AWS認定資格 WEB問題集&徹底解説
ソリューションアーキテクト – アソシエイト
AWSサービスの一つであるAWS Security Hubはどんな内容なのでしょうか?また、AWS認定資格のソリューションアーキテクト-アソシエイト(SAA)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います
1. サービス概要
AWS Security Hubは、AWSアカウント全体のセキュリティ状況を一元的に可視化・管理するクラウドセキュリティ態勢管理(CSPM)サービスです。GuardDuty・Inspector・Macie・Config・Firewallなど複数のAWSセキュリティサービスや、サードパーティツールからのセキュリティアラート(Findings)を一か所に集約し、優先順位付けして提示します。
セキュリティ標準(CIS AWS Foundations Benchmark・AWS基礎セキュリティベストプラクティス等)への準拠状況を自動チェックし、コンプライアンスダッシュボードで組織全体のセキュリティスコアを可視化します。
2. 主な特徴と機能
2.1 Findings(検出結果)の一元集約
複数のAWSセキュリティサービス・サードパーティツールからのアラートをASFF(Amazon Security Finding Format)に標準化して集約。一つのコンソールで全アラートを管理できます。
- 統合ソース: GuardDuty・Inspector・Macie・IAM Access Analyzer・Config・Firewall Manager・AWS Health・サードパーティ(Splunk・Palo Alto等)。
2.2 セキュリティ標準(Security Standards)
以下のセキュリティ標準への準拠状況を自動チェックし、コントロール単位で合格/不合格を評価します。
- AWS基礎セキュリティベストプラクティス(FSBP): AWSが推奨するベストプラクティスへの準拠チェック。
- CIS AWS Foundations Benchmark: CISが定めるAWS設定のセキュリティ標準。
- PCI DSS: カード業界のセキュリティ標準への準拠チェック。
- NIST SP 800-53: 米国政府のセキュリティ標準への準拠チェック。
2.3 セキュリティスコアとダッシュボード
各セキュリティ標準・コントロールの準拠率をパーセンテージ(セキュリティスコア)で表示。組織全体・アカウント別の準拠状況を一目で把握できます。
2.4 マルチアカウント・Organizations統合
Security Hubの管理者アカウントを指定することで、Organizations内の全アカウントのFindingsを1か所に集約して管理できます(委任管理者機能)。
2.5 自動修復(EventBridge / Security Hub Automations)
FindingsをEventBridgeでトリガーし、Lambda・Systems Manager・Step Functions等で自動修復アクションを実行できます。Security Hub Automationsルールでノーコードの自動応答も設定可能。
3. アーキテクチャおよび技術要素
- Security Hubを有効化→ セキュリティ標準を選択して自動チェックが開始。
- 連携サービス(GuardDuty・Inspector・Macie等)がFindingsをASFF形式でSecurity Hubに送信。
- Security Hubのコンソール/APIでFindingsを確認・フィルタリング・優先順位付け。
- EventBridgeルールでFindingsを受信→ Lambda等で自動修復アクション実行。
- Organizations委任管理者で全アカウントのFindingsを管理アカウントに集約。
Security Hub自体はリードオンリーのアグリゲーターであり、リソースを直接変更しません。実際の修復はEventBridge経由の自動化で行います。
4. セキュリティと認証・認可
- ASFF標準化: 全Findingsを標準形式に統一し見落としを防止。
- リージョン集約: 複数リージョンのFindingsを特定のリージョンに集約(クロスリージョン集約)。
- Findings抑制: 誤検知・許容済みリスクを抑制設定して対応不要アラートを除外。
- IAMによるアクセス制御: Security HubへのアクセスはIAMポリシーで制御。
5. 料金形態
- セキュリティチェック: 実行されるコントロールチェック数に応じた従量課金。
- Finding取り込み: 最初の10,000件/月は無料、以降は件数に応じた従量課金。
- 初回有効化から30日間の無料トライアルあり。
6. よくあるアーキテクチャ・設計パターン
- セキュリティ一元監視(SOCダッシュボード): Security HubにGuardDuty・Inspector・Macieを統合→全アカウント・全リージョンのアラートを1つのコンソールで監視。SOC(セキュリティオペレーションセンター)業務を効率化。
- 自動修復パイプライン: Security Hub Findings → EventBridge → Lambda(自動修復)。例: パブリックなS3バケットを検出→自動でパブリックアクセスブロックを有効化。
- コンプライアンス自動チェック: CIS/FSBPのセキュリティ標準を有効化→準拠スコアの低いコントロールを優先的に対応してコンプライアンスを維持。
7. 設定・デプロイ手順(ハンズオン例)
- Security Hubコンソール→「Security Hubに移動」→「Security Hubを有効化」。
- 有効にするセキュリティ標準を選択(AWS FSBP・CIS等)。
- 連携サービス(GuardDuty・Inspector等)が自動的にFindingsを送信開始。
- 「Findings」タブでアラートを確認・フィルタリング(重要度・サービス・アカウント等)。
- EventBridgeでFindingsをトリガーし自動修復Lambdaを設定(例: 重要度CRITICALのFindingsを自動修復)。
8. 試験で問われやすいポイント
8.1 Security Hubの役割
- Q: 複数のAWSセキュリティサービス(GuardDuty/Inspector/Macie等)のアラートを一元集約・管理するサービスは?
A: AWS Security Hub(ASFF形式でFindingsを集約し、セキュリティ標準への準拠状況をスコアで可視化)。
8.2 セキュリティ標準
- Q: Security Hubがサポートするセキュリティ標準は?
A: AWS基礎セキュリティベストプラクティス(FSBP)・CIS AWS Foundations Benchmark・PCI DSS・NIST SP 800-53等。コントロール単位で準拠/不準拠を自動評価。
8.3 自動修復
- Q: Security Hubのアラートに基づいて自動修復を実行するには?
A: EventBridgeでSecurity HubのFindingsを受信→Lambda/SSM/Step Functionsで自動修復アクション。またはSecurity Hub Automationsルールで設定。
8.4 マルチアカウント集約
- Q: Organizations全アカウントのSecurity HubのFindingsを一元管理するには?
A: Security HubをOrganizationsと統合し委任管理者アカウントを指定→全アカウントのFindingsが管理アカウントに集約される。
8.5 ASFF
- Q: Security HubがFindingsを標準化するフォーマットは?
A: ASFF(Amazon Security Finding Format)。複数の異なるサービスのアラートを統一フォーマットに変換して集約・分析を容易にする。