

料金

気になる料金ですが、AWS公式のPricingページから確認しました。

https://aws.amazon.com/security-hub/pricing/

Security Hubの課金形態は、Security Hub 標準(Essential)機能とアドオン機能で構成されています。

  • 標準機能
    • Security Hubの各種機能
    • Inspector の脆弱性管理機能
    • Security Hub CSPMのクラウドポスチャ管理機能
    • GuardDuty Malware Protection のEC2/EBSのマルウェア検出機能
  • アドオン機能
    • GuardDuty の脅威分析機能
    • Inspector のLambda コードスキャン機能

東京リージョンの利用料金が以下です。

  • 標準機能
    • 4.10 USD (リソースユニットあたりの月額)
  • アドオン機能
    • GuardDuty の脅威分析機能
      • CloudTrail分析:4.72 USD (100万イベントあたり)
      • その他のログ分析:〜0.649 USD (1GBあたり)
        • VPC フローログ
        • Route 53 DNS クエリログ
        • S3 データイベント
        • EKS 監査ログ
        • Lambda ネットワークログ
    • Inspector のLambda コードスキャン機能
      • 0.495 USD (Lambda関数の平均数ごとに)

標準機能にある「リソースユニット」とは、Security Hubの課金に関する新しい概念です。

AWSサービスによって課金されるリソース数が異なります。

  • EC2:1インスタンス=1ユニット
  • ECRイメージ:18個=1ユニット
  • Lambda関数:12個=1ユニット
  • IAMユーザーとロール:125個=1ユニット

要するにEC2 1台で月額4.10USD、Lambda関数 12個で月額4.10USDのコストが発生するということです。それなりに課金が発生しそうですが、リッチな機能が利用できるので妥当なんでしょうか。

アドオン機能のGuardDutyのコストは現在のGuardDutyの料金とそこまで変わらないか少し安いくらいだなと感じました。

少し気になったところは、普段は脅威検出機能と別の機能として課金されていたS3データイベントとEKS監査ログがその他のログ分析として同じ課金形態に含まれていたことです。

普段は100万イベント単位で計算されていたこれらのログ分析機能なので、Pricingページには丁寧にこれまでの100万イベントがGBに直すとどれくらいになるのか書いてくれています。

Amazon S3 データイベント (100 万イベント = 2 GB)、Amazon EKS 監査ログ (100 万イベント = 2.2 GB)

料金について気になることが多いですが、Security Hubは30日間の無料期間が提供されています。まず試してみてコストに見合った機能が利用できるか検証することをお勧めします。

利用できるリージョン

Security Hubは、ほぼ全ての商用リージョンで利用できます。

つまり東京リージョンや大阪リージョンでも利用できます。

最後に

今回は、AWS re:Invent 2025にて一般提供開始(GA)されたSecurity Hubについて紹介しました。

料金が少し気になるところですが、Security Hubは今後のAWSセキュリティの統合管理において非常に重要になるAWSサービスであるに違いないと思います。

本記事が誰かのためになれば幸いです。

以上。

この記事をシェアする

FacebookHatena blogX

関連記事

Control Towerへのアカウント登録時に必要な既存Config配信チャネルの削除をAdministratorAccessポリシーで試みても権限エラーになる原因と対策を教えてください。
katsumata
2025.12.23
Amazon Q in Connectセルフサービスで顧客との複数回のやり取りをエージェントに引き継ぎ、エージェントワークスペースに表示させてみた
平井裕二
2025.12.23
Lambda 関数のイベントソースに SQS キューを指定する際に発生する「Queue visibility timeout: x seconds is less than Function timeout: y seconds」への対処方法
Nakamura Makoto
2025.12.23
[アップデート] AWS FIS が AWS Direct Connect の障害アクションをサポートしました
いわさ
2025.12.23