AWS Security Hub CSPM とは - AWS Security Hub
Security Hub CSPM の利点Security Hub CSPM へのアクセス関連サービスSecurity Hub CSPM の無料トライアル、使用状況、料金

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Hub CSPM とは

AWS Security Hub Cloud Security Posture Management (CSPM) は、 のセキュリティ状態を包括的に把握 AWS し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境を評価するのに役立ちます。

Security Hub CSPM は AWS アカウント、 およびサポートされているサードパーティー製品間でセキュリティデータを収集し AWS のサービス、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。

組織のセキュリティ状態を管理するために、Security Hub CSPM は複数のセキュリティ標準をサポートしています。これには AWS、 によって開発された AWS Foundational Security Best Practices (FSBP) 標準、Center for Internet Security (CIS)、Payment Card Industry Data Security Standard (PCI DSS)、米国国立標準技術研究所 (NIST) などの外部コンプライアンスフレームワークが含まれます。セキュリティ標準ごとに複数のセキュリティ管理が含まれており、それぞれがセキュリティのベストプラクティスを表しています。Security Hub CSPM は、セキュリティコントロールに対してチェックを実行し、セキュリティのベストプラクティスに対するコンプライアンスを評価するのに役立つコントロールの検出結果を生成します。

Security Hub CSPM は、コントロール検出結果の生成に加えて、Amazon GuardDuty AWS のサービス、Amazon Inspector、Amazon Macie などの他の やサポートされているサードパーティー製品からも検出結果を受け取ります。 Amazon GuardDuty こうして、セキュリティ関連のさまざまな問題を一元的に把握できます。Security Hub CSPM の検出結果を他の AWS のサービス およびサポートされているサードパーティー製品に送信することもできます。

Security Hub CSPM には、セキュリティ問題のトリアージと修復に役立つ自動化機能が用意されています。たとえば、自動化ルールを使用して、セキュリティチェックが失敗した場合に重要な結果を自動的に更新できます。Amazon EventBridge との統合を活用して、特定の結果に対する自動応答をトリガーすることもできます。

Security Hub CSPM の利点

Security Hub CSPM が AWS 環境全体のコンプライアンスとセキュリティ体制のモニタリングに役立つ主な方法をいくつか紹介します。

検出結果の収集と優先順位付けの労力削減

Security Hub CSPM は、統合製品と AWS パートナー製品からアカウント全体のセキュリティ結果を収集 AWS のサービス して優先順位付けする労力を削減します。Security Hub CSPM は、標準の検出結果形式である AWS Security Finding Format (ASFF) を使用して検出結果データを処理します。これにより、無数の情報源からの検出結果を複数の形式で管理する必要がなくなります。また、Security Hub CSPM はプロバイダー間で検出結果を関連付け、最も重要な検出結果に優先順位を付けるのに役立ちます。

ベストプラクティスと標準に対する自動セキュリティチェック

Security Hub CSPM は、 AWS ベストプラクティスと業界標準に基づいて、アカウントレベルの継続的な設定とセキュリティチェックを自動的に実行します。Security Hub CSPM は、これらのチェックの結果を使用してセキュリティスコアを計算し、注意が必要な特定のアカウントとリソースを特定します。

アカウントとプロバイダーでの結果の統合ビュー

Security Hub CSPM は、アカウントとプロバイダー製品間でセキュリティ検出結果を統合し、Security Hub CSPM コンソールに結果を表示します。Security Hub CSPM API AWS CLI、または SDKs を使用して検出結果を取得することもできます。現在のセキュリティ状態を全体的に把握して傾向をとらえ、潜在的な問題を特定し、必要な修復手順を実行することができます。

検出結果の更新と修復を自動化する機能

定義した基準に基づいて結果を変更または抑制する自動化ルールを作成できます。Security Hub CSPM は、Amazon EventBridge との統合もサポートしています。特定の検出結果の修復を自動化するために、検出結果を生成したときに実行するカスタムアクションを定義できます。たとえば、チケット発行システムや自動修復システムに結果を送信するなどのカスタムアクションを設定できます。

Security Hub CSPM へのアクセス

Security Hub CSPM はほとんどの で使用できます AWS リージョン。Security Hub CSPM が現在利用可能なリージョンのリストについては、のAWS 「Security Hub Cloud Security Posture Management (CSPM) エンドポイントとクォータ」を参照してくださいAWS 全般のリファレンス。の 管理 AWS リージョン の詳細については AWS アカウント、「 AWS アカウント管理 リファレンスガイド」の AWS リージョン 「アカウントで使用できる の指定」を参照してください。

各リージョンでは、次のいずれかの方法で Security Hub CSPM にアクセスして使用できます。

Security Hub CSPM コンソール

AWS Management Console は、 リソースの作成と管理 AWS に使用できるブラウザベースのインターフェイスです。そのコンソールの一部として、Security Hub CSPM コンソールは Security Hub CSPM アカウント、データ、リソースへのアクセスを提供します。Security Hub CSPM コンソールを使用して Security Hub CSPM タスクを実行できます。検出結果の表示、自動化ルールの作成、集約リージョンの作成などを行います。

Security Hub CSPM API

Security Hub CSPM API を使用すると、Security Hub CSPM アカウント、データ、リソースにプログラムでアクセスできます。API を使用すると、HTTPS リクエストを Security Hub CSPM に直接送信できます。API の詳細については、AWS Security Hub Cloud Security Posture Management (CSPM) API リファレンスを参照してください。

AWS CLI

を使用すると AWS CLI、システムのコマンドラインでコマンドを実行して、Security Hub CSPM タスクを実行できます。場合によっては、コマンドラインを使用した方が、コンソールを使用するよりも高速で便利になります。コマンドラインは、タスクを実行するスクリプトを作成する場合にも便利です。のインストールと使用の詳細については AWS CLI、 AWS Command Line Interface ユーザーガイドを参照してください。

AWS SDKs

AWS はSDKs を提供します。SDKs は、任意の言語で Security Hub CSPM やその他の への便利なプログラム AWS のサービス によるアクセスを提供します。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。 AWS SDKs」を参照してください。 AWS

重要

Security Hub CSPM は、Security Hub CSPM を有効にした後に生成された検出結果のみを検出して統合します。Security Hub CSPM を有効にする前に生成されたセキュリティ検出結果を遡及的に検出して統合することはありません。

Security Hub CSPM は、アカウントで Security Hub CSPM を有効にしたリージョンでのみ検出結果を受信して処理します。

CIS AWS Foundations Benchmark セキュリティチェックに完全に準拠するには、サポートされているすべての AWS リージョンで Security Hub CSPM を有効にする必要があります。

AWS 環境をさらに保護するには、Security Hub CSPM AWS のサービス と組み合わせて他の を使用することを検討してください。一部の は検出結果を Security Hub CSPM AWS のサービス に送信し、Security Hub CSPM は検出結果を標準形式に正規化します。一部の AWS のサービス は、Security Hub CSPM から検出結果を受け取ることもできます。

Security Hub CSPM の検出結果を送受信 AWS のサービス する他の のリストについては、「」を参照してくださいAWS のサービス Security Hub CSPM との統合

Security Hub CSPM は、 のサービスにリンクされたルール AWS Config を使用して、ほとんどのコントロールのセキュリティチェックを実行します。コントロールは、特定の AWS のサービス および AWS リソースを指します。Security Hub CSPM コントロールのリストについては、「」を参照してくださいSecurity Hub CSPM のコントロールリファレンス。ほとんどのコントロール結果を生成するには、Security Hub CSPM AWS Config の でリソースを有効に AWS Config して記録する必要があります。詳細については、「を有効にして設定する前の考慮事項 AWS Config」を参照してください。

Security Hub CSPM 無料トライアルと料金

で Security Hub CSPM AWS アカウント を初めて有効にすると、そのアカウントは自動的に 30 日間の Security Hub CSPM 無料トライアルに登録されます。

無料トライアル中に Security Hub CSPM を使用すると、 AWS Config アイテムなど、Security Hub CSPM がやり取りする他の のサービスの使用に対して課金されます。Security Hub CSPM セキュリティ標準によってのみアクティブ化された AWS Config ルールには課金されません。

無料トライアルが終了するまで、Security Hub CSPM の使用に対して料金は発生しません。

使用状況の詳細と見積もりコストの表示

Security Hub CSPM は、Security Hub CSPM の使用にかかる推定 30 日間のコストを含む使用状況情報を提供します。使用状況の詳細には、無料トライアルの残り時間が含まれます。使用状況情報は、無料トライアル終了後の Security Hub CSPM のコストを理解するのに役立ちます。使用状況に関する情報は、無料トライアルの終了後にも確認できます。

使用状況に関する情報を (コンソール) に表示するには、以下の手順を実行します。

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub Cloud Security Posture Management (CSPM) コンソールを開きます。

  2. ナビゲーションペインの [設定][使用状況] を選択します。

推定月額コストは、30 日間に予測された検出結果とセキュリティチェックに対するアカウントの Security Hub CSPM 使用状況に基づきます。

使用状況情報と推定コストは、現在のアカウントと現在のリージョンについてのみ発生します。集約リージョンでは、使用情報と見積コストには、リンクされたリージョンは含まれません。リンクされたリージョンの詳細については、「集計されるデータのタイプ」を参照してください。

料金詳細

取り込まれた検出結果とセキュリティチェックに対して Security Hub CSPM が課金する方法の詳細については、「Security Hub CSPM の料金」を参照してください。