セキュリティ系アップデートの全体像とSecurity Hub深掘り #AWSreInvent #cmregrowth
2023.12.112023/12/11 に開催された #AWSreInvent ふりかえり勉強会 CM re:Growth 2023 OSAKA にて「セキュリティ系アップデートの全体像とSecurity Hub深掘り」 というタイトルで発表しました。
スライドと発表内容をブログで共有します。
スライド
セキュリティサービス新機能のおさらい
セキュリティサービスの新機能全体像
以下、セキュリティサービスの「新機能の件数」ランキングです。
一番多かったのが Security Hub, Detective のそれぞれ4件で、 次に 3件で Inspector でした。 あとは GuardDuty や IAM Access Analyzer、Config、Control Tower あたりが並んでいます。
それぞれのアップデート一覧はスライドに情報あります。 気になるものがあれば、ぜひ検証してみてください。
思ったこと3つ
セキュリティ × 生成AI がアツい
生成AIでセキュリティ運用を効率化するアップデートが多かったです。
- [プレビュー] AWS Config に生成 AI を活用した自然言語クエリによる検索機能が導入されました #AWSreInvent | DevelopersIO
- [アップデート]Amazon InspectorのLambdaコードスキャンが生成AIを活用して修復コードを提示してくれるようになりました #AWSreInvent | DevelopersIO
- [アップデート]Amazon Detective で、生成 AI を使用した検出結果グループの概要が確認できるようになりました #AWSreInvent | DevelopersIO
GuardDuty, Inspector 新機能あたりは定番
この2つのサービスは毎回大きい新機能が発表されている印象です。
- [アップデート]Amazon GuardDuty ECS Runtime Monitoringが利用できるようになりました #AWSreinvent | DevelopersIO
- [アップデート]Amazon GuardDutyがEC2のランタイム保護(プレビュー)をサポートしマルウェアの検出やプロセスツリーの確認ができるようになりました | DevelopersIO
- [アップデート][プレビュー]Amazon Inspectorがエージェントレスなスキャンに対応しました #AWSreInvent | DevelopersIO
- [アップデート]Amazon InspectorのLambdaコードスキャンが生成AIを活用して修復コードを提示してくれるようになりました #AWSreInvent | DevelopersIO
アクセス管理は IAM Identity Center 推し
IAM Identity Center は主にマルチアカウント環境の AWSアクセス管理に役立つサービスです。
最近はいろんなサービスの利用を 「IAM Identity Center 経由にしてアクセスを簡素化するぞ」 といった雰囲気を感じます。 例えば以下のようなアップデートです。
- AWS Analytics は IAM Identity Centerによりサービスをまたぐユーザーのデータアクセスを簡素化 | AWS What's New
- Amazon S3 Access Grants、ID プロバイダーと統合してデータレイクのアクセス許可を簡素化 | AWS What's New
Security Hub 深掘り
その前に軽くおさらい
AWS Security Hub は 2つの機能を提供するサービスです。
- 各種セキュリティサービスの “ハブ”
- CSPM (Cloud Security Posture Management)
各種セキュリティサービスの “ハブ”
Security Hub は他のAWSサービス(GuardDuty や Config, Inspector など) と統合しています。 また、3rd Party のセキュリティ製品との統合も可能です。
Security Hub は統合したサービスの セキュリティイベントを集中管理します。 具体的には、それぞれのセキュリティイベントを AWS Security Finding Format(ASFF) という 統一されたフォーマット で保存します。
集約されたイベントを Security Hubコンソールで確認したり、 通知の仕組みを作成したりできます。
CSPM (Cloud Security Posture Management)
CSPM (Cloud Security Posture Management)は 「セキュリティリスクのある設定」が無いかチェック する機能です。
Security Hubでは コントロール と呼ばれるセキュリティチェック項目が多数提供されています。 それらを有効化することで、 AWS環境のセキュリティチェック基盤を作成できます。 この作業は数クリックで完了します。
Security Hubコンソールでスコアを確認したり、 特にリスクの高いセキュリティチェック失敗を通知したりできます。
Security Hub の新機能たち
今回の re:Invent 2023 で出てきた Security Hub 新機能を紹介していきます。 以下4つです。
- 検出結果の新フィールド
- ダッシュボードの機能強化
- コントロールのカスタマイズ
- 新しい中央設定機能
検出結果の新フィールド
ヒューマンフレンドリー になりました。
検出結果からタグ情報やAWSアカウント名が確認できます。
-- 画像: [アップデート]AWS Security Hubの検出結果に新たな項目が増えました #AWSreinvent | DevelopersIO
ダッシュボードの機能強化
調査が捗ります 。
Security Hubコンソールのトップページに、 いろんなウィジェットを配置できるようになりました。 AWSアカウントやステータスなどでフィルターできるのも地味に嬉しいです。
-- 画像: [アップデート]AWS Security Hubのサマリダッシュボード上でウィジェットのカスタマイズやフィルタリング機能が実装されました #AWSreInvent | DevelopersIO
コントロールのカスタマイズ
かゆいところに手が届きます 。
コントロールのパラメータをチューニングできるようになりました。 例えば社内のセキュリティ要件で、 「セキュリティグループで特定ポートを全公開してはいけない」ルール があったとします。 今までは個別にConfigルールを展開する必要がありましたが、 Security Hubコントロールのカスタマイズで対応できるようになりました。
-- 画像: [アップデート]AWS Security Hubでコントロールのパラメータをカスタマイズできるようになりました #AWSreinvent | DevelopersIO
新しい中央設定機能
マルチアカウント環境の Security Hub統制が "超絶強化" されました 。
新しい「Security Hub 設定」が追加されました。 主に以下の項目を Security Hub 管理者アカウントで統制できます。
- コントロール無効化の集中管理
- オプトイン形式でコントロール有効化
- OU単位のコントロール制御
どの項目も、今までは実装しようと思ったら スクリプトを書いたり、CloudFormation StackSet を駆使したりしないといけませんでした。 それらのツラミを一気に解決するアップデートです。
-- 画像 [アップデート]AWS Security Hubの組織への展開がセキュリティ標準やコントロールなどをカスタマイズして設定できるようになりました! #AWSreInvent | DevelopersIO
おわりに(感じたこと)
以上、セキュリティ系アップデートの全体像とSecurity Hub深掘り解説でした。
Security Hubについては、 複数アカウントの管理者が大歓喜する「新しい中央設定機能」が 目玉だったのかなと思います。
もちろん開発者にとっても嬉しい機能もありました。 例えば「検出結果の新フィールド」や「ダッシュボードの強化」 あたりは、 セキュリティ対応もしないといけない開発者にとって役に立つでしょう。
Security Hubはよく使われているサービスだけあって、 フィードバックを着実に反映してくれている雰囲気を特に感じます。
今年(2023年)だけでも以下のような主要アップデートがありました。
(Security Hub 限らない話ですが) 今後もどんどん活用していき、感じたところはどんどんフィードバックしていきましょう。
参考
- AWSの最新情報 | AWS
- [プレビュー] AWS Config に生成 AI を活用した自然言語クエリによる検索機能が導入されました #AWSreInvent | DevelopersIO
- [アップデート]Amazon InspectorのLambdaコードスキャンが生成AIを活用して修復コードを提示してくれるようになりました #AWSreInvent | DevelopersIO
- [アップデート]Amazon Detective で、生成 AI を使用した検出結果グループの概要が確認できるようになりました #AWSreInvent | DevelopersIO
- [アップデート]Amazon GuardDuty ECS Runtime Monitoringが利用できるようになりました #AWSreinvent | DevelopersIO
- [アップデート]Amazon GuardDutyがEC2のランタイム保護(プレビュー)をサポートしマルウェアの検出やプロセスツリーの確認ができるようになりました | DevelopersIO
- [アップデート][プレビュー]Amazon Inspectorがエージェントレスなスキャンに対応しました #AWSreInvent | DevelopersIO
- [アップデート]Amazon InspectorのLambdaコードスキャンが生成AIを活用して修復コードを提示してくれるようになりました #AWSreInvent | DevelopersIO
- [アップデート]AWS Security Hubの検出結果に新たな項目が増えました #AWSreinvent | DevelopersIO
- [アップデート]AWS Security Hubのサマリダッシュボード上でウィジェットのカスタマイズやフィルタリング機能が実装されました #AWSreInvent | DevelopersIO
- [アップデート]AWS Security Hubでコントロールのパラメータをカスタマイズできるようになりました #AWSreinvent | DevelopersIO
![【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
