【初心者向け】AWS Security Hubとは？概要からメリット、料金まで解説

AWS環境のセキュリティを考える上で、重要な役割を担うサービスの1つが「AWS Security Hub」です。クラウドは大変便利でメリットの多いものですが、誤ってデータを公開してしまうなどのリスクがあることは否定できません。AWS Security Hubではこういったセキュリティに関わる各種設定について問題ないかをチェックします。AWS環境のセキュリティを担保するためにも、積極的に活用することをお勧めします。本コラムでは、AWS Security Hubについて基本的なサービス紹介からメリット、料金まで詳しく解説します。

AWS Security Hubとは？

AWS Security Hubのメイン機能としては、「セキュリティ基準機能」と呼ばれるものが挙げられます。これは、Cloud Security Posture Management（CSPM）に相当するサービスで、「AWSリソースのセキュリティ設定がベストプラクティスから逸脱していないか」を自動でチェックします。AWSでは、サーバーやストレージのアクセス制御などはすべて利用者の責任で設定することとされています。必要な環境を構築するには様々な設定が必要ですが、意図せずにデータを外部に公開してしまうなどの可能性もあります。きちんと設定を確認することが重要ですが、それでも間違ってしまうことはあるでしょう。AWS Security Hubを使えば、機械的にチェックすることができるため、セキュアな環境を維持するためにも、ぜひ活用したいサービスの1つです。
AWS Security Hubでは、AWSが公開しているベストプラクティスに則っているかどうかをチェックし、リスクのある設定を検出するほか、国際的なセキュリティ規格である「CIS Benchmarks」やクレジットカード業界のセキュリティ基準「PCI DSS」を基準としたチェックも実施できます。
AWSのベストプラクティスに関するチェックの実施を推奨していますが、クレジットカード情報を扱うシステムでPCI DSS準拠が求められる場合など、状況に応じて活用するとよいでしょう。

チェック結果をスコア化して表示

AWS Security Hubでのチェック結果は、スコア化して表示されます。この結果に基づいて問題点を1つずつ解決し、スコアを高めることで、一定のセキュリティを担保できます。

AWS環境全体のセキュリティを一元管理する機能も

もう1つ、AWS Security Hubは、AWSが提供するセキュリティ関連サービスやサードパーティ製品のセキュリティ検出結果を集約する機能も提供しています。各サービスが検出したセキュリティリスクを1画面で管理でき、複数の管理画面を行き来する必要がなくなるほか、アラート設定も一元的に管理でき、セキュリティ管理の効率化につながります。
また、「インサイト」機能では全体の傾向を可視化します。「最近◎◎のトラブルが増えている」といったことを把握しやすくなり、根本的な対策につなげることも。大規模にAWSを活用する際の運用効率改善、継続的な改善のための状況追跡などに有効です。

AWS Security Hub、2つのメリット

＜メリット1＞導入の簡単さ

AWS Security Hubのメリットとして、まずはその導入の簡単さが挙げられます。数クリックでスタートでき、簡単にAWSリソースのセキュリティ設定をチェックできます。定期的にチェックが実施され、「これまでOKだったが、NGになった」ものの通知も可能です。手軽に自社のAWS環境のセキュリティレベルを維持できるサービスであり、使わない手はありません。

＜メリット2＞セキュリティの一元管理

「AWS Security Hub」という名前のとおり、セキュリティの“ハブ”として活用できることがもう1つのメリットです。複数サービスの情報を集約できるため、自身で各サービスを1つずつチェックする手間がかかりません。インサイト機能により、「検出結果の多いAWSのリソースランキング」「マルウェア感染が疑われるAWSリソース一覧」など集約した情報の可視化も可能で、セキュリティ運用を効率化します。

AWS Security Hubの料金

AWS Security Hubの料金は、「セキュリティチェック」「取り込まれた調査結果」の2つの要素で構成されます。
セキュリティチェックは、「AWSリソースに対して実施されたセキュリティチェックの回数」に基づいて課金され、チェック回数によって料金が異なります。

＜1チェック1アカウント1リージョンのひと月あたりの料金＞

• 最初の10万回     ：1チェック当たり0.0010USD
• 次の40万回      ：1チェック当たり0.0008USD
• 50万回を超える場合  ：1チェック当たり0.0005USD

取り込まれた調査結果は、AWS Security Hubで各種AWSサービスの検出結果を集約・一元管理する際に、取り込んだ検出結果の数に応じて課金されるものです。AWS Security Hub自体のチェック結果の取込は無料で、そのほかのAWSサービスなどと連携する場合に発生します。

 AWS Security Hub のセキュリティチェックに関連する、検出結果の取り込み：無料
 1イベント1アカウント1リージョンひと月あたり最初の1万回        ：無料
 1イベント1アカウント1リージョンひと月あたり1万回を超える場合     ： 1イベント当たり0.00003USD

AWS Security Hubは実際に利用しなければどの程度料金がかかるか試算しづらく、事前の見積もりが難しいサービスの1つです。30日間の無料期間が用意されているため、まずは無料で利用し、算出された1ヵ月間の想定費用をもとに継続的に利用するかどうか判断するとよいでしょう。

※料金はいずれも東京リージョン、2023年2月現在

AWSを利用しはじめたら、有効化を！

AWS環境におけるセキュリティの基本の一角を担うAWS Security Hubは、AWSを利用開始したタイミングで有効化することを推奨します。AWSでは「適当に作成したサーバーやストレージが、全世界に公開されていた」といったトラブルも起こりやすく、早期に検出、対処へとつなげられるAWS Security Hubは使っておきたいところです。複数のAWSアカウントを登録し、一元管理することもできるため、組織全体でクラウド活用を推進するための組織「CCoE（Cloud Center of Excellence）」で社内の全アカウントを管理し、社内のルール・ポリシーに基づいてセキュリティを統一することもできます。
前段でも述べましたが、AWS Security Hubの利用には一定のコストが発生するため、どの程度のコストがかかるのか、自社の利用状況に対して妥当なコストかを踏まえて検討することをお勧めします。

クラスメソッドでは一般的な推奨設定から、企業ごとの事情にあわせた提案までサポート

セキュリティ対策に有効で、簡単に利用を開始できるAWS Security Hubですが、はじめてAWSを利用する際は「チェックに失敗しても、どう対処すべきかわからない」「必要な設定をしたつもりなのに、チェックに失敗した」など戸惑うことも出てくるでしょう。
クラスメソッドでは、AWS総合支援「クラスメソッドメンバーズ」にて「セキュアアカウント発行サービス」を提供します。セキュアアカウント発行時には、AWS Security Hubを有効化した上で、クラスメソッドによる推奨設定を実施。AWS Security Hubでは数多くの項目がチェックされますが、なかには「一般的な利用ではここまでのチェックは不要」というものも含まれます。そこで、クラスメソッドが培ってきた経験・ノウハウをもとに不要な項目を無効化、実用に即した設定をおこなったアカウントを発行します。あわせてクラスメソッドメンバーズでは、AWS活用推進におけるノウハウ（Classmethod Cloud Guidebook）を無償で提供。AWSのベストプラクティスについて、「この項目は無効化せずに必ずチェックすべき」「チェックで失敗した（リスクが検出された）場合の対処方法」などのノウハウをまとめており、AWS Security Hub活用をサポートします。
また、クラスメソッドでは、組織的な導入時のセキュリティ設定に関するコンサルティングもおこなっています。企業のセキュリティポリシーやルール、習慣などをヒアリングし、推奨設定を提案します。AWSのセキュリティについて不安がありましたら、ぜひご相談ください。