セキュリティ系アップデートの全体像とSecurity Hub深掘り #AWSreInvent #cmregrowth

川原征大

2023.12.11

2023/12/11 に開催された #AWSreInvent ふりかえり勉強会 CM re:Growth 2023 OSAKA にて「セキュリティ系アップデートの全体像とSecurity Hub深掘り」というタイトルで発表しました。

スライドと発表内容をブログで共有します。

スライド

セキュリティサービス新機能のおさらい

セキュリティサービスの新機能全体像

以下、セキュリティサービスの「新機能の件数」ランキングです。

一番多かったのが Security Hub, Detective のそれぞれ4件で、次に 3件で Inspector でした。あとは GuardDuty や IAM Access Analyzer、Config、Control Tower あたりが並んでいます。

それぞれのアップデート一覧はスライドに情報あります。気になるものがあれば、ぜひ検証してみてください。

思ったこと3つ

セキュリティ × 生成AI がアツい

生成AIでセキュリティ運用を効率化するアップデートが多かったです。

GuardDuty, Inspector 新機能あたりは定番

この2つのサービスは毎回大きい新機能が発表されている印象です。

アクセス管理は IAM Identity Center 推し

IAM Identity Center は主にマルチアカウント環境の AWSアクセス管理に役立つサービスです。

最近はいろんなサービスの利用を「IAM Identity Center 経由にしてアクセスを簡素化するぞ」といった雰囲気を感じます。例えば以下のようなアップデートです。

Security Hub 深掘り

その前に軽くおさらい

AWS Security Hub は 2つの機能を提供するサービスです。

各種セキュリティサービスの “ハブ”
CSPM (Cloud Security Posture Management)

各種セキュリティサービスの “ハブ”

Security Hub は他のAWSサービス(GuardDuty や Config, Inspector など) と統合しています。また、3rd Party のセキュリティ製品との統合も可能です。

Security Hub は統合したサービスのセキュリティイベントを集中管理します。具体的には、それぞれのセキュリティイベントを AWS Security Finding Format(ASFF) という 統一されたフォーマット で保存します。

集約されたイベントを Security Hubコンソールで確認したり、通知の仕組みを作成したりできます。

CSPM (Cloud Security Posture Management)

CSPM (Cloud Security Posture Management)は 「セキュリティリスクのある設定」が無いかチェック する機能です。

Security Hubでは コントロール と呼ばれるセキュリティチェック項目が多数提供されています。それらを有効化することで、 AWS環境のセキュリティチェック基盤を作成できます。この作業は数クリックで完了します。

Security Hubコンソールでスコアを確認したり、特にリスクの高いセキュリティチェック失敗を通知したりできます。

Security Hub の新機能たち

今回の re:Invent 2023 で出てきた Security Hub 新機能を紹介していきます。以下4つです。

検出結果の新フィールド
ダッシュボードの機能強化
コントロールのカスタマイズ
新しい中央設定機能

検出結果の新フィールド

ヒューマンフレンドリー になりました。

検出結果からタグ情報やAWSアカウント名が確認できます。

-- 画像: [アップデート]AWS Security Hubの検出結果に新たな項目が増えました #AWSreinvent | DevelopersIO

ダッシュボードの機能強化

調査が捗ります 。

Security Hubコンソールのトップページに、いろんなウィジェットを配置できるようになりました。 AWSアカウントやステータスなどでフィルターできるのも地味に嬉しいです。

-- 画像: [アップデート]AWS Security Hubのサマリダッシュボード上でウィジェットのカスタマイズやフィルタリング機能が実装されました #AWSreInvent | DevelopersIO

コントロールのカスタマイズ

かゆいところに手が届きます 。

コントロールのパラメータをチューニングできるようになりました。例えば社内のセキュリティ要件で、「セキュリティグループで特定ポートを全公開してはいけない」ルールがあったとします。今までは個別にConfigルールを展開する必要がありましたが、 Security Hubコントロールのカスタマイズで対応できるようになりました。

-- 画像: [アップデート]AWS Security Hubでコントロールのパラメータをカスタマイズできるようになりました #AWSreinvent | DevelopersIO

新しい中央設定機能

マルチアカウント環境の Security Hub統制が "超絶強化" されました 。

新しい「Security Hub 設定」が追加されました。主に以下の項目を Security Hub 管理者アカウントで統制できます。

コントロール無効化の集中管理
オプトイン形式でコントロール有効化
OU単位のコントロール制御

どの項目も、今までは実装しようと思ったらスクリプトを書いたり、CloudFormation StackSet を駆使したりしないといけませんでした。それらのツラミを一気に解決するアップデートです。

-- 画像 [アップデート]AWS Security Hubの組織への展開がセキュリティ標準やコントロールなどをカスタマイズして設定できるようになりました！ #AWSreInvent | DevelopersIO

おわりに(感じたこと)

以上、セキュリティ系アップデートの全体像とSecurity Hub深掘り解説でした。

Security Hubについては、複数アカウントの管理者が大歓喜する「新しい中央設定機能」が目玉だったのかなと思います。

もちろん開発者にとっても嬉しい機能もありました。例えば「検出結果の新フィールド」や「ダッシュボードの強化」あたりは、セキュリティ対応もしないといけない開発者にとって役に立つでしょう。

Security Hubはよく使われているサービスだけあって、フィードバックを着実に反映してくれている雰囲気を特に感じます。

今年(2023年)だけでも以下のような主要アップデートがありました。

2月: 統合コントロール結果 (参考)
6月: Automation Rules (参考)
12月: 今回の新機能たち
たくさん: 新規コントロール追加

(Security Hub 限らない話ですが) 今後もどんどん活用していき、感じたところはどんどんフィードバックしていきましょう。

セキュリティ系アップデートの全体像とSecurity Hub深掘り #AWSreInvent #cmregrowth

スライド