ちょっと話題の記事

【祝リリース】Security HubがGAになったので特徴と使い方まとめてみた

様々なAWSサービスやサードパーティ製品のセキュリティアラートなどを一画面で管理できるSecurity HubがGAになりました!基本的な使い方や、GAならではの料金的なお話をまとめました。
2019.06.25

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、GuardDuty使っていますか?(挨拶)

今日はre:Invent 2018でパブリックプレビューとして登場したSecurity HubがGA(generally available)になったので特徴と使い方を紹介したいと思います。

「Security Hubって何?」「Security Hubどうやって使うの?」と思っている方は参考にしてください!

パブリックプレビュー時のやってみたはこちら

[速報]セキュリティ情報を一括で管理できるAWS Security Hubが発表されたので使ってみました! #reinvent

Security Hubとは

Security HubはAWSのセキュリティとコンプライアンスのステータスを一括で表示できるサービスです。

AWSのセキュリティサービスや、サードパーティのセキュリティソリューションの検出やアラートを統合して可視化、次のアクションにつなげることが出来ます。

機能としては2軸あります。

  • Security Hub固有のチェック機能でCIS AWS Foundations Benchmarkに基づいたコンプライアンスチェック
  • 上記コンプライアンスチェック結果を含め、InspectorやGuardDuty等AWSサービス及びサードパーティの検出・アラートの一元管理・可視化

嬉しいこと

AWSのセキュリティサービスとしては、Amazon InspectorやAmazon GuardDuty、Amazon Macieなどがありますが、これまではそれぞれの画面でセキュリティリスクやインシデント等の情報を別々に扱っていました。

セキュリティ管理者やセキュリティ運用者は都度別々の画面を行き来しながら問題に対応していましたが、Security Hubを用いることによりこれらの運用を1つのサービス上で、1つの画面の中で扱うことが可能になります。

また、サードパーティのセキュリティソリューションとも連携することが出来るので、例えばトレンドマイクロ社のDeepSecurityを導入しているインスタンスでのインシデント情報をSecurity Hubに連携し、InspectorやGuardDutyの検知内容と合わせて1つの画面で見ることにより相関的に分析することが可能です。

検知後の対応を自動化することも可能です。

使い方

セットアップ

まずはマネジメントコンソールからSecurity Hubにアクセスします。「Security Hubを無料で試す」を押します。

Security Hubにアクセス許可を設定する画面になるので「AWS Security Hubの有効化」を押します。(プレビューの時には手動で有効化していたCIS AWS Foundations Benchmarkは自動で有効化されるようです)

セットアップが完了してSecurity Hubの画面が表示されます。(日本語コンソールがまだプレビュー表記なのはご愛嬌)

※私の場合はコンプライアンス標準がすぐに表示されますが、初回の場合には少し時間がかかるかもしれません。

コンプライアンス標準

コンプライアンス標準ではCISベンチマークに沿ったAWS環境の構成になっているかチェックされます。

インサイト

インサイトは各種セキュリティサービスの検知結果を様々な視点で集計したものになります。

「1. 最も検出結果の多い AWS リソース」や「5. 最も疑わしい活動をしている AWS ユーザー」など分析するために必要なインサイトが用意されていたり、自分でルールを記述してカスタムインサイトを作成することも可能です。

検出結果

GuardDutyやInspector等から出力された検出結果(Findings)を確認できます。フィルターやソートをかけることができるので、例えばインスタンスIDベースやIAM User名ベースでそれぞれの検知結果をまとめてみることが可能です。特にトラブルシューティングの際に役に立ちます。

統合

AWSセキュリティサービス以外にも、サードパーティの製品と連携が可能です。

トレンドマイクロやF5, SumoLogic等様々な製品と連携できます。詳細はこちら

カスタムアクション

検出結果に対するアクションを「カスタムアクション」として定義して自動化することが可能です。具体的には、指定したFindingsに含まれるインスタンスIDから、該当インスタンスを隔離する処理を行ったり、内容をSlackに通知したりできます。

料金

パブリックプレビュー時には一緒に作成されるConfig Ruleも含めて無料でしたが、GAとなったことにより費用が発生します。ちなみに、パブリックプレビューから使い続けていた方は有効になったままなので注意。

料金はこちらにあります。

簡単に書くと、料金の種別は2つあり、コンプライアンスチェックの数と取り込んだ検出結果の数に依存します。

  • コンプライアンス
    • 最初の100,000回のチェック/account/region/month: $0.0010 / チェック
    • 以降安くなる
  • 検出結果の取り込み
    • Security Hubのコンプライアンスの結果: 無料
    • 最初の10,000件/account/region/month: 無料
    • 以降: $0.00003 / 件

余談ですが、Config Ruleの費用が先日公表された新料金の体系と同じになっています。古い料金体系ではなくて非常に嬉しいですね。

Config Rulesが激安になるのでみんな使ったほうが良いRuleを紹介します!

コンプライアンスチェックが実際どれくらい発生するのか?と気になるところですが、そこは「設定 -> 使用」の画面で実際に確認できます。私の場合は257回となっています。

実際にチェックを行っているのはConfig Ruleですが、中身を見ているとS3やVPC等のリソースに対するコンプライアンスチェックが動いていて、項目ごとに設定変更毎であったり、12時間の定期チェックであったりするので一律に算出することは難しいでしょう。

実際に使ってみて量を確認する形が一番いいですが、そんな時にオススメなのがフリートライアルです!

一番最初の使い始めのところに「Security Hubを無料で試す」と書いてあって気づいた方もいらっしゃるかもしれませんが、30日間のトライアル期間があるので、こちらを使って実際の費用感を確認するのがいいでしょう。

まとめ

遂にGAになったSecurity Hubの特徴と使い方をまとめました。

一つの画面で複数のサービスの情報をまとめて扱えるので、管理する規模感が大きくなってきたAWSアカウントではガンガン活用していけるサービスだと思います!

細かいSecurity Hubの操作方法などは下記が参考になります。

Security Hubの概要とユースケース

また、DeepSecurityと連携する場合には下記が参考になります。

Security HubとDeep Securityを連携してみた #reinvent