投稿日: Mar 30, 2022
AWS Security Hub では、お客様の Cloud Security Posture Management (CSPM) を強化する目的で、基本的なセキュリティのベストプラクティス標準 (FSBP) として 12 の新しいコントロールが利用できるようになりました。これらのコントロールは、Amazon Auto Scaling、Amazon CloudFront、AWS CodeBuild、Amazon EC2、Amazon Elastic Container Service (ECS)、AWS Lambda、Amazon Network Firewall、Amazon Relational Database Service (Amazon RDS)、Amazon Redshift、および Amazon Simple Storage Service (S3) のセキュリティのベストプラクティスに対して完全に自動化されたチェックを実行します。Security Hub で新しいコントロールを自動的に有効にするように設定し、既に AWS Foundational Security Best Practices を使用している場合は、これらのコントロールがデフォルトで有効化されます。Security Hub では、AWS のセキュリティ体制を自動的にチェックするための 187 のセキュリティコントロールがサポートされるようになりました。
新しく追加された 12 の FSBP コントロールを以下に示します。
- [AutoScaling.2] Amazon EC2 Auto Scaling グループで複数のアベイラビリティーゾーンをカバーする
- [CloudFront.8] CloudFront ディストリビューションは、SNI を使用して HTTPS リクエストを処理する
- [CodeBuild.4] CodeBuild プロジェクト環境にはログ記録の設定をする
- [CodeBuild.5] CodeBuild プロジェクト環境では権限モードを有効化しない
- [EC2.22] 未使用の EC2 セキュリティグループを削除する
- [EC2.21] ネットワーク ACL では、0.0.0.0/0 から 22 番ポートまたは 3,389 番ポートへのインバウンドトラフィック (イングレス) を許可しない
- [Lambda.5] VPC Lambda 関数は、複数のアベイラビリティーゾーンで実行させる
- [NetworkFirewall.6] ネットワークファイアウォールのステートレスルールグループを空にしない
- [RDS.24] RDS データベースクラスターで、カスタムの管理者ユーザー名を使用する
- [RDS.25] RDS データベースインスタンスで、カスタムの管理者ユーザー名を使用する
- [Redshift.8] Amazon Redshift クラスターで、デフォルトの管理者ユーザー名を使用する
- [S3.10] バージョニングが有効になっている S3 バケットで、ライフサイクルポリシーを設定する
Security Hub はグローバルに利用可能であり、AWS アカウント全体のセキュリティ体制の全体像を把握できるように設計されています。Security Hub により、複数の AWS のサービス (Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Firewall Manager、AWS Systems Manager Patch Manager、AWS Config、AWS Health、AWS IAM Access Analyzer など) および 60 を超える AWS パートナーネットワーク (APN) ソリューションにおけるセキュリティアラートと検出結果を一元的に集約、整理、および優先順位付けできるようになりました。また、AWS Foundational Security Best Practices、CIS AWS Foundations Benchmark、Payment Card Industry Data Security Standard (PCI DSS) などの標準に基づいた自動セキュリティチェックを使用して、環境を継続的にモニタリングすることもできます。さらに、Amazon Detective または AWS Systems Manager OpsCenter で検出結果を調査するか、AWS Audit Manager または AWS Chatbo に送信することで、これらの検出結果に対してアクションを実行できます。また、Amazon EventBridge ルールを使用して、チケット発行、チャット、セキュリティ情報およびイベント管理 (SIEM)、応答および修復ワークフロー、ならびにインシデント管理ツールに検出結果を送信することもできます。
AWS マネジメントコンソールを使用すると、ワンクリックで Security Hub の 30 日間の無料トライアルを開始できます。Security Hub の機能の詳細については、Security Hub のドキュメントを参照してください。また、30 日間の無料トライアルを開始するには、Security Hub の「無料トライアルのページ」を参照してください。