AWSSecurity Hub CSPM の概要 - AWSSecurity Hub
Security Hub CSPM の利点Security Hub CSPM へのアクセス関連サービスSecurity Hub CSPM の無料トライアル、使用状況、料金

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSecurity Hub CSPM の概要

AWSSecurity Hub Cloud Security Posture Management (AWSSecurity Hub CSPM) は、 のセキュリティ状態を包括的に把握AWSし、セキュリティ業界標準とベストプラクティスに照らしてAWS環境を評価するのに役立ちます。

AWSSecurity Hub CSPM はAWS アカウント、 およびサポートされているサードパーティー製品間でセキュリティデータを収集しAWS のサービス、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。

組織のセキュリティ状態を管理しやすくするために、Security Hub CSPM は複数のセキュリティ標準をサポートしています。これにはAWS、 によって開発された AWSFoundational Security Best Practices (FSBP) 標準、Center for Internet Security (CIS)、Payment Card Industry Data Security Standard (PCI DSS)、米国国立標準技術研究所 (NIST) などの外部コンプライアンスフレームワークが含まれます。セキュリティ標準ごとに複数のセキュリティ管理が含まれており、それぞれがセキュリティのベストプラクティスを表しています。Security Hub CSPM はセキュリティコントロールに対するチェックを実行し、コントロールの検出結果を生成して、セキュリティのベストプラクティスに対するコンプライアンス評価をサポートします。

Security Hub CSPM は、コントロール検出結果の生成に加えて、Amazon GuardDutyAWS のサービス、Amazon Inspector、Amazon Macie などの他の やサポートされているサードパーティー製品からも検出結果を受け取ります。 Amazon GuardDuty こうして、セキュリティ関連のさまざまな問題を一元的に把握できます。Security Hub CSPM の検出結果を他の AWS のサービス およびサポートされているサードパーティ製品に送信することもできます。

Security Hub CSPM には、セキュリティ問題の分類と修正に役立つ自動化機能が備わっています。たとえば、自動化ルールを使用して、セキュリティチェックが失敗した場合に重要な検出結果を自動的に更新できます。Amazon EventBridge との統合を活用して、特定の検出結果に対する自動応答をトリガーすることもできます。

トピック

Security Hub CSPM の利点

Security Hub CSPM がAWS環境全体のコンプライアンスとセキュリティ体制のモニタリングに役立つ主な方法をいくつか紹介します。

検出結果の収集と優先順位付けの労力を削減

Security Hub CSPM は、統合製品とAWSパートナー製品からアカウント全体のセキュリティ結果を収集AWS のサービスして優先順位付けする労力を削減します。Security Hub CSPM は、標準の検出結果形式である AWSSecurity Finding Format (ASFF) を使用して検出結果データを処理します。これにより、無数の情報源からの検出結果を複数の形式で管理する必要がなくなります。また、Security Hub CSPM はプロバイダー間で検出結果を関連付け、最重要の検出結果の優先順位付けに役立ちます。

ベストプラクティスと標準に対する自動セキュリティチェック

Security Hub CSPM は、AWSベストプラクティスと業界標準に基づいて、アカウントレベルの継続的な設定とセキュリティチェックを自動的に実行します。Security Hub CSPM は、これらのチェックの結果からセキュリティスコアを算出し、注意の必要なアカウントとリソースを特定します。

アカウントとプロバイダーでの検出結果の統合ビュー

Security Hub CSPM は複数のアカウントとプロバイダーの製品間のセキュリティ検出結果を統合して、Security Hub CSPM コンソールに結果を表示します。Security Hub CSPM APIAWS CLI、または SDKs を使用して検出結果を取得することもできます。現在のセキュリティ状態を全体的に把握して傾向をとらえ、潜在的な問題を特定し、必要な修復手順を実行することができます。

検出結果の更新と修復を自動化する機能

定義した基準に基づいて検出結果を変更または抑制する自動化ルールを作成できます。Security Hub CSPM は Amazon EventBridge との統合もサポートしています。特定の検出結果の修復を自動化するために、検出結果を生成したときに実行するカスタムアクションを定義できます。たとえば、チケット発行システムや自動修復システムに検出結果を送信するなどのカスタムアクションを設定できます。

Security Hub CSPM へのアクセス

Security Hub CSPM はほとんどの で使用できますAWS リージョン。Security Hub CSPM を現在利用できるリージョンのリストについては、「AWS 全般のリファレンス」の「AWS Security Hub CSPM endpoints and quotas」を参照してください。の 管理AWS リージョンの詳細についてはAWS アカウント、「 AWS アカウント管理リファレンスガイド」のAWS リージョン「アカウントで使用できる の指定」を参照してください。

各リージョンでは、次のいずれかの方法で Security Hub CSPM にアクセスして使用できます。

Security Hub CSPM のコンソール

AWS マネジメントコンソールは、 リソースの作成と管理AWSに使用できるブラウザベースのインターフェイスです。そのコンソールの一部として、Security Hub CSPM コンソールは Security Hub CSPM アカウント、データ、およびリソースへのアクセスを提供します。Security Hub CSPM コンソールを使用して、検出結果の表示、自動化ルールの作成、集約リージョンの作成といった Security Hub CSPM のタスクを実行できます。

Security Hub CSPM API

Security Hub CSPM API では、Security Hub CSPM のアカウント、データ、およびリソースに対し、プログラムによるアクセスが可能になります。この API を使用すると、HTTPS リクエストを Security Hub CSPM に直接送信できます。API の詳細については、「AWS Security Hub API リファレンス」を参照してください。

AWS CLI

を使用するとAWS CLI、システムのコマンドラインでコマンドを実行して、Security Hub CSPM タスクを実行できます。場合によっては、コマンドラインを使用した方が、コンソールを使用するよりも高速で便利になります。コマンドラインは、タスクを実行するスクリプトを作成する場合にも便利です。のインストールと使用の詳細についてはAWS CLI、 AWS Command Line Interfaceユーザーガイドを参照してください。

AWSSDKs

AWSはSDKs を提供します。SDKs は、任意の言語で Security Hub CSPM やその他の への便利なプログラムAWS のサービスによるアクセスを提供します。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。AWSSDKs」を参照してください。 AWS

重要

Security Hub CSPM は、Security Hub CSPM を有効にした後に生成された検出結果のみを検出して統合します。Security Hub CSPM を有効化する前に生成されたセキュリティ検出結果までさかのぼって、検出したり統合したりすることはありません。

Security Hub CSPM は、アカウントで Security Hub CSPM を有効にしたリージョンでの検出結果のみを受信し、処理します。

CIS AWSFoundations Benchmark セキュリティチェックに完全に準拠するには、サポートされているすべてのAWSリージョンで Security Hub CSPM を有効にする必要があります。

AWS環境をさらに保護するには、Security Hub CSPM AWS のサービスと組み合わせて他の を使用することを検討してください。一部の は検出結果を Security Hub CSPM AWS のサービスに送信し、Security Hub CSPM は検出結果を標準形式に正規化します。一部の AWS のサービスは、Security Hub CSPM から検出結果を受信することもできます。

Security Hub CSPM の検出結果を送受信AWS のサービスする他の のリストについては、「」を参照してくださいAWS のサービスSecurity Hub CSPM との統合

Security Hub CSPM は、 のサービスにリンクされたルールAWS Configを使用して、ほとんどのコントロールのセキュリティチェックを実行します。コントロールは、特定の AWS のサービスおよび AWSリソースを指します。Security Hub CSPM コントロールのリストについては、「Security Hub CSPM のコントロールリファレンス」を参照してください。ほとんどのコントロール結果を生成するには、Security Hub CSPM AWS Configの でリソースを有効にAWS Configして記録する必要があります。詳細については、「AWS Config を有効にして設定する前の考慮事項」を参照してください。

Security Hub CSPM の無料トライアルと料金

で Security Hub CSPM AWS アカウントを初めて有効にすると、そのアカウントは自動的に 30 日間の Security Hub CSPM 無料トライアルに登録されます。

無料トライアル中に Security Hub CSPM を使用すると、AWS Configアイテムなど、Security Hub CSPM がやり取りする他のサービスの使用に対して課金されます。Security Hub CSPM セキュリティ標準によってのみアクティブ化されたAWS Configルールには課金されません。

無料トライアルが終了するまで、Security Hub CSPM の使用に対して料金は発生しません。

使用状況の詳細と見積もりコストの表示

Security Hub CSPM は、Security Hub CSPM を 30 日間使用した場合の推定コストなどを含んだ、使用状況に関する情報を提供します。使用状況の詳細には、無料トライアルの残り時間が含まれます。使用状況に関する情報から、無料トライアル終了後の Security Hub CSPM のコストを容易に理解することができます。使用状況に関する情報は、無料トライアルの終了後にも確認できます。

使用状況に関する情報を (コンソール) に表示するには、以下の手順を実行します。

  1. https://console.aws.amazon.com/securityhub/ で AWSSecurity Hub CSPM コンソールを開きます。

  2. ナビゲーションペインの [設定][使用状況] を選択します。

推定月額コストは、30 日間にわたって予測されるアカウントの Security Hub CSPM の検出結果とセキュリティチェックの使用量に基づいています。

使用状況情報と推定コストは、現在のアカウントと現在のリージョンについてのみ発生します。集約リージョンでは、使用情報と見積コストには、リンクされたリージョンは含まれません。リンクされたリージョンの詳細については、「集計されるデータのタイプ」を参照してください。

料金詳細

取得した検出結果とセキュリティチェックに関する Security Hub CSPM の料金の詳細については、「Security Hub CSPM の料金」を参照してください。