• AWS Security Hub コントロールカスタマイズ
• AWS Security Hub ダッシュボード機能強化
• AWS Security Hub の新しい一元的な設定機能
• AWS Security Hub での新しい検出結果の追加を発表
• まとめ

AWS re:Invent 2023にて、AWSセキュリティサービスについてたくさんのアップデートがありました。
今回は、AWS Security Hubのアップデートについてご紹介します。

AWS Security Hub コントロールカスタマイズ

Security Hubのマネージドコントロールをカスタマイズできるようになりました。
例えば、ACMで発行された証明書の更新間隔はデフォルトで30日ですが、組織のポリシーに合わせて45日や60日に変更可能です。

aws.amazon.com

「カスタムポリシー」→「コントロールパラメーターのカスタマイズ」から設定可能です。

Security Hubのコントロールは組織にとって必ずしもベストではないので、自組織に合わせてカスタマイズできるのは嬉しいアップデートです。

AWS Security Hub ダッシュボード機能強化

サマリダッシュボードのウィジェットをカスタマイズできるようになりました。
また、ダッシュボードでAWSアカウントやリソースタグによるフィルタリングができるようになり、自身にとって使いやすいカスタマイズが可能です。

aws.amazon.com

脅威や脆弱性のランキングも表示できます。
また、右のウィジェットからドラッグ&ドロップでグラフを配置できます。

運用者にとって、統一的なダッシュボードを用途に合わせてカスタマイズできるのは、非常にありがたい機能です。
今回のアップデートで、Security Hubがより使いやすくなったと思います。

AWS Security Hub の新しい一元的な設定機能

委任管理者アカウントから、一元的な設定ができるようになりました。
これにより、アカウントやリージョンに渡って、特定の標準やコントロールを柔軟に行うことができるようになります。
例えば、特定のコントロールを組織単位で無効化したり、コントロールパラメータのカスタマイズを特定アカウントのみに適用させることが可能です。

aws.amazon.com

設定を見てみます。
Security Hubの「設定」→「中央設定を開始」を押下します。

「リージョン」からポリシーを適用させる任意のリージョンを選択します。

「設定タイプ」から「Security Hubの設定をカスタマイズ」を選択します。

「カスタムポリシー」の画面で「特定のコントロールを無効化」を選択し、無効化するコントロールを選択します。
ここでも、アップデート「AWS Security Hub コントロールカスタマイズ」の機能を利用できます。

そして、設定したポリシーをどこの組織やアカウントに適用するかを指定します。

最後に、これまで設定してきたポリシーの名前、説明、タグを入力して完了です。

従来は個々のメンバーアカウントでコントロールの有効/無効をしていましたが、今回のアップデートで一元的に管理できるため、運用が容易になると思います。

AWS Security Hub での新しい検出結果の追加を発表

Findingに新たなメタデータを追加し、対応の優先度付けやコンテキストの理解を支援するようになりました。
具体的には、AWSアカウント名、リソースタグ、アプリケーションタグが付与されます。

aws.amazon.com

Security Hubの「検出結果」から「詳細」を見ると、AWSアカウント名やリソースタグが表示されています。

JSONログにも同様に表示されています。

検出結果に情報を付与するにはユーザ側で作り込みが必要でしたが、今回のアップデートで作り込みが不要になりました。
例えば、従来からログに載っているアカウントIDからアカウント名を特定するのは手間のかかる作業でしたが、ログに情報が載っているので調査もしやすくなります。
運用者にとっても非常に嬉しいアップデートだと思います。

まとめ

今回は従来のセキュリティサービスをより使いやすくするための、痒い所に手が届くアップデートが多かったと思います。
Security HubはAWS環境のセキュリティ対策に必要不可欠であるため、今後のアップデートにも期待です。