Security Hub で未使用リージョンのコントロールが失敗する時の対象方法3選
2025.02.12質問
Security Hubを全リージョンで有効化しています。
普段使用していないリージョン(オレゴンやシドニーなど)においてコントロールが失敗するという問題が発生しています。この状況に対する適切な対処方法を知りたいです。
例えば、Security Hubコントロールの「Inspector.1:Amazon Inspector EC2 スキャンを有効にする必要があります」では、東京リージョンのみ有効化することにしており、コストの関係上、他のリージョンでは有効化していません。
他のリージョンで有効化していないことは正しい挙動なため、他のリージョンのチェックを除外したいです。
結論
未使用リージョンでのSecurity Hubコントロール失敗に対して、以下3つの対処方法があります。
- 複数リージョンの複数コントロールをまとめて無効化
- 特定リージョンのSecurity Hub自体を無効化
- 使用するリージョンを制限
解説
1. 複数リージョンの複数コントロールをまとめて無効化
特定のリージョンでコントロールによる検知が不要な場合、一括で無効化することが可能です。
この方法は、必要なリージョンでのセキュリティ監視を維持しながら、不要な検知を防ぐことができます。
詳細は下記ブログをご参照ください。
2. 特定リージョンのSecurity Hub無効化
使用予定のないリージョンでのSecurity Hub運用が不要と判断される場合、該当リージョンでの無効化が可能です。
詳細は下記ブログをご参照ください。
ただし、特定リージョンで Security Hub を無効化してしまうと、そのリージョンで意図しないリソース作成などの潜在的なリスクに対応できなくなります。Security Hubの無効化に関するメリット・デメリットについては、下記ブログをご参照ください。
3. 使用するリージョンを制限
最後に使用するリージョンを制限する方法です。
こちらはAWS Organizationsのサービスコントロールポリシー(SCP)やControl Towerのリージョン制限を使用することで実現できます。
また弊社で発行できるセキュアアカウントには、リージョン制限機能があります。
この機能を利用することで、以下の3リージョンに限定して利用ができます。
- アジアパシフィック(東京)
- アジアパシフィック(大阪)
- 米国東部(バージニア北部)
よって、普段使用しないリージョンでのSecurity Hubの無効化と同時にセキュリティ強化とコスト削減の両立が可能となります。
さいごに
今回は、Security Hub で未使用リージョンのコントロールが失敗する時の対象方法3選についてまとめてみました。
Security Hubの運用において、全リージョンでの監視が必要ない場合は、上記の対処方法を検討することをお勧めします。
特に弊社から提供している「セキュアアカウント リージョン制限」機能は、セキュリティとコスト最適化の両面で効果的な解決策となります。
実装の際は、自社のセキュリティポリシーやビジネス要件を考慮した上で、最適な方法を選択してください!
最後までお読みいただきありがとうございました!
以上、おつまみ(@AWS11077)でした!
![[アップデート] Amazon Redshift Serverlessが IP アドレス要件をサブネットあたり 3 に削減されたので試してみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-63f1274931b942e9a92e601c1127ad73/cfe87ec6d62fa2fc3c474ed4cb2f6c2e/amazon-redshift)
