【レポート】AWS Security Hubを用いたセキュリティとコンプライアンス対応 – Deep Dive into AWS Security Hub – #AWSSummit

AWS Summit Onlineで実施された「AWS Security Hubを用いたセキュリティとコンプライアンス対応 - Deep Dive into AWS Security Hub -」のレポートです。ガッツリ使いこなしましょう!
2020.09.08

こんにちは、臼田です。

皆さん、AWS Summit Online Japanを楽しんでいますか?(挨拶

今回は『AWS Security Hubを用いたセキュリティとコンプライアンス対応 - Deep Dive into AWS Security Hub -』というセッションを聞いたのでそのレポートをします。

セッション概要

アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 ソリューションアーキテクト 桐山 隼人

AWS Security Hub はリスク評価とコンプライアンス評価を一元的に管理する、セキュリティの要となるサービスです。Amazon GuardDuty, Amazon Inspector, Amazon Macie, AWS Config などその他 AWS セキュリティサービスと連携することで、ビジネス継続にとって必要な企業のセキュリティレベルを向上する術を詳細解説します。

動画と資料

動画と資料はこちら

レポート

スピーカー: AWSJ 桐山隼人さん

  • AWSでセキュリティに関するサービスはすでに20以上ある
  • 今回はAWS Security Hubの話
    • Hubという通り他のサービスと連携する
  • 本セッションの対象者とゴール
    • 対象者
      • セキュリティ対策に関する設計・実装・運用する方
      • コンプライアンス準拠への責任を有する方
    • ゴール
      • AWSサービスを利用することでどのように課題を解決できるか
      • そのためのAWS Security Hubの適した使い方(ベストプラクティス)
    • 話さないこと
      • 一般的なセキュリティ管理策やコンプライアンスに対する基本的な説明
      • AWS Security Hub以外のAWSサービスの細かな仕様や詳細解説

AWS Security Hubとは

  • セキュリティとコンプライアンス対応における課題
    • 対応すべきコンプライアンス要件の多さ
      • 対応するためにツールが増える
    • 多数のツールやデータによる複雑性
      • 色々使うことにアラートが増える
    • 大量のセキュリティアラート
      • 対応するための人的リソースなどが不足してくる
    • 統合的な可視性の不足
      • 組織全体を確認するための可視性が特に不足する
  • Security Hubはこれらを解決する
    • 組織内の様々なセキュリティデータを集約して可視化する
  • 利用時の流れ
    • 全AWSアカウントでSecurity Hubを有効化する(全体監視)
    • 継続的にデータ集約し検出結果の優先順位をつける
    • コンプライアンスチェックを自動的に実行する
    • 検出結果に基づいて効果的なアクションを行う
  • AWSセキュリティ関連サービス
    • 例としてNISTサイバーセキュリティフレームワークに当てはめる
    • Security Hubは識別・検知で登場する
    • しかし、他の領域のAWSサービスと連携してサイバーセキュリティフレームワーク全体をカバーできる

Security Hubを実際に使ってみる

  • 6つのステップ
    • デプロイ
    • 統合する
    • 基準を有効化
    • 検出結果を取り扱う
    • 自動化
    • コスト管理
  • デプロイ
    • ポイント
      • AWS Organizationsのマスターアカウントから子供のアカウントを管理
      • 子アカウントにセキュリティマスターアカウントを作成してメンバーアカウントのセキュリティ監視を行う
      • GuardDutyやConfigからセキュリティ情報を各アカウントのSecurity Hubで集約
      • 各アカウントのSecurity HubからセキュリティマスターアカウントのSecurity Hubに情報を集約
    • 重要なところ
      • 全リージョンで有効化するべき
        • 攻撃者は普段利用していないリージョンを狙ってくる
      • Configでサポートする全リソース(グローバルリソースを含む)で記録開始されていること
        • 記録できていないと、評価ができない
      • 監視対象のメンバーアカウントを招待することでSecurity Hubを有効化し、セキュリティマスターアカウントと関連付ける
        • セキュリティ評価の結果もセンシティブな情報なため適切な場所で管理する
        • もしGuardDutyを使っているならそれと似たような形
        • ただしSecurity HubとGuardDutyの親子関係は独立している
        • 同じように集約設定を行うといい
    • 管理画面でのメンバーアカウントの追加
      • 管理画面でアカウントIDを登録していく
      • マルチアカウント用のスクリプトもあるので活用するといい
        • CSVでID管理ができる
      • GuardDutyのアカウント階層を活用してCSV出力も可能
  • セキュリティツールとの統合
    • AWSサービスやセキュリティパートナーソリューションからの検出結果などをSecurity Hubに集められる
    • 統合できるサービス
      • GuardDuty
        • 脅威検知に関する検出結果
      • Inspector
        • セキュリティ評価の結果
      • Macie
        • S3のセキュリティチェック
        • ポリシー違反時の結果
      • IAM Access Analyzer
        • 外部からのアクセスを許可する設定
      • Firewall Manager
        • WAFのポリシーやShield Avancedによる保護がされていない場合の検出結果
    • AWS Configカスタムルールの検出結果の統合
      • 統合するためのCloudFormationスタックがある
    • 既存のセキュリティパートナー製品の統合
      • 各製品の検出結果フォーマットはAWS Security Findings Formatに正規化され管理画面上で一元的に可視化される
      • パートナー一例
        • 検出結果を連携するものもあれば、アクションを実行するものもある
  • セキュリティ基準を有効化する
    • 3つの基準に対応
      • AWS Foundational Security Best Practices v1.0.0
      • CIS AWS Foundations Benchmark v1.2.0
      • PCI DSS v3.2.1
    • セキュリティ基準デフォルト設定
      • デフォルトではAWS FoundationalとCISが選択されている
    • 新しいセキュリティ基準
  • セキュリティ検出結果を取り扱う
    • 対応すべき検出結果のフィルタリング
      • 大量に出てくるのでフィルタリングを活用する
      • CriticalやHighの重要度を見ていくといい
      • 重要度ラベルとワークフローステータスを確認する
    • 改善アクションのガイダンス
      • 詳細画面の改善というところでガイダンスを見れる
      • どのように改善していくかを詳しく確認できる
      • 修復のアクションの説明などがある
    • インサイトによる対応効率化
      • インサイトは関連する検出結果の集まり
      • 例えばインスタンスのイメージID(AMI-ID)ごとの検出結果の数が確認できる
      • 対応順序を決める指標にできる
      • Group Byで集約された結果
    • カスタマイズしたインサイトの作成
      • グループ化したいものを指定してインサイトを作成できる
        • ResourceType
          • リソース毎に検出結果を集約
        • AWS account ID
          • マルチアカウント環境でアカウントごと集約
    • ワークフローステータス
      • 検出結果のステータス
        • ステータスの値
          • 新規
          • 通知済み
          • 抑制済み
          • 解決済み
      • 調査効率化のためカスタムインサイトのフィルターとしても利用可能
    • よりシームレスに連携できる調査サービスとしてAmazon Detectiveを利用できる
  • 対応を自動化する
    • 検出結果に基づいた対応
      • 集まってきたイベントからCloudWatch Eventsで通知する
    • カスタムアクションを利用することでEventsを呼ぶことができる
    • そこからLambdaやKinesisやSSM RunCommandなどへつなぐ
    • カスタムアクション作成例
      • シンプルな例として管理者への通知
        • イベントルールでSecurity Hubのイベント発生からSNSトピックでメールを送るように連携
        • Security Hubのアクションからメール送信ができるようになる
    • カスタムアクションのサンプルはいろいろ公開されている
      • CISベンチマークに沿ったアクションもある
    • インシデントレスポンスの自動化
      • 検出結果を元にパートナーソリューションなどを呼んで修正などができる
      • NetworkACL + AWS WAFによるリソース保護
        • 自動的にアクセス制御を行う
      • Systems Managerによるデータ収集
        • スナップショットを自動的に取得する
  • コストを管理する
    • 無料期間を用いたコスト試算
      • すべてのリージョン、アカウントで30日間の無料期間あり
      • Security Hubの管理画面 -> 設定 -> 使用から予測コストを確認
    • コスト最適化方法
      • セキュリティチェック対象の選別
        • 個別のセキュリティチェックを無効化してコストの最適化ができる
        • 例えばCISの項目で該当アカウントで評価しない項目がある場合に無効化するなど

まとめ

感想

Security Hubの詳細と活用方法がガッツリ紹介されました!

大規模なAWSアカウント展開をしている場合には特に統合的な可視性は重要ですので参考になりますね!

是非活用していきましょう!