419-AWS SAP AWS 「理論・実践・一問道場」AWS Security Hub

type

status

date

slug

summary

理論

1. AWS Security Hub

概要: AWS Security Hubは、AWS全体のセキュリティ状況を集中的に管理および監視するためのサービスです。複数アカウントやリージョンにわたってセキュリティ情報を集約し、可視化します。セキュリティのベストプラクティスや脆弱性の評価を行い、リスクを管理するための統一的なダッシュボードを提供します。

特徴:

AWS Organizationsを使用して複数アカウントを一元的に管理できる。
セキュリティチェックリストやベストプラクティスの実行状況をリアルタイムで把握。
他のAWSサービス（GuardDuty, Inspector, Macieなど）と統合してセキュリティの監視を行う。
セキュリティイベントをリアルタイムでアラートとして受け取ることができる。

2. AWS Config

概要: AWS Configは、AWSリソースの設定を追跡、評価、監視するサービスです。コンフォーマンスパックを使用して、特定のセキュリティやコンプライアンス基準に対するリソースの遵守状態を確認できます。リソースの変更履歴や設定の違反を監視し、リスクを管理します。

特徴:

リソースの設定と変更履歴を追跡。
コンフォーマンスパックを使用して特定のポリシーを適用。
セキュリティ監査やコンプライアンスチェックを行い、違反を検出して通知。

3. Amazon GuardDuty

概要: Amazon GuardDutyは、脅威検出サービスで、AWS環境内で発生した悪意のある活動や不審な動きをリアルタイムで検出します。これにより、セキュリティチームはインシデント対応を迅速に行うことができます。

特徴:

機械学習を使用して異常なネットワークアクティビティやアカウントの異常な動作を検出。
他のAWSサービス（CloudTrail、VPC Flow Logsなど）からのログを解析し、脅威を特定。
自動化されたレスポンスをトリガーして迅速に対応。

4. AWS CloudTrail

概要: AWS CloudTrailは、AWSアカウントでのAPIリクエストのログを記録するサービスです。セキュリティ監査や運用のトラブルシューティングに役立ちます。すべてのAPI呼び出しが記録され、異常なアクティビティの追跡が可能です。

特徴:

リアルタイムでのAPIアクションの記録。
不審な活動や誤った設定を発見するための監査機能。
監査証跡の保存と分析が可能。

5. AWS Organizations

概要: AWS Organizationsは、複数のAWSアカウントを一元的に管理するためのサービスです。セキュリティやコンプライアンスの管理を組織全体で統一的に行うことができます。ポリシーの管理やリソースの集中的な管理が可能です。

特徴:

組織内で一貫性のあるセキュリティ設定を適用。
アカウントの管理や権限設定を効率化。
複数アカウントにわたるセキュリティリソースの統一的な適用が可能。

6. Amazon Inspector

概要: Amazon Inspectorは、AWSのインフラおよびアプリケーションのセキュリティ評価サービスです。脆弱性をスキャンし、セキュリティのリスクを特定します。

特徴:

インスタンスの脆弱性や設定ミスをスキャン。
自動化されたセキュリティ評価と推奨される対策の提供。

これらのツールを組み合わせて、AWS環境のセキュリティを包括的に監視し、リスクを低減することが可能です。特にAWS Security Hubは、複数アカウントでのセキュリティ状態を一元的に管理するために非常に有効です。

実践

略

一問道場

質問 #419

ある企業が、複数アカウントのAWS環境を管理および統治するためにAWS Control Towerランディングゾーンを作成しました。セキュリティチームは、すべてのアカウントでAWSサービスを監視するために予防的制御と検出的制御を展開します。セキュリティチームは、すべてのアカウントのセキュリティ状態の集中管理を必要としています。

この要件を満たすソリューションはどれですか？

A. AWS Control Tower管理アカウントから、AWS CloudFormation StackSetsを使用してAWS Configコンフォーマンスパックをすべてのアカウントに展開する。

B. AWS OrganizationsでAmazon Detectiveを有効にし、1つのAWSアカウントをDetectiveの委任管理者として指定する。

C. AWS Control Tower管理アカウントから、AWS CloudFormationスタックセットをデプロイして、組織全体でAmazon Detectiveを有効にする自動デプロイメントオプションを使用する。

D. AWS OrganizationsでAWS Security Hubを有効にし、1つのAWSアカウントをSecurity Hubの委任管理者として指定する。

解説

この問題は、複数のAWSアカウントにわたってセキュリティ状態を集中管理し、セキュリティ監視を行いたいという要件に対する解決策を選ぶものです。各選択肢について詳しく解説します。

選択肢 A

AWS Control Tower管理アカウントから、AWS CloudFormation StackSetsを使用してAWS Configコンフォーマンスパックをすべてのアカウントに展開する。

解説: AWS Configはリソースの設定を追跡し、評価できるサービスです。コンフォーマンスパックを使って、AWSアカウントにセキュリティルールを適用し、監視することができます。

ただし、AWS Control Towerでは、AWS Configのコンフォーマンスパックを展開するために、通常、手動で設定やリソースを管理することが必要です。この方法では、セキュリティ状態の集中管理が効率的に行えない可能性があります。

選択肢 B

AWS OrganizationsでAmazon Detectiveを有効にし、1つのAWSアカウントをDetectiveの委任管理者として指定する。

解説: Amazon Detectiveは、セキュリティインシデントを調査するために使用されるサービスで、イベントやアクティビティを可視化し、調査を支援します。しかし、Detectiveは、セキュリティ状態の全体的なモニタリングには適していません。主にインシデント対応のためのツールであり、セキュリティ状態の包括的な監視や評価を行うためのツールではないため、この選択肢は要件を完全に満たしていません。

選択肢 C

AWS Control Tower管理アカウントから、AWS CloudFormationスタックセットをデプロイして、組織全体でAmazon Detectiveを有効にする自動デプロイメントオプションを使用する。

解説: この選択肢では、CloudFormation StackSetsを使用してAmazon Detectiveを自動的に全アカウントに展開することを提案しています。ですが、先述の通り、Detectiveはセキュリティ状態の監視には最適なツールではなく、セキュリティの集中管理には向いていません。従って、この解決策も要件に合致しません。

選択肢 D

AWS OrganizationsでAWS Security Hubを有効にし、1つのAWSアカウントをSecurity Hubの委任管理者として指定する。

解説: AWS Security Hubは、AWSのセキュリティ状態を集中的に監視・管理するサービスです。Security Hubを利用すると、複数アカウントでのセキュリティインシデントを集中管理し、リスクを評価できます。また、Security HubはAWS Organizationsを通じて組織全体で有効にでき、セキュリティ状態を一元的に把握できます。このサービスはセキュリティ監視に最適で、他の選択肢よりも明確に要件を満たします。

結論

最適な解決策は 選択肢 D です。AWS Security Hubは、全アカウントのセキュリティ状態を集中監視できるため、セキュリティチームがAWS環境全体を効果的に管理するために最も適切なツールです。