新しいAWS Security Hub(Advanced)と従来のAWS Security Hub(CSPM)をAWS Organizationsと絡めて整理してみた
コンバンハ、千葉(幸)です。
みなさん、AWS Security Hubはお使いでしょうか。AWS Security Hubは2018年11月にリリースされた古くからあるサービスです。
そんな馴染み深いサービスが2025年6月にリニューアルしました。
従来のAWS Security HubはAWS Security Hub CSPM(CSPM = Cloud Security Posture Management)という名称に変わり、AWS Security Hubというサービスは新たな機能を持って生まれ変わりました。新たなサービスを指してAWS Security Hub Advancedと呼んだりします。(このブログでもそう呼称します。)
2つの概念の理解にこんがらがったので、整理してまとめてみます。
先にまとめ
- AWS Security Hub AdvancedとAWS Security Hub CSPMについて
- 従来のAWS Security Hub はAWS Security Hub CSPMと呼ばれる
- 新しいAWS Security Hub は単にAWS Security Hubと呼ばれたり、AWS Security Hub Advancedと呼ばれたりする
- AWS Security Hub Advancedはプレビューリリースであり、正式リリース時には仕様が異なる可能性がある
- AWS Security Hub Advancedに関するリソースやAPIには
v2が付与されている - 両者は別のサービスであり、有効/無効の状態は独立している
- AWS Organizationsを用いたAWS Security Hubの一元管理について
- AWS Security Hub AdvancedはSecurity Hubポリシーを用いる
- AWS Security Hub CSPMでは中央設定を用いるのがセオリーであり、そこではSecurity Hub CSPM設定ポリシーを用いる
このブログについて
- 従来のAWS Security Hub自体は大体分かってるよ、という方を想定読者としています
- 細かい設定や機能、「やってみた」は取り上げず、大枠としての「AWS Security Hub Advanced と AWS Security Hub CSPMの違い」を紹介することを目的としています
AWS Security Hub Advanced と AWS Security Hub CSPMは何が違うのか
AWS Security Hub Advanced と AWS Security Hub CSPMの関係を押さえておきましょう。
改めて、従来のAWS Security HubはAWS Security Hub CSPMに名称が変わっています。
AWS Security Hub CSPMを含む各種AWSサービスから収集した情報を一元管理するサービスとして、新たなAWS Security Hubが位置します。
https://dev.classmethod.jp/articles/aws-security-hub-unified-solution/ より引用
新たなAWS Security Hubは2025年9月現在でもプレビュー版です。新たな機能として何ができるのか?については以下に詳しいためご参照ください。
「新たな AWS Security Hub」はAWSマネジメントコンソール上では AWS Security Hub Advancedと表現されます。そのため、このブログでもこの呼称を採用します。
とはいえAWSドキュメント上では単に「AWS Security Hub」と表現されています。
製品ページでも同様です。「AWS Security Hub」というワードがあった際に、何を指しているのかを文脈から判断するようにしましょう。
- AWS Security Hub Advanced(新しいAWS Security Hub)
- AWS Security Hub CSPM(従来のAWS Security Hub)
特に2025年6月のリニューアル以前に書かれた記事においては、単に「AWS Security Hub」と書いていればそのほとんどはAWS Security Hub CSPMのことを指しているでしょう。
AWS Security Hub AdvancedとAWS Security Hub CSPMは関連するが独立したサービス
AWS Security Hub CSPMはAWS Security Hub Advancedのコア機能として位置付けられていますが、両者は独立したサービスです。
AWSマネジメントコンソールでもサービス画面のURLが分かれています。
- AWS Security Hub CSPM
https://console.aws.amazon.com/securityhub/home
- AWS Security Hub Advanced
https://console.aws.amazon.com/securityhub/v2/home
「AWS Security Hub CSPMを有効化しているがAWS Security Hub Advancedを有効化していない」という状態も普通にあり得ます。
どちらもサービスプレフィックスとしては同じsecurityhubを持ちますが、リソースは区別されています。リソースタイプにv2を含むものがAWS Security Hub Advancedに関連するものです。
AWS CLIコマンドも同じaws securityhubを使用します。
例えばaws securityhub enable-security-hub-v2など、v2を含むものはAWS Security Hub Advanced用のものです。リファレンスを見ると、APIはプレビュー中である旨が示されています。
This API is in private preview and subject to change.
AWS OrganizationsにおけるAWS Security Hub Advanced と AWS Security Hub CSPM
AWS Organizationsにおいて複数アカウントでの「AWS Security Hub」を統合管理するケースを考えます。ここでの「AWS Security Hub」はAWS Security Hub Advanced と AWS Security Hub CSPMの両方を含みます。
先にイメージを載せておきます。
AWS Organizationsにおける「信頼されたアクセス」と「委任された管理者」
AWS Organizations では以下概念があります。
- 信頼されたアクセス:
- 対応したAWSサービスで有効化することで、AWS Organizations組織内での当該サービスに関連する操作を許可する
- 各アカウントにサービスに応じたAWS Service Linked-Roleが作成される
- 対応したAWSサービスで有効化することで、AWS Organizations組織内での当該サービスに関連する操作を許可する
- 委任された管理者:
- 当該AWSサービスの管理を、組織の管理アカウントからメンバーアカウントに委任する
AWSサービスによって両者の対応状況は異なり、その一覧は以下で確認できます。
AWS Security Hubはどちらにも対応しています。AWS OrganizationsでSecurity Hubの「信頼されたアクセス」が有効化されているイメージは以下です。
ここでは、「AWS Security Hub Advanced」と「AWS Security Hub CSPM」は区別されていません。
信頼されたアクセス有効化により作成されるサービスリンクロール
AWS OrganizationsにおいてSecurity Hubの信頼されたアクセスを有効化すると、管理アカウントにAWSServiceRoleForSecurityHubが作成されます。
信頼されたアクセスを有効にすると、組織の管理アカウントに次のサービスにリンクされたロールが自動的に作成されます。このロールにより、Security Hub は組織内のアカウント内でサポートされている操作を実行できます。
このロールを削除または変更できるのは、Security Hub と組織間の信頼できるアクセスを無効にする場合、または組織からメンバー アカウントを削除する場合のみです。
AWSServiceRoleForSecurityHub
これはAWS Security Hub CSPMに用いられるものです。一元管理されるメンバーアカウントでAWS Security Hub CSPMを有効化する際にも同じものが各アカウントに作成されます。
一方で、AWS Security Hub Advanced にはAWSServiceRoleForSecurityHubV2が用いられます。サービスを有効化する際に作成されます。
Security Hub を有効にすると、AWSServiceRoleForSecurityHubV2 というサービスリンクロールとサービスリンクレコーダーがアカウントに作成されます。
使用されるサービスリンクロールが別物であることを覚えておきましょう。
AWS Security Hubにおける委任された管理者
AWS Security Hub Advanced と AWS Security Hub CSPMは独立したサービスのため、各アカウントでサービスが有効か無効かは別の状態を取り得ます。(CSPMは有効だけどAdvancedは無効、など)
一方で、両サービスの「委任された管理者」の設定は連携して作用します。
- Advanced か CSPMのどちらか一方で「委任された管理者」になったアカウントは、もう一方のサービスでも「委任された管理者」になる
- Advanced と CSPMの「委任された管理者」のアカウントが同一であった場合、どちらか一方のサービスで「委任された管理者」としての役割を削除するともう一方でも削除される
- 組織の管理アカウント自身を「委任された管理者」に指定できるか否か
- Advanced:不可
- CSPM:可
考慮事項
Security Hub で委任管理者を指定するときは、次の点を考慮してください。
- AWS 組織管理アカウントは、Security Hub CSPM で自身を委任管理者として指定できます。 AWS 組織管理アカウントは、Security Hub の委任管理者として自身を指定することはできません。このシナリオでは、 AWS 組織管理アカウントは、Security Hub で別の を委任管理者 AWS アカウント として指定する必要があります。ベストプラクティスとして、一貫したガバナンスのために、セキュリティサービス全体で同じ委任管理者を使用することをお勧めします。
- AWS 組織管理アカウントが Security Hub CSPM で委任管理者を指定すると、その委任管理者は自動的に Security Hub の委任管理者になります。このシナリオでは、Security Hub は、この特定の のみを委任管理者として AWS アカウント 使用できます。
注記
AWS 組織管理アカウントが Security Hub で Security Hub CSPM と同じ委任管理者を使用している場合、Security Hub CSPM コンソールまたは AWS Organizations API を使用して削除すると、Security Hub でも削除されます。同様に、Security Hub コンソールまたは AWS Organizations API を使用して削除すると、Security Hub CSPM でも削除されます。委任された管理者が Security Hub CSPM から削除されると、中央設定は自動的にオプトアウトされます。
設定上はAWS Security Hub Advanced と AWS Security Hub CSPMの委任された管理者アカウントを別にすることもできそうです。ただ、両者に限らずセキュリティ系のサービスの委任された管理者アカウントを統一することがベストプラクティスとされています。
AWS Security Hub Advanced向けのSecurity Hubポリシー
AWS Security Hub AdvancedをAWS Organizations環境において一元管理するにはSecurity Hubポリシーを用います。
Security HubポリシーはAWS Security Hub Advancedとあわせて登場した概念です。組織のアカウントに対して、特定のリージョンではAWS Security Hub Advancedの有効化を必須とする、逆にまた別のリージョンでは有効化を禁止する、といった一律での管理が可能です。
委任された管理者アカウントのAWS Security Hub Advancedコンソールの「設定」からポリシーの作成や管理が行えます。作成時のイメージは以下です。
ここで作成されたSecurity HubポリシーはAWS Organizationsのリソースです。AWS Organizationsの管理ポリシーに分類され、以下のARNで表されます。
arn:${Partition}:organizations::${Account}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}
AWS Organizationsにおけるポリシーの種類は他にもあり、管理アカウントから一覧を確認できます。
👆ポリシータイプごとに有効/無効の状態が存在します。Security Hub ポリシーが無効の状態でも、委任された管理者アカウントでSecurity Hubポリシーを作成すれば自動的に有効化されます。[1]
AWS Organizations の各種ポリシータイプについては以下を参照してください。
AWS Security Hub CSPM向けの中央設定
AWS Security Hub CSPMで複数アカウントを管理するには大きく2種類の手法があります。
- ローカル設定
- 中央設定
中央設定は相対的に新しい概念で、2023年11月に登場しました。
中央設定を用いることで、組織内のアカウントを対象にAWS Security Hub CSPMの有効化/無効化、使用するスタンダードなどを一元管理できます。中央設定の登場以降は、あえてローカル設定を採用すべきケースは少ないです。
中央設定においては設定内容をSecurity Hub CSPM設定ポリシーとして定義します。
Security Hub CSPM設定ポリシーは、委任された管理者アカウントの「AWS Security Hub CSPM」→「設定」→「設定」の画面から作成や管理が行えます。
ポリシー作成時のイメージは以下です。
ここで作成されたSecurity Hub CSPM設定ポリシーはAWS Security Hubのリソースであり、以下のARNで表されます。
arn:${Partition}:securityhub:${Region}:${Account}:configuration-policy/${ConfigurationPolicyId}
AWS OrganizationsのリソースであるSecurity Hubポリシーと混同しないように気を付けましょう。
まとめ(再掲)
- AWS Security Hub AdvancedとAWS Security Hub CSPMについて
- 従来のAWS Security Hub はAWS Security Hub CSPMと呼ばれる
- 新しいAWS Security Hub は単にAWS Security Hubと呼ばれたり、AWS Security Hub Advancedと呼ばれたりする
- AWS Security Hub Advancedはプレビューリリースであり、正式リリース時には仕様が異なる可能性がある
- AWS Security Hub Advancedに関するリソースやAPIには
v2が付与されている - 両者は別のサービスであり、有効/無効の状態は独立している
- AWS Organizationsを用いたAWS Security Hubの一元管理について
- AWS Security Hub AdvancedはSecurity Hubポリシーを用いる
- AWS Security Hub CSPMでは中央設定を用いるのがセオリーであり、そこではSecurity Hub CSPM設定ポリシーを用いる
終わりに
新しいAWS Security Hub(Advanced)と従来のAWS Security Hub(CSPM)をAWS Organizationsと絡めて整理してみました。
特に今は過渡期なので、「AWS Security Hub」と言われたときにそれがAdvancedなのかCSPMなのかその両方を含めた表現なのか判断に迷う機会が多いように感じます。
個人的には新しいAWS Security Hub(Advanced)はAWS Security Hub v2と呼んでくれたほうが混乱しなくて嬉しいなと思っています。
両者の概念がこんがらがっていた方の参考になれば幸いです。
以上、チバユキ (@batchicchi)がお送りしました。
(最後に繰り返しになりますがAWS Security Hub Advancedはプレビューリリースのため、正式リリース時には仕様が異なる可能性があります。)
参考
- [速報]セキュリティ情報を一括で管理できるAWS Security Hubが発表されたので使ってみました! #reinvent | DevelopersIO
- Security Hubの中央設定(Central Configuration)で気になる部分を調べてみた #AWSreInvent | DevelopersIO
- AWS入門ブログリレー2024〜AWS Security Hub編〜 | DevelopersIO
- [パブリックプレビュー] Organizations 環境で AWS Security Hub Advanced を有効化してみた | DevelopersIO
- Security Hub ポリシーの挙動を確認してみた | DevelopersIO
- Organizations に新しいポリシー「Security Hub ポリシー」が追加されていたので試してみる #AWS - Qiita
