[パブリックプレビュー] Organizations 環境で AWS Security Hub Advanced を有効化してみた
こんにちは、アノテーション カスタマーサクセス部 運用支援チームの kaz です!
はじめに
re:Inforce 2025 で新しい AWS Security Hub が発表されました。
そして、従来の AWS Security Hub は AWS Security Hub CSPM (Cloud Security Posture Management) に置き換わりました。
なんて呼べばいいか悩むところですが「新しい AWS Security Hub」だと違いがわかりづらいので、
マネージメントコンソールに記載があるように「AWS Security Hub Advanced」と呼ぶことにします。
さて、今回はそんな AWS Security Hub Advanced を Organizations 組織で有効化する方法を試してみましたので、紹介します。
前提条件
- AWS Organizations が設定されていること
- AWS Security Hub CSPM が有効化されていること
- ホームリージョン:
ap-northeast-1
(東京) - リンクされたリージョン:
us-east-1
(バージニア北部)
- ホームリージョン:
- AWS Security Hub CSPM の委任管理者が設定されていること
なお、現在 AWS Security Hub Advanced は以下のサービスと統合されており、サービス間の立ち位置については以下のようになっています。
私の環境では AWS Security Hub CSPM と Amazon GuardDuty が有効化された状態で試しています。
- AWS Security Hub CSPM
- Amazon GuardDuty
- Amazon Inspector
- Amazon Macie
これらのサービスを有効化する場合は、以下を参考にしてください。
やってみた
設定は組織管理アカウントと委任管理者アカウントの 2 つのアカウントで行います。
1. 組織管理アカウントから AWS Security Hub Advanced を設定
はじめに組織管理アカウントから AWS Security Hub Advanced を設定します (東京リージョンで設定)。
また、「アカウント有効化」は後ほど委任管理者から設定できるので、ここではチェックしていません。
ちなみに AWS Security Hub CSPM の委任管理者が自動的に AWS Security Hub Advanced の委任管理者として設定されるようです。
このとき AWSServiceRoleForSecurityHubV2 というサービスリンクロールが作成されます。
合わせて AWS Config ではサービスリンクレコーダーが自動的に作成されます。
これにより AWS Security Hub Advanced は AWS Config の設定データを取得し、露出分析カバレッジに必要なリソース設定項目を取得できるようになります。
組織管理アカウントのオンボードから設定する理由
AWS Security Hub CSPM の委任管理者から AWS Security Hub Advanced を見ると、以下のような画面になります。
ここで AWS Security Hub Advanced 用サービスリンクロールを設定できますが、委任管理者が組織管理アカウントに変わってアクションを実行するために必要な権限は付与されません。
そのため、組織管理アカウントで先にオンボードを行っておくと、スムーズに設定を進めることができるためです。
なお、どうしても委任管理者主体で設定を行いたい場合は、AWS Organizations のリソースポリシーを予め定義しておく必要があります。
設定後、以下のような画面が表示されます。
[クロスリージョン集約]でエラーが出ていますが「アカウント有効化」にチェックを入れておらず、AWS Security Hub Advanced が有効になっていないためです。
あとで委任管理者で有効化するので、ここでは気にしないで OK です。
ここで、重要なのは[委任された管理者に関するポリシー]が設定されていることです。
このポリシーによって、委任管理者は組織の AWS Security Hub Advanced を構成するために必要な AWS Organizations アクションを実行できるようになります。
ちなみに[委任された管理者に関するポリシー]の設定は AWS Organizations 設定画面の[AWS Organizations の委任された管理者]から確認できますよ!
2. 委任管理者アカウントから AWS Security Hub Advanced を設定
次に、委任管理者アカウントから AWS Security Hub Advanced を設定します。
ここでは、組織管理アカウントやメンバーアカウントの AWS Security Hub Advanced を組織全体で有効化するための設定を行っていきます。
また、クロスリージョン集約を設定するためにホームリージョンとなる東京リージョン (ap-northeast-1
) で設定を行っています。
では、AWS Security Hub Advanced のサービスリンクロールを設定します。
有効化されました。
クロスリージョン集約の設定
次に、クロスリージョン集約の設定を行います。
左側のメニューから[一般]を選択し、[クロスリージョン集約]を設定します。
ホームリージョンを ap-northeast-1
(東京) に設定し、リンクされたリージョンには us-east-1
(バージニア北部) を選択しました。
※リンクされたリージョンは必要なものを選択してください
ちなみに、リンクされたリージョンに設定しただけでは AWS Security Hub Advanced は有効化されないのでリージョンごとに有効化する必要があることに注意してください。
Security Hub ポリシーを設定 (組織の AWS Security Hub Advanced を構成する)
次に、Security Hub ポリシーを設定します。
Security Hub ポリシーは、組織の AWS Security Hub Advanced を構成するためのポリシーです。
このポリシーを設定することで、組織内の各アカウントで AWS Security Hub Advanced を有効化したり、特定のリージョンでのみ有効化するなどの柔軟な設定が可能になります。
では、左側のメニューから[設定]を選択し、[ポリシー作成]をクリックします。
ポリシー名と説明を適当に入力します。
[リージョンの選択]では ap-northeast-1
と us-east-1
を選択しました。
[アカウントの選択]では「すべての組織単位とアカウント」を選択しました。
[リージョンの選択]の詳細設定について
今回は設定していませんが、詳細設定でより細かなリージョン設定が可能です。
たとえば、以下のようなケースを想定してみます。
- AWS Security Hub Advanced が GA (一般提供) されたときに思ったよりもコストが高い・・・といった場合に、特定リージョンでのみ有効化したいと考えるかもしれません
- SCP (Service Control Policy) や Control Tower でリージョン制限をかけているアカウントでは Security Hub Advanced が無効でもいいかと考えることもあるでしょう
- メンバーアカウントにスタンドアロンの AWS Security Hub Advanced を有効化させたくない場合もあるかもしれません
このようなときに、[リージョンの選択]の詳細設定をうまく活用して有効範囲を絞ることができると思います。
なお、Security Hub ポリシーのベストプラクティスやその設定方法については、以下のドキュメントを参照するとよいでしょう。
確認画面で設定内容を確認し、[作成]をクリックします。
Security Hub ポリシーが作成され、指定したアカウントまたは組織単位に適用されます。
設定画面で[組織]タブを選択すると、アカウントにはどのようなポリシーが適用されているかを確認できます。
余談ですが、Security Hub ポリシーが 1 つでも作成されると AWS Organizations の Security Hub ポリシー
が自動的に有効になります。
動作確認
最後に、組織管理アカウントで AWS Security Hub Advanced が有効化されているかを確認してみます。
まずは、AWS Security Hub Advanced のホームリージョンである ap-northeast-1
(東京) を確認。
次に、リンクされたリージョンである us-east-1
(バージニア北部) を確認。
そして、Security Hub ポリシーに指定されていないリージョン ap-southeast-2
(シドニー) を確認。
これで、Security Hub ポリシーによって、組織の AWS Security Hub Advanced が正しく設定されていることが確認できました!
また、AWS Security Hub Advanced 自体の詳細や操作については、以下を参照してください。
まとめ
新しくなった AWS Security Hub Advanced は、従来の AWS Security Hub CSPM の機能を拡張し、より柔軟で統合的なセキュリティ管理を可能にしてくれます。
また Security Hub ポリシーを利用することで、組織の AWS Security Hub Advanced を柔軟に構成できます。
いまはまだパブリックプレビュー中ですが、気になるのはやはりコストでしょう。
とくに AWS Security Hub CSPM ですでに集約リージョンを設定しているケースにおいて、AWS Security Hub Advanced でも集約リージョンを設定すると追加のコストが発生しないのか気になるところですね〜。
また、サードパーティのセキュリティソリューションと統合がされており、AWS Security Hub Advanced で受け取った検出結果を ServiceNow や Jira に送信できるようになっています。
この辺りは、セキュリティチームのワークフローを効率化するために有用そうですね!
参考
アノテーション株式会社について
アノテーション株式会社 は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。
「らしく働く、らしく生きる」のスローガンを掲げ、さまざまな背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けています。
現在当社では AWS の構築・運用経験があり、以下の業務に携わってくれるメンバーを募集中です。
- AWS 環境の運用設計支援や構築
- 運用監視とインシデント対応
- 定型業務などの自動化
AWS 関連資格をお持ちの方、クラウドネイティブな運用経験者は大歓迎です。
少しでもご興味がありましたら 募集職種 よりご応募ください!!
一緒に働ける日を心待ちにしています!