【Tips】AWSサービスの詳細設計の指針としてSecurity Hubが役立ちますよという話
2024.01.29こんにちはカスタマーソリューション部のこーへいです!
AWSを用いたシステムの詳細設計を任された方で、「何を基準に各AWSパラメータを決めていけばいいんだ、、、」と困ったことはありませんでしょうか?
基本設計や要件等がしっかり固まっており、尚且つ明文化されているプロジェクトではそういった悩みもある程度軽減されますが、そのような状況でない場合では経験の浅いエンジニアは詳細設計フェーズでのパラメータ決めに苦労するかもしれません。
そういった方に今回は指針としてAWS Security Hub(以降Security Hub)が役に立ちますよとお伝えさせてください。
Security Hubとは
AWS Security Hubのメイン機能としては、「セキュリティ基準機能」と呼ばれるものが挙げられます。これは、Cloud Security Posture Management(CSPM)に相当するサービスで、「AWSリソースのセキュリティ設定がベストプラクティスから逸脱していないか」を自動でチェックします。
【初心者向け】AWS Security Hubとは?概要からメリット、料金まで解説より引用
上記の説明が分かりやすく、Security HubはAWSアカウント内に存在する危険な設定があった場合にユーザーにお知らせしてくれます。
例えばS3バケットが意図せずパブリック公開されていると、Security Hubがその状態を検知しユーザーに教えてくれるので、それに対してパブリック公開の設定を是正することで情報流出などの脅威を未然に防ぐことが可能です。
早速結論
- Security Hubは本来CSPMサービスであり、AWSアカウント内の危険な設定を検知・通知するAWS純正のサービス
- しかし逆説的に、Security Hubのコントロール項目(チェック項目)を参考に各サービスのパラメータを決めるという使い方もできる
- Security Hubのコントロール項目は完全なものではなく、日々アップデートされているが、網羅性も高くパラメータ決めの参考になるのは間違いない
Security Hub 標準リファレンスとは
Security Hubは危険な設定がないか定期的にチェックし、危険な設定があればユーザーに検知・通知するCSPMサービスです。
各AWSサービス毎のコントロール項目(チェック項目)をそれぞれのセキュリティ基準として一連化させたものが、Security Hub 標準リファレンスであり、現在は5種類用意されています。
PCI DSSやNISTといったお馴染みの基準もある中で、一番よく使用されるものはAWS Foundational Security Best Practices (FSBP) 標準でしょう。
中身を見ていく
AWS Foundational Security Best Practices (FSBP) 標準のS3に関するコントロール項目を確認しましょう。
S3に関する項目も多数あり、特に初めてS3の設計を担当する場合は、AWSが推奨するS3設定を把握できるのはとても嬉しいです。
S3.1ではS3が公開設定しないように推奨していたり、S3.9ではアクセスログを取得することを推奨していたりすることがわかります。
今回は例としてS3の項目を挙げましたが、EC2やRDSなどの基本的なサービスは大体揃っているので、気になる方は是非AWS Foundational Security Best Practices (FSBP) 標準を確認してみてください。
その他Tips
コントロール一覧
特定の標準に関係なく、Security Hub側で用意しているコントロール項目の一覧はこちらのドキュメントで確認できます。
CCGガイド等の利用について
Security Hubの各コントロールは有効な設定値の基準とはなりますが、中には設定として対応する意味が薄かったり現場であまり採用されていないコントロールもあります(そういった項目はAWSが後日廃止する場合もあります)。
弊社では現場のノウハウを活かし、クラスメソッド独自の優先度や解釈がまとめられたドキュメントを用意しており、クラスメソッドメンバーズ限定で閲覧することができます!
また、重要なコントロールを中心に設定の変更ブログを公開していますので、具体的に設定を修正したい場合にはこちらもご活用ください!
まとめ
Security Hubのコントロール項目は、AWSサービスの各設定値を定めるための指針としてとても役に立ちますよとお伝えしました。
また参照にするだけなら無料で使用することができるのも嬉しいですね!
もちろんSecurity Hubのコントロール項目は完全なものではなく、日々アップデートされているものの、網羅性も高くパラメータ決めに困った際はSecurity Hubのコントロール項目をまずは参考にしてみてはいかがでしょうか。
![[アップデート]Security Hub のセキュリティ標準に新たに5個のチェック項目が追加されました(2024/11/15)](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e71a738589e583b65670923628e8b6f4/45568b9fd457506bd2f3d6fd304d4b6a/aws-security-hub)
![【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
