[アップデート]AWS Security Hubが統合コントロールビューと統制結果の統合に対応しました

こんにちは、臼田です。

みなさん、AWSのセキュリティチェックしてますか？(挨拶

今回はAWS Security Hubが統合コントロールビューと統制結果の統合に対応したのでこれを紹介します。

Announcing Consolidated Control Findings and a Consolidated Controls View for AWS Security Hub

このアップデートは以前予告があり、下記で注意喚起していました。

統合コントロールビューと統制結果の統合の概要

詳細は上記記事を見ていただければ大丈夫ですが簡単にだけ説明します。

AWS Security Hubで新しく下記2つの機能がリリースされました。

• 統合コントロールビュー
• 検知結果の統合

統合コントロールビューはデフォルトで機能が追加されており、これまで複数のコントロールはそれぞれの詳細ページで確認していたところを、一括で確認できるようになっています。検知結果の統合は複数のコントロールにより検知されたFindings(検知結果)を1つに統合する機能で、機能のオンオフを選択することができ、既存ユーザーはデフォルトオフです。

どちらもより使いやすくなる良い機能ですが、この変更のためにSecurity HubのFindingsのフォーマットが変わるため、これを利用した既存のシステムなどに影響が出る可能性があり、注意が必要です。特に通知周りなどで作り込んでいる場合は動作を確認してください。

やってみた

それではやってみましょう。今回は、影響が無くすぐに確認できる統合コントロールビューを見てみます。

マネジメントコンソールからAWS Security Hubにアクセスすると、左カラムに「コントロール」が追加されています。これを開くと、統合コントロールビューが表示されます。中央に統合されたスコア表示があり嬉しいですね。右上のリージョン統合の状態から、統合コントロールビューでもリージョン統合が適切にされていることがわかります。

あと、地味に嬉しいのが「失敗」タブがデフォルトになっています。各コントロールのページではデフォルトは有効なすべてのコントロールになっているので、見なくていい項目が沢山表示されていましたが、これで直すべきものに集中しやすくなりました。

まんなかの「チェックを効率化する」というところから検知結果の統合ができそうですが、設定後のインパクトが大きそうなので今回はスキップします。

続いてコントロールの詳細ページを確認します。

これまでのコントロールページと違ってタブが増えており、「関連する標準と要件」というところで、関連するスタンダード(基準)が表示されるようになっていました。どのスタンダードに紐付いているかが確認できます。

ついでにコントロール一覧で検索欄を使ってみたのですが、どうやらスタンダードを指定した絞り込みなどはできませんでした。今後追加されるのか、それともスタンダード単位の確認がしたければ、既存の画面を使うことが想定されているのか、どちらの方向性なのか気になりますね。

統制結果の統合は「設定 -> 一般 -> セキュリティコントロールの結果の重複排除」から変更ができそうでした。

まだ変更して動作を確認していませんが、ユーザーガイドを確認すると以下のように書かれていて、統合をオンオフすると、18時間は混在環境になるらしいのでこのあたりも注意点です。

統合されたコントロールの調査結果を有効にした後、Security Hub が新しい統合された調査結果を生成し、元の標準ベースの調査結果をアーカイブするには、最大 18 時間かかる場合があります。その間、標準にとらわれない結果と標準に基づく結果が混在してアカウントに表示される場合があります。(翻訳)

なお、今回のアップデートに先駆けて、すでにASFFのアップデートは始まっています。詳細は下記をご確認ください。

まとめ

統合コントロールビューと統制結果の統合がついにリリースされました。

今後ますます使いやすくなりますが、機能を有効にする場合など、既存の仕組みに影響がある可能性がありますので確認はきちんと行ってください。

なお、今回のアップデートに伴ってAPIの更新も来ていますが、詳細なリリースノートはまだ出ていないようでした。

botocoreのアップデートはありましたので、試したい方はこちらを参考にしてください。1.29.79に色々追加されていました。